Home | Impressum | Sitemap | KIT

Kontakt

Institut für Theoretische Informatik

Arbeitsgruppe Kryptographie und Sicherheit

Carmen Manietta

Am Fasanengarten 5

Geb. 50.34

D-76131 Karlsruhe

Tel.: + 49 721 608-44213

Fax: + 49 721 608-55022

E-Mail: crypto-infoCdd0∂iti kit edu

 

Veröffentlichung

Sieben Thesen zur IT-Sicherheit

PDF herunterladen

Cloud Computing

Cloud Computing

Beim Cloud Computing stellen Anbieter Ressourcen und elektronische Dienste über das Internet zur Verfügung, die bedarfsgerecht provisioniert und nutzungsabhängig abgerechnet werden können. Dabei verspricht Cloud Computing große Einsparungen von Ressourcen und Kosten, bedingt aber auch, dass sensitive Daten auf fremde Server ausgelagert werden. Aktuelle Sicherheitsbedrohungen, viele Herausforderungen im Hinblick auf die Sicherheit sowie eine oft komplexe Rechtslage behindern eine stärkere Nutzung von Cloud Computing.

 

Cloud Computing aus rechtlicher Perspektive

Das Cloud Computing wirft aus rechtlicher Sicht insbesondere im Haftungs- und Beweisrecht sowie im Datenschutzrecht zahlreiche, bisher noch ungeklärte Problemstellungen auf. So stellt sich zum einen die Frage, wie sich die beweisrechtliche Position zwecks haftungsrechtlicher Aufklärung streitgegenständlicher Geschehnisse adäquat stärken lässt. Daneben muss auch eine datenschutzrechtliche Bewertung verschiedener Cloud Computing Systeme vorgenommen werden. Die Untersuchung derartiger rechtlicher Aspekte mündet darüber hinaus in die offene Frage, wie einerseits mit den anerkannten gesetzlichen Beweismitteln haftungsrechtliche Fragen ausreichend adressiert werden können und andererseits gleichzeitig ein angemessenes Datenschutzniveau gewährleistet werden kann. Derartigen offenen Fragestellungen versucht das Projekt KASTEL entsprechend zu begegnen.

Beteiligte Forschungsgruppe war das Zentrum für angewandte Rechtswissenschaften (ZAR).

Ansprechpartner: Silvia Balaban (ZAR)

Referenzen

  1. S. Balaban, F. Pallas. Non simplificate nubes! Ein rechtlicher Blick hinter die Kulissen informatischer Cloud-Forschung. Herbsttagung der Deutschen Stiftung für Recht und Informatik. 2013, S. 325-342.
  2. S. Balaban, F. Pallas. Haftung und Beweis bei geschachtelt komponierten Cloud-Services. Zeitschrift zum Innovations- und Technikrecht (InTeR), Nr. 4, pp. 193-198, 2013.
  3. M. Schöller, R. Bless, F. Pallas, J. Horneber, P. Smith. An Architectural Model for Deploying Critical Infrastructure Services in the Cloud. Proceedings of the 5th International Conference on Cloud Computing Technology and Science (CloudCom) 2013, Bd. 1, pp. 458-466, 2013.

Cloud-Speicherdienste

Eine zentrale Komponente in allen großen und skalierbaren Anwendungen unterschiedlichster Anwendungsdomänen ist das Datenhaltungssystem. Das Datenhaltungssystem beeinflusst entsprechend entscheidend die Sicherheit des Gesamtsystems. Die Untersuchung von Sicherheitsaspekten für Cloud-Speicherdienste (engl.: Cloud Storage) ist deshalb in KASTEL besonders vielversprechend.

Cloud-Speicherdienste – in KASTEL werden darunter vor allem NoSQL-Systeme und -Dienste verstanden – haben den Anspruch eine scheinbar unendlich große Speicherkapazität, eine hohe Skalierbarkeit, eine hohe Performanz und eine hohe Verfügbarkeit zu garantieren. Dabei gibt es nicht nur eine Art von Speichdiensten, sondern eine Vielzahl von Angeboten mit entsprechend unterschiedlicher Architektur. Beispiele für kommerzielle Cloud-Speicherdienste sind Dropbox, Google Cloud Storage, Amazon Simple Storage Service (S3), Apache Cassandra, Project Voldemort>, Rackspace Cloud Files, Microsoft Azure Cache, Amazon Relational Database Service (RDS), Google Cloud SQL, Rackspace Cloud Database oder Microsoft Azure SQL-Datenbank. Auch existieren viele vermeintlich sichere Alternativen zu diesen Diensten, wie z.B. der Cryptographic Cloud Storage, SecCSIE, Cloud-RAID, CryptDB, HAIL, MetaStorage, MimoSecco oder Wuala. Alle aufgeführten Cloud-Speicherdienste unterscheiden sich bzgl. ihrer funktionalen und qualitativen Eigenschaften, insbesondere aber in Bezug auf die bereitgestellten Sicherheitseigenschaften.

 

Analyseschema für sichere Cloud-Speicherdienste

In KASTEL wurden in den vergangenen Jahren verschiedene „sichere“ Cloud-Speicherdienstprototypen bzgl. ihrer Sicherheitsmechanismen analysiert und charakterisiert, wie z.B. Cryptographic Cloud Storage oder CryptDB. Daraus entsteht aktuell ein Analyseschema für verschiedenste Cloud-Speicherdienste. Das KASTEL-Analyseschema für sichere Cloud-Speicherdienste dient dabei der Charakterisierung und dem Vergleich von Cloud-Speicherdiensten, der Identifikation von Schwachstellen, und der Auswahl von Zielen für die Entwicklung von weiteren sicheren Cloud-Speicherdienst-Prototypen. Ziel ist es, eine Art Landkarte für sichere Cloud-Speicherdienste und der verwendeten Sicherheitsmechanismen zu erhalten.

Beteiligte Forschungsgruppe war das Institut für Angewandte Informatik und Formale Beschreibungsverfahren (aifb).

Ansprechpartner: Steffen Müller (AIFB)


Cloud-Prototyping

Die Forschung der KASTEL-Arbeitsgruppe Cloud Computing ist durch die experimentelle Entwicklung mehrerer Prototypen geprägt. Mehrere Prototypen sind nötig, um der Vielzahl der unterschiedlichen Architekturen, Sicherheitsmechanismen und deren Konfigurationen zu begegnen. Dabei fokussieren die Untersuchungen insbesondere auf eine verschiedene Gewichtung und Abstufung der Sicherheitsziele Vertraulichkeit und Verfügbarkeit. Die experimentelle Untersuchung dieser Prototypen erlaubt Rückschlüsse auf den Zusammenhang von Sicherheitszielen, Sicherheitsmechanismen und anderen Qualitätsmerkmalen.

 

 

Prototyp MimoSecco

Mithilfe von „MimoSecco“ können strukturierte Daten sicher in die Cloud ausgelagert werden. Dazu stellt MimoSecco den Benutzern eine SQL-Schnittstelle bereit und speichert die abgelegten Daten verschlüsselt in Cloud-Datenbanken ab (siehe: MimoSecco).

MimoSecco wird in KASTEL als Basis für weitere Cloud-Speicherdienstprototypen verwendet und weiterentwickelt.

Beteiligte Forschungsgruppe war das Institut für theoretische Informatik (ITI).

AnsprechpartnerMatthias Gabel (ITI)

Referenzen

  1. D. Achenbach, M. Gabel und M. Huber. MimoSecco: A Middleware for Secure Cloud Storage. Improving Complex Systems Today, Springer London, 2011, S. 175-181.
  2. M. Gabel, G. Hübsch. Secure Database Outsourcing to the Cloud using the MimoSecco Middleware. Workshop Trusted Cloud 2013. Aug. 2013.
  3. M. Huber, G. Hartung. Side Channels in Secure Database Outsourcing on the Example of the MimoSecco Scheme. Workshop Trusted Cloud 2013. 2013.
  4. M. Huber, M. Gabel, M. Schulze, A. Bieber. Cumulus4j: A Provably Secure Database Abstraction Layer. Security Engineering and Intelligence Informatics, Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2013, S. 180-193.

Weiterführende Links

Projekt MimoSecco



Prototyp MetaStorage

MetaStorage ist ein Cloud-Speicherdienst mit Key-Value-Schnittstelle. MetaStorage abstrahiert dazu die Schnittstellen von unterschiedlichen Cloud-Speicherdiensten (horizontale Cloud-Speicherdienst-Föderation), wie z.B. Amazon S3, Google Cloud Storage oder Rackspace Cloud Files. Im Hintergrund repliziert MetaStorage die Daten dann auf die angebundenen Cloud-Speicherdienste und hält die Daten konsistent. Fällt nun ein einzelner Cloud-Anbieter aus, bleiben die Daten trotzdem weiterhin verfügbar.

MetaStorage wird im Rahmen von KASTEL weiterentwickelt und ist als Open Source Projekt bereitgestellt worden (siehe: MetaStorage auf SourceForge.net).

Beteiligte Forschungsgruppe war das Institut für Angewandte Informatik und Formale Beschreibungsverfahren (aifb).

Ansprechpartner: Steffen Müller (AIFB)

Referenzen

  1. D. Bermbach, M. Klems, S. Tai, M. Menzel. MetaStorage: A Federated Cloud Storage System to Manage Consistency-Latency Tradeoffs. Proceedings of the 2011 IEEE International Conference on Cloud Computing (CLOUD), 2011, S. 452-459.
  2. T. Kurze, M. Klems, D. Bermbach, A. Lenk, S. Tai, M. Kunze. Cloud Federation. Proceedings of the 2011 IARIA International Conference on Cloud Computing, GRIDs, and Virtualization (CLOUD COMPUTING 2011), 2011.

Weiterführende Links

MetaStorage auf SourceForge.net

 

 

Prototyp UC4MetaStorage

Die vollständige Replikation von Daten auf alle angebundenen Cloud-Speicherdienste durch MetaStorage kann zu Sicherheits- und Compliance-Problemen führen. So sollen häufig bestimmte Cloud-Anbieter, z.B. aufgrund von Sicherheits- oder Datenschutzüberlegungen, bevorzugt werden. Bei horizontal föderierten Cloud-Speicherdiensten, wie z.B. MetaStorage, fehlen i.d.R. geeignete Kontrollmechanismen, die die Replikation gemäß gewünschter Richtlinien bzw. Policies steuern. Der Prototyp Usage Control for MetaStorage (UC4MetaStorage) erlaubt durch die Integration eines Usage Control Frameworks in MetaStorage die Berücksichtigung von örtlichen, zeitlichen und qualitativen Einschränkungen in Form von Policies für eine feingranulare Steuerung der Replikation und Datenverteilung.

Beteiligte Forschungsgruppe war das Institut für Angewandte Informatik und Formale Beschreibungsverfahren (aifb).

Ansprechpartner: Steffen Müller (AIFB)

Referenzen

  1. T. Wüchner, S. Müller, R. Fischer Compliance-Preserving Cloud Storage Federation Based on Data-Driven Usage Control Proceedings of the 5th IEEE International Conference on Cloud Computing Technology and Science (CloudCom) 2013, 2013, S. 285-288.


Weiterführende Links

Poster zu UC4MetaStorage

 

 

Prototyp MimoSecco + Cassandra

In Zusammenarbeit mit dem Trusted-Cloud-Projekt PeerEnergyCloud wird MimoSecco an verschiedene NoSQL-Systeme, wie z.B. Apache Cassandra, angebunden.

Beteiligte Forschungsgruppe war das Institut für theoretische Informatik (ITI).

Ansprechpartner:

 Matthias Gabel (ITI)

 

Weiterführende Links

Projekt Peer Energy Cloud

Projekt Trusted Cloud

 

 

Analysetool TLSBench

Transport Layer Security (TLS) wird immer häufiger zur Absicherung von Kommunikation eingesetzt. Dabei verursacht die Aktivierung von TLS in der Regel gewissen Performance-Overhead. Mit TLSBench lässt sich dieser Performance-Overhead von TLS bei Cloud-Speicherdiensten, wie z.B. Apache Cassandra oder Amazon DynamoDB, messen.

Beteiligte Forschungsgruppe war das Institut für Angewandte Informatik und Formale Beschreibungsverfahren (aifb).

Ansprechpartner: Steffen Müller (AIFB)

Referenzen

  1. S. Müller, D. Bermbach, S. Tai und F. Pallas. Benchmarking the Performance Impact of Transport Layer Security in Cloud Database Systems. Proceedings of the 2nd IEEE International Conference on Cloud Engineering (IC2E) 2014, 11 03 2014.

Weiterführende Links

TLSBench auf SourceForge.net