Abstract:
Das Teilen von Daten bildet die Grundlage für nahezu jede IT-gestützte Zusammenarbeit im geschäflichen und privaten Kontext. Typische Realisierungen der Autorisierung und der Durchsetzung von Zugrifsrechten auf den gemeinsam genutzten Daten erfordern, dass die Benutzer, die Daten miteinander teilen, hinsichtlich der Vertraulichkeit und Integrität der Daten auf Dritte vertrauen müssen. Solche Realisierungen bergen also im speziellen das Risiko, dass Daten durch einen Insider- Angrif auf den vertrauenswürdigen Dritten gefährdet werden. Mit Hilfe clientseitig ausgeführter kryptographischer Operationen können die Autorisierung und die Durchsetzung von Zugrifsrechten für beliebige Speicherdienste in weiten Teilen von den Benutzern selbst durchgeführt werden, was in einem Ende-zu-Ende-gesicherten System zum Teilen von Daten (End-to-End Secure Data Sharing, E2E-SDS) resultiert. ... mehrE2E-SDS-Systeme werden jedoch nur dann von potenziellen Anwendern akzeptiert, wenn die ihnen bekannten Autorisierungsprozesse weitgehend unverändert bleiben, und die Leistungseinbußen für die Autorisierung und den Datenzugriff nicht zu gravierend sind.
Das Hauptziel dieser Arbeit ist die Bewertung der Leistungseinbußen, die auf einem Benutzer-Client mit einem gegebenen E2E-SDS-Protokoll in der Realität zu erwarten sind. Für bestehende E2E-SDS-Protokolle ist das asymptotische Verhalten in Bezug auf Leistungsmetriken wie Rechenzeit oder Netzwerkverkehr in der Regel bekannt. Das asymptotische Verhalten lässt jedoch nur schwache Schlussfolgerungen auf die absolute Höhe der Leistungseinbußen zu. Neben dem E2E-SDS-Protokoll selbst hängt die reale Leistung von der eingesetzten Hardware, den Sicherheitsparametern und dem konkreten Freigabe- und Nutzungsszenario ab, also vom Freigabe- und Nutzungsverhalten der Benutzer im System. Die Bewertung der realen Leistungseinbußen bringt im wesentlichen zwei Herausforderungen mit sich: Erstens muss das zu untersuchende E2E-SDS-Protokoll unter Einbeziehung der vorgenannten Einfussfaktoren auf die Leistung modelliert werden, wobei Implementierungsdetails nach Möglichkeit im Modell einfach austauschbar sind. Zweitens müssen realistische Freigabe- und Nutzungsszenarien vorliegen, die entweder auf Beobachtungen basieren, oder mit Hilfe von Schätzungen generiert werden.
Das Ziel dieser Arbeit ist die detaillierte Bewertung der realen Leistung von E2E-SDS-Protokollen. Der Fokus der Arbeit liegt auf E2E-SDS-Protokollen, die ein gruppenbasiertes Autorisationsmodell realisieren, die es also ermöglichen, Daten mit benannten Benutzergruppen zu teilen, die von beliebigen Benutzern verwaltet werden. Diese Funktion wird von weitverbreiteten verteilten Dateisystemen wie NFSv4 oder CIFS angeboten.
In dieser Arbeit werden Methoden zur Bewertung der realen Leistung von E2E-SDS-Protokollen vorgestellt. Aus der Beobachtung realer Speicherdienste gewonnene Freigabe- und Nutzungsszenarien werden charakterisiert und eine Methode zur Erzeugung synthetischer Freigabe- und Nutzungsszenarien eingeführt. Unter Nutzung dieses Instrumentariums wird die Leistungsfähigkeit sowohl bestehender als auch neuartiger E2E-SDS-Protokolle evaluiert und mögliche Maßnahmen zur Verbesserung der Leistung auf Seiten des Anwenders vorgeschlagen.
Um realistische Freigabe- und Nutzungsszenarien zu erhalten, wurden die Mitglieder, Aktivitäten und Berechtigungen von Benutzergruppen auf zwei produktiven Speicherdiensten beobachtet. Die daraus resultierenden Szenarien werden hinsichtlich ausgewählter Parameter charakterisiert.
Für die Leistungsbewertung von E2E-SDS-Protokollen in realistischen Szenarien wurden zwei Methoden entwickelt: Die analytische Methode liefert in vielen Fällen hinreichend genaue Ergebnisse. Die simulative Methode ist erforderlich, wenn die Leistung komplexer E2E-SDS-Protokolle detailliert analysiert werden soll. Für die simulative Methode wird ein Simulationsmodell vorgestellt, das einen Vergleich von E2E-SDS-Protokollen auf einer einheitlichen Abstraktionsebene ermöglicht.
Um die Performance von E2E-SDS-Protokollen auch dann bewerten zu können, wenn keine aus Beobachtungen resultierende Freigabe- und Nutzungsszenarien vorliegen, werden synthetische Szenarien erzeugt, die auf Schätzungen bestimmter Parameter des Szenarios basieren. Dazu wird ein Erzeugungsverfahren vorgestellt, das Abhängigkeiten zwischen den vorab spezifzierten Parametern berücksichtigt. Die NP-Schwere des zugrundeliegenden Problems der Erzeugung von Szenarien wird für bestimmte Kombinationen von vorab spezifzierten Parametern bewiesen.
Die vorgestellten Methoden zur Leistungsbewertung werden einerseits auf E2E- SDS-Protokolle angewandt, die auf traditioneller Kryptographie basieren, die also mittels symmetrischer und asymmetrischer Kryptographie Chiffrate erzeugen, die nur mit einem einzigen Schlüssel dechifriert werden können. Andererseits werden die vorgestellten Methoden auf E2E-SDS-Protokolle angewandt, die auf Attributbasierter Verschlüsselung (Attribute-Based Encryption, ABE) basieren, mit deren Hilfe eine Gruppe von Benutzern mit nur einem einzigen Chiffrat adressiert werden kann.
Die Leistungsbewertung des traditionellen E2E-SDS-Protokolls zeigt, dass in den betrachteten Nutzungs- und Nutzungsszenarien für die meisten Autorisierungsoperationen nur geringe Leistungseinbußen zu erwarten sind. Beträchtliche Leistungseinbußen sind für Benutzer zu erwarten, die Gruppenmitgliedschafen in großen benannten Benutzergruppen verwalten, d.h. Benutzergruppen mit einigen tausend oder mehr Mitgliedern. Diese Leistungseinbußen können durch die Integration eines Group Key Management-Ansatzes deutlich gesenkt werden, also eines Ansatzes, der auf eine effiziente Verteilung und Erneuerung von kryptographischen Schlüsseln innerhalb von Benutzergruppen abzielt.
Ein auf ABE basierendes E2E-SDS-Protokoll wird realisiert, indem bestehende ABE- Verfahren hinsichtlich ihrer Eignung für E2E-SDS evaluiert, und das attributbasierte Autorisationsmodell eines geeigneten ABE-Verfahrens auf das gruppenbasierte Autorisationsmodell abgebildet wird. Eine Leistungsbewertung verschiedener Varianten dieser Abbildung zeigt, dass das ABE-basierte Protokoll eine etwas schlechtere Leistung als das auf traditioneller Kryptographie beruhende Protokoll bietet.
Schließlich wird ein neuartiges E2E-SDS-Protokoll vorgestellt, das auf kooperative Autorisierungsoperationen verzichtet. Diese Operationen erfordern, dass die Endgeräte der Benutzer zu jedem Zeitpunkt erreichbar und bereit für die Ausführung rechenintensiver kryptographischer Operationen sind. Diese Anforderungen sind insbesondere beim Einsatz mobiler Endgeräte nicht immer sichergestellt. Ein wesentlicher Vorteil des vorgeschlagenen Protokolls liegt darin, dass es den praktischen Einsatz von Hierarchien benannter Benutzergruppen in E2E-SDS ermöglicht. Die damit verbundenen, potenziell hohen Leistungseinbußen werden detailliert ausgewertet. Weiterhin wird gezeigt, dass die Unterstützung von Gruppenhierarchien ohne kooperative Autorisierungsoperationen grundsätzlich gewisse Einschränkungen hinsichtlich der Aktualität der Zugrifsberechtigungen impliziert, was die Grenzen der Anwendbarkeit von E2E-SDS aufzeigt.
Abstract (englisch):
Data sharing forms the basis for almost any IT-based collaboration in both business and personal contexts. Typical realizations of authorization and access control enforcement on the shared data require the group of sharing users to trust third parties to protect data confdentiality and integrity. Such realizations of data sharing bear the specifc risk of data being compromised by an insider attack on the trusted third party. By means of client-side cryptography, major parts of the authorization and access control enforcement for arbitrary storage services can be carried out by the sharing users themselves, resulting in an End-to-End Secure Data Sharing (E2E-SDS) system. ... mehrHowever, such systems will only be accepted by potential users if the authorization processes they are familiar with remain largely unaltered, and if the performance penalties for authorization or data access are not too heavy.
The main objective of this thesis is to evaluate the real-world performance penalties that have to be expected on a user client with a given E2E-SDS protocol. For existing E2E-SDS protocols, the asymptotical behavior is usually known with regard to performance metrics such as computation time or network traffic volume, but this does not offer much insight into how big the performance penalties are in absolute terms. Besides the E2E-SDS protocol itself, the real-world performance depends on the employed hardware, the security parameters, and the concrete sharing and usage scenario, i.e.,the sharing and usage behavior of the users in the system. Thus, the challenges of a real-world performance evaluation of E2E-SDS protocols are twofold: First, the protocol under study has to be modeled with regard to the aforementioned performance infuencing factors while factoring out implementation details. Second, realistic sharing and usage scenarios have to be observed, or generated based on partial estimated scenarios.
The objective of this work is to evaluate the real-world performance of E2E-SDS protocols in depth. The focus is on E2E-SDS protocols that realize a group-based authorization model, i.e., that allow to share data with named user groups that are managed by arbitrary users. This feature is supported by the authorization model of widely deployed distributed file systems such as NFSv4 or CIFS.
In this work, methods for the evaluation of the real-world performance of E2E-SDS protocols are presented. Realistic usage scenarios taken from real-world storage services are characterized, and a method for the generation of synthetic sharing and usage scenarios is introduced. Based on these instruments, the performance of both existing and novel E2E-SDS protocols is evaluated, and possible measures to improve the performance on the user’s side are proposed.
To get realistic sharing and usage scenarios, the members, activities and permissions of user groups were observed on two real-world storage services. The resulting scenarios are characterized with regard to selected parameters.
For the performance evaluation of E2E-SDS protocols in real-world scenarios, two methods were developed: The analytical method yields results that are sufficiently accurate in many cases. The simulative method is required when the performance of a certain operation is to be analyzed in more detail while studying more complex E2E-SDS protocols. For the simulative method, a simulation model is presented that enables a comparison of E2E-SDS protocols on a unified layer of abstraction.
To be able to evaluate the performance of E2E-SDS protocols when no observed sharing and usage scenarios are available, synthetic scenarios are generated that adhere to estimations of certain parameters of the scenario. For this purpose, a generation method is presented that takes dependencies between predetermined parameters into account. The NP-hardness of the scenario generation problem is proven for certain combinations of predetermined parameters.
The presented performance evaluation methods are applied to E2E-SDS protocols based on traditional cryptography, i.e., symmetric and asymmetric cryptography that produces ciphertexts dedicated to a single recipient only, and based on Attribute-Based Encryption (ABE), which enables to address a whole group of users with just a single ciphertext.
The performance evaluation of the traditional E2E-SDS protocol shows that in the considered sharing and usage scenarios, only minor performance penalties have to be expected for most of the authorization operations. Major performance penalties hit users that manage group memberships in large named user groups, i.e., user groups with a few thousand or more members. These performance penalties can be decreased signifcantly by integrating a Group Key Management approach, which aims at an efficient distribution and renewal of cryptographic keys within user groups.
An E2E-SDS protocol that leverages ABE was realized by evaluating existing ABE schemes with regard to E2E-SDS properties, and mapping the attribute-based authorization model of a suitable ABE scheme to the group-based authorization model. A performance evaluation of different mapping variants shows that the ABE-based protocol offers a slightly worse performance than the protocol based on traditional cryptography.
Finally, a novel E2E-SDS protocol is presented that omits joint authorization operations. Such operations require user devices to be reachable and ready to carry out computationally intensive cryptography at arbitrary points in time, which might be problematic especially when mobile devices are used. A major beneft of the proposed protocol is that it enables the employment of hierarchies of named user groups in E2E-SDS. The potentially heavy performance penalties that come with these hierarchies are evaluated in detail. Furthermore, it is shown that the support of group hierarchies without joint authorization operations fundamentally implies certain limitations regarding the freshness of access permissions, which indicates the limits of the applicability of E2E-SDS.
