Sécurisation du stockage de données sur le Cloud Michel Kheirallah

Transcription

1 Sécurisation du stockage de données sur le Cloud Michel Kheirallah

2 Introduction I Présentation du Cloud II Menaces III Exigences de sécurité IV Techniques de sécurisation 2 26/02/2015

3 Présentation du Cloud 1. Spécificités techniques 2. Importance de la sécurité 3 26/02/20115

4 Le Cloud - Spécificités techniques Données externalisées 4 Pas de copie en locale Accessible depuis n'importe où Disponibilité et Sécurité dépendent du CP

5 Le Cloud - Spécificités techniques Données externalisées Stockage massif de données 5 De l'ordre du Tera octet par utilisateur Exemple : Amazon S3 propose le GO à 0,03 $/mois

6 Le Cloud - Spécificités techniques Données externalisées Stockage massif de données Calculs intensifs 6 Grande quantité de données à traiter

7 Présentation du Cloud 1. Spécificités techniques 2. Importance de la sécurité 7

8 Le Cloud - Importance de la sécurité Première préoccupation des entreprises 8 74 % considèrent la sécurité comme l'élément les empêchant d'externaliser leurs données sur le Cloud

9 Le Cloud - Importance de la sécurité Conséquences très importantes 9 Perte irrémédiable de données

10 Le Cloud - Importance de la sécurité Conséquences très importantes 10 Perte irrémédiable de données Diffusion de données strictement confidentielles

11 Le Cloud - Importance de la sécurité Affecte de nombreux utilisateurs 11 Grosses entreprises (Réseaux sociaux, banques etc.)

12 Le Cloud - Importance de la sécurité Affecte de nombreux utilisateurs 12 Grosses entreprises (Reddit, banques etc.) Millions d'utilisateurs impactés

13 Plan I Présentation du cloud II Menaces III Exigences de sécurité IV Techniques de sécurisation 13

14 Menaces 1. Cloud Provider 2. Attaquant externe 14

15 Menaces - Cloud Provider (CP) CP «Honest but Curious» 15 La bonne exécution des programmes est assurée

16 Menaces - Cloud Provider (CP) CP «Honest but Curious» 16 La bonne exécution des programmes est assurée L'intégrité des données est assurée

17 Menaces - Cloud Provider (CP) CP «Honest but Curious» 17 La bonne exécution des programmes est assurée L'intégrité des données est assurée La confidentialité des données n'est pas assurée

18 Menaces Attaquant externe Intrus Employés du Cloud NSA Gouvernements... 18

19 Plan I Présentation du cloud II Menaces III Exigences de sécurité IV Techniques de sécurisation 19

20 Exigences de sécurité 20

21 Exigences de sécurité - Confidentialité Chiffrement des données 21

22 Exigences de sécurité - Confidentialité Chiffrement des données 22 S'assurer de la confidentialité des données même vis à vis du Cloud Provider

23 Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées 23

24 Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées 24 Ne récupérer du Cloud que les documents pertinents

25 Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées Contrôle d'accès sur données chiffrées 25

26 Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées Contrôle d'accès sur données chiffrées 26 Permettre à plusieurs personnes de pouvoir déchiffrer les données sans partager sa clé privée

27 Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées Contrôle d'accès sur données chiffrées Exécution de programme sur données chiffrées 27

28 Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées Contrôle d'accès sur données chiffrées Exécution de programme sur données chiffrées 28 Effectuer des traitements de données directement sur le Cloud

29 Plan I Présentation du cloud II Menaces III Exigences de sécurité IV Techniques de sécurisation 29

30 Techniques de Sécurisation 1. Recherche sur données chiffrées 2. Chiffrement à base d'attributs 3. Chiffrement homomorphe 30

31 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées 2000 Song Permet de retrouver les documents contenant certain mots clés Requête de recherche est chiffrée (le mot clé recherché n'est pas dévoilé) Pas de fuites d'informations sur les documents 31

32 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Data Owner 32

33 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Data Owner 33

34 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Data Owner 34

35 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Mot clés à rechercher Data Owner 35

36 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Mot clés à rechercher Data Owner «Trapdoor» correspondant aux mots clé 36

37 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Requête chiffrée Data Owner 37

38 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Requête chiffrée Data Owner 38

39 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées L'intérêt est de ne télécharger que les données pertinentes (diminuer les coûts en bande passante) Éviter toute fuite d'informations sur les données (index et requêtes de recherches chiffrés) 39

40 Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Les différents schémas de «Searchable Encryption» permettent : 40 Rechercher plusieurs mots clés (Multi-keyword) Supporter l'utilisation d'expressions régulières («Fuzzy» Keywords) Classer les données retournées (Ranked search)

41 Techniques de Sécurisation 1. Recherche sur données chiffrées 2. Chiffrement à base d'attributs 3. Chiffrement homomorphe 41

42 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs 2006 Goyal Permet de contrôler l'accès à une donnée chiffrée Les données sont chiffrées suivant une politique d'accès Chaque utilisateur a une clé privée avec certains attributs 42 Tous les utilisateurs ayant des attributs respectant la politique de la donnée peuvent déchiffrer la donnée

43 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs 43

44 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs Public Key (chiffrement) 44

45 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs Public Key (chiffrement) 45

46 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs Public Key (chiffrement) 46

47 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 47

48 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 48

49 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 49

50 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 50

51 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 51

52 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 52

53 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 53

54 Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs Repose sur les applications bilinéaires Permet de mettre en place différentes politiques d'accès 54

55 Techniques de Sécurisation 1. Recherche sur données chiffrées 2. Chiffrement à base d'attributs 3. Chiffrement homomorphe 55

56 Techniques de Sécurisation - Confidentialité Chiffrement homomorphe 2009 Gentry Permet d effectuer des opérations sur les données chiffrées 56

57 Techniques de Sécurisation - Confidentialité Chiffrement homomorphe 2009 Gentry Permet d effectuer des opérations sur les données chiffrées 57 Les données ne sont jamais déchiffrées pendant l'exécution Le résultat est lui aussi chiffré

58 Techniques de Sécurisation - Confidentialité Chiffrement homomorphe 2009 Gentry Craig Gentry, «Fully homomorphic encryption using ideal lattices». 58

59 Techniques de Sécurisation - Confidentialité Chiffrement homomorphe Homomorphisme additif Homomorphisme multiplicatif 59

60 Techniques de Sécurisation - Confidentialité Chiffrement homomorphe Problème : Tous les schémas connus ne respectent pas «indéfiniment» ces 2 propriétés 60 Du bruit apparaît après chaque opération Il faut contrôler ce bruit afin d'obtenir des schémas «Fully Homomorphe» : Bootstrapping

61 Techniques de Sécurisation - Confidentialité Chiffrement homomorphe Traitement de données confidentielles (analyses médicales, authentification biométriques...) 61

62 Techniques de Sécurisation - Confidentialité Chiffrement homomorphe En théorie c'est très intéressant En pratique, ce n'est pas performant et dans l'état actuel inutilisable (opérations de réduction du bruit trop coûteuses) 62

63 Conclusion 63

64 Références 64

65 Références -data-center-expansion-plans/ es-pratiques-de-securite.html Xiao, Z., & Xiao, Y. (2013). Security and privacy in cloud computing. Communications Surveys & Tutorials, IEEE, 15(2), Ryan, M. D. (2013). Cloud computing security: The scientific challenge, and a survey of solutions. Journal of Systems and Software, 86(9), Sun, W., Lou, W., Hou, Y. T., & Li, H. (2014). Privacy-Preserving Keyword Search Over Encrypted Data in Cloud Computing. Secure Cloud Computing, Moore, C., O'Neill, M., O'Sullivan, E., Doroz, Y., & Sunar, B. (2014, June). Practical homomorphic encryption: A survey. In Circuits and Systems (ISCAS), 2014 IEEE International Symposium on (pp ). IEEE. 65

66 Références Khan, A. N., Kiah, M. L., Khan, S. U., & Madani, S. A. (2013, September). A study of incremental cryptography for security schemes in mobile cloud computing environments. In Wireless Technology and Applications (ISWTA), 2013 IEEE Symposium on (pp ). IEEE. Naehrig, M., Lauter, K., & Vaikuntanathan, V. (2011, October). Can homomorphic encryption be practical?. In Proceedings of the 3rd ACM workshop on Cloud computing security workshop (pp ). ACM. G. Ateniese, R. Burns, R. Curtmola, J. Herring, L. Kissner, Z. Peterson, and D. Song, Provable data possession at untrusted stores, In ACM CCS, pages , Juels, A., & Kaliski Jr, B. S. (2007, October). PORs: Proofs of retrievability for large files. In Proceedings of the 14th ACM conference on Computer and communications security (pp ). ACM. 66

67 Références Bowers, K. D., Juels, A., & Oprea, A. (2009, November). HAIL: a high-availability and integrity layer for cloud storage. In Proceedings of the 16th ACM conference on Computer and communications security (pp ). ACM.. Wang, C., Wang, Q., Ren, K., Cao, N., & Lou, W. (2012). Toward secure and dependable storage services in cloud computing. Services Computing, IEEE Transactions on, 5(2), Subashini, S., & Kavitha, V. (2011). A survey on security issues in service delivery models of cloud computing. Journal of Network and Computer Applications, 34(1), Renaud Sidrey, Conference CEA LIST th September