Sécurisation du stockage de données sur le Cloud Michel Kheirallah
Introduction I Présentation du Cloud II Menaces III Exigences de sécurité IV Techniques de sécurisation 2 26/02/2015
Présentation du Cloud 1. Spécificités techniques 2. Importance de la sécurité 3 26/02/20115
Le Cloud - Spécificités techniques Données externalisées 4 Pas de copie en locale Accessible depuis n'importe où Disponibilité et Sécurité dépendent du CP
Le Cloud - Spécificités techniques Données externalisées Stockage massif de données 5 De l'ordre du Tera octet par utilisateur Exemple : Amazon S3 propose le GO à 0,03 $/mois
Le Cloud - Spécificités techniques Données externalisées Stockage massif de données Calculs intensifs 6 Grande quantité de données à traiter
Présentation du Cloud 1. Spécificités techniques 2. Importance de la sécurité 7
Le Cloud - Importance de la sécurité Première préoccupation des entreprises 8 74 % considèrent la sécurité comme l'élément les empêchant d'externaliser leurs données sur le Cloud
Le Cloud - Importance de la sécurité Conséquences très importantes 9 Perte irrémédiable de données
Le Cloud - Importance de la sécurité Conséquences très importantes 10 Perte irrémédiable de données Diffusion de données strictement confidentielles
Le Cloud - Importance de la sécurité Affecte de nombreux utilisateurs 11 Grosses entreprises (Réseaux sociaux, banques etc.)
Le Cloud - Importance de la sécurité Affecte de nombreux utilisateurs 12 Grosses entreprises (Reddit, banques etc.) Millions d'utilisateurs impactés
Plan I Présentation du cloud II Menaces III Exigences de sécurité IV Techniques de sécurisation 13
Menaces 1. Cloud Provider 2. Attaquant externe 14
Menaces - Cloud Provider (CP) CP «Honest but Curious» 15 La bonne exécution des programmes est assurée
Menaces - Cloud Provider (CP) CP «Honest but Curious» 16 La bonne exécution des programmes est assurée L'intégrité des données est assurée
Menaces - Cloud Provider (CP) CP «Honest but Curious» 17 La bonne exécution des programmes est assurée L'intégrité des données est assurée La confidentialité des données n'est pas assurée
Menaces Attaquant externe Intrus Employés du Cloud NSA Gouvernements... 18
Plan I Présentation du cloud II Menaces III Exigences de sécurité IV Techniques de sécurisation 19
Exigences de sécurité 20
Exigences de sécurité - Confidentialité Chiffrement des données 21
Exigences de sécurité - Confidentialité Chiffrement des données 22 S'assurer de la confidentialité des données même vis à vis du Cloud Provider
Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées 23
Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées 24 Ne récupérer du Cloud que les documents pertinents
Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées Contrôle d'accès sur données chiffrées 25
Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées Contrôle d'accès sur données chiffrées 26 Permettre à plusieurs personnes de pouvoir déchiffrer les données sans partager sa clé privée
Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées Contrôle d'accès sur données chiffrées Exécution de programme sur données chiffrées 27
Exigences de sécurité - Confidentialité Chiffrement des données Recherche sur données chiffrées Contrôle d'accès sur données chiffrées Exécution de programme sur données chiffrées 28 Effectuer des traitements de données directement sur le Cloud
Plan I Présentation du cloud II Menaces III Exigences de sécurité IV Techniques de sécurisation 29
Techniques de Sécurisation 1. Recherche sur données chiffrées 2. Chiffrement à base d'attributs 3. Chiffrement homomorphe 30
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées 2000 Song Permet de retrouver les documents contenant certain mots clés Requête de recherche est chiffrée (le mot clé recherché n'est pas dévoilé) Pas de fuites d'informations sur les documents 31
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Data Owner 32
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Data Owner 33
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Data Owner 34
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Mot clés à rechercher Data Owner 35
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Mot clés à rechercher Data Owner «Trapdoor» correspondant aux mots clé 36
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Requête chiffrée Data Owner 37
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Requête chiffrée Data Owner 38
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées L'intérêt est de ne télécharger que les données pertinentes (diminuer les coûts en bande passante) Éviter toute fuite d'informations sur les données (index et requêtes de recherches chiffrés) 39
Techniques de Sécurisation - Confidentialité Recherche sur données chiffrées Les différents schémas de «Searchable Encryption» permettent : 40 Rechercher plusieurs mots clés (Multi-keyword) Supporter l'utilisation d'expressions régulières («Fuzzy» Keywords) Classer les données retournées (Ranked search)
Techniques de Sécurisation 1. Recherche sur données chiffrées 2. Chiffrement à base d'attributs 3. Chiffrement homomorphe 41
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs 2006 Goyal Permet de contrôler l'accès à une donnée chiffrée Les données sont chiffrées suivant une politique d'accès Chaque utilisateur a une clé privée avec certains attributs 42 Tous les utilisateurs ayant des attributs respectant la politique de la donnée peuvent déchiffrer la donnée
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs 43
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs Public Key (chiffrement) 44
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs Public Key (chiffrement) 45
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs Public Key (chiffrement) 46
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 47
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 48
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 49
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 50
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 51
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 52
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs (Blue or Yellow) 53
Techniques de Sécurisation - Confidentialité Chiffrement à base d'attributs Repose sur les applications bilinéaires Permet de mettre en place différentes politiques d'accès 54
Techniques de Sécurisation 1. Recherche sur données chiffrées 2. Chiffrement à base d'attributs 3. Chiffrement homomorphe 55
Techniques de Sécurisation - Confidentialité Chiffrement homomorphe 2009 Gentry Permet d effectuer des opérations sur les données chiffrées 56
Techniques de Sécurisation - Confidentialité Chiffrement homomorphe 2009 Gentry Permet d effectuer des opérations sur les données chiffrées 57 Les données ne sont jamais déchiffrées pendant l'exécution Le résultat est lui aussi chiffré
Techniques de Sécurisation - Confidentialité Chiffrement homomorphe 2009 Gentry Craig Gentry, «Fully homomorphic encryption using ideal lattices». 58
Techniques de Sécurisation - Confidentialité Chiffrement homomorphe Homomorphisme additif Homomorphisme multiplicatif 59
Techniques de Sécurisation - Confidentialité Chiffrement homomorphe Problème : Tous les schémas connus ne respectent pas «indéfiniment» ces 2 propriétés 60 Du bruit apparaît après chaque opération Il faut contrôler ce bruit afin d'obtenir des schémas «Fully Homomorphe» : Bootstrapping
Techniques de Sécurisation - Confidentialité Chiffrement homomorphe Traitement de données confidentielles (analyses médicales, authentification biométriques...) 61
Techniques de Sécurisation - Confidentialité Chiffrement homomorphe En théorie c'est très intéressant En pratique, ce n'est pas performant et dans l'état actuel inutilisable (opérations de réduction du bruit trop coûteuses) 62
Conclusion 63
Références 64
Références http://resource.onlinetech.com/cloud-computing-prompts-2012 -data-center-expansion-plans/ http://www.acitechnology.fr/le-cloud-hybride-en-quete-de-bonn es-pratiques-de-securite.html Xiao, Z., & Xiao, Y. (2013). Security and privacy in cloud computing. Communications Surveys & Tutorials, IEEE, 15(2), 843-859. Ryan, M. D. (2013). Cloud computing security: The scientific challenge, and a survey of solutions. Journal of Systems and Software, 86(9), 2263-2268. Sun, W., Lou, W., Hou, Y. T., & Li, H. (2014). Privacy-Preserving Keyword Search Over Encrypted Data in Cloud Computing. Secure Cloud Computing, 189-212. Moore, C., O'Neill, M., O'Sullivan, E., Doroz, Y., & Sunar, B. (2014, June). Practical homomorphic encryption: A survey. In Circuits and Systems (ISCAS), 2014 IEEE International Symposium on (pp. 2792-2795). IEEE. 65
Références Khan, A. N., Kiah, M. L., Khan, S. U., & Madani, S. A. (2013, September). A study of incremental cryptography for security schemes in mobile cloud computing environments. In Wireless Technology and Applications (ISWTA), 2013 IEEE Symposium on (pp. 62-67). IEEE. Naehrig, M., Lauter, K., & Vaikuntanathan, V. (2011, October). Can homomorphic encryption be practical?. In Proceedings of the 3rd ACM workshop on Cloud computing security workshop (pp. 113-124). ACM. G. Ateniese, R. Burns, R. Curtmola, J. Herring, L. Kissner, Z. Peterson, and D. Song, Provable data possession at untrusted stores, In ACM CCS, pages 598-609, 2007. Juels, A., & Kaliski Jr, B. S. (2007, October). PORs: Proofs of retrievability for large files. In Proceedings of the 14th ACM conference on Computer and communications security (pp. 584-597). ACM. 66
Références Bowers, K. D., Juels, A., & Oprea, A. (2009, November). HAIL: a high-availability and integrity layer for cloud storage. In Proceedings of the 16th ACM conference on Computer and communications security (pp. 187-198). ACM.. Wang, C., Wang, Q., Ren, K., Cao, N., & Lou, W. (2012). Toward secure and dependable storage services in cloud computing. Services Computing, IEEE Transactions on, 5(2), 220-232. Subashini, S., & Kavitha, V. (2011). A survey on security issues in service delivery models of cloud computing. Journal of Network and Computer Applications, 34(1), 1-11. Renaud Sidrey, Conference CEA LIST 12.0. 18th September 2014 67