Sécuristation du Cloud

Schémas de recherche sur données chiffrées avancés Laboratoire de Cryptologie Thales Communications & Security 9 Avril 215 9/4/215 1 / 75

Contexte Introduction Contexte Objectif Applications Aujourd hui une entité est capable de maîtriser un périmètre de sécurité interne. 9/4/215 2 / 75

Contexte Introduction Contexte Objectif Applications Cependant le volume des données numériques produites ne cesse de croître et beaucoup sont contraintes d externaliser leur stockage de données. 9/4/215 3 / 75

Contexte Introduction Contexte Objectif Applications De nombreux opérateurs de Cloud sont prêts à accueillir ces données. 9/4/215 4 / 75

Contexte Objectif Applications Contexte - Fonctionnalités sans Une partie des opérateurs de Cloud fonctionnent aujourd hui sur un modèle "orienté Service ". 9/4/215 5 / 75

Contexte Objectif Applications Contexte - Fonctionnalités sans 9/4/215 6 / 75

Contexte Objectif Applications Contexte - sans Fonctionnalités D autres choisissent d offrir de fortes garanties de sécurité à leurs clients. 9/4/215 7 / 75

Contexte Objectif Applications Contexte - sans Fonctionnalités 9/4/215 8 / 75

Contexte Objectif Applications Objectif Développer une solution de recherche évoluées sur données chiffrées répondant à un compromis différent : Garantir que l opérateur de Cloud n apprenne ni le contenu des requêtes ni le contenu des réponses via une preuve de sécurité. Fonctionnalité Offrir à l utilisateur un service de recherche évolué par mots-clés. Efficacité Assurer un niveau de performances comparable à celui d une solution non sécurisée. 9/4/215 9 / 75

Contexte Objectif Applications Menaces - Attaquants extérieurs 1 Même si l on fait confiance à son opérateur de Cloud, ce dernier peut être victime d une attaque informatique. 9/4/215 1 / 75

Contexte Objectif Applications Menaces - Attaquants extérieurs 2 Nos données sensibles sont alors révélées. 9/4/215 11 / 75

Contexte Objectif Applications Menaces - opérateur de Cloud public semi-honnête Le modèle d attaque pertinent est de considérer que l on veut protéger nos données de l opérateur de Cloud qui en assure le stockage. 9/4/215 12 / 75

Contexte Objectif Applications Menaces - opérateur de Cloud privé semi-honnête On peut utiliser aussi cette solution afin de réduire le niveau de sensibilité d un opérateur de Cloud interne. 9/4/215 13 / 75

Contexte Objectif Applications Acteurs Entités manipulant de gros volumes de données Grandes entreprises ; Hôpitaux ; Administrations ; Organisations militaires. Contrainte de sécurité dans le cas de données sensibles Stratégiques : affaires, brevets ; Confidentielles : données personnelles, classifiées. 9/4/215 14 / 75

Plan Introduction Contexte Objectif Applications 1 Notations & Algorithmes Description du modèle 2 3 Description du prototype Résultats expérimentaux 4 9/4/215 15 / 75

Plan Introduction Notations & Algorithmes Description du modèle 1 Notations & Algorithmes Description du modèle 2 3 Description du prototype Résultats expérimentaux 4 9/4/215 16 / 75

Notations & Algorithmes Description du modèle Paramètres & Notations Paramètres DB nombre de documents dans la base de données ; W nombre de mots-clés distincts ; N = w DB(w) nombre de couples document/mot-clé. Format des recherches évoluées Une requête évoluée ψ( w) est définie par un ensemble de mots-clés w W et une formule booléenne ψ sur w. On note DB(ψ( w)) l ensemble des documents qui correspondent à la requête ψ( w) dans DB. 9/4/215 17 / 75

Notations & Algorithmes Description du modèle Algorithmes Ces deux algorithmes sont des protocoles impliquant le client et le serveur. Initialisation EDBSetup prend en entrée une base de donnée DB et renvoie une clé K ainsi qu une structure EDB Recherche (K, EDB) EDBSetup(DB) Search prend en entrée la clé K, ψ( w) et EDB et renvoie les indices DB(ψ( w)) DB(ψ( w)) Search(K, ψ( w), EDB) 9/4/215 18 / 75

Plan Introduction Notations & Algorithmes Description du modèle 1 Notations & Algorithmes Description du modèle 2 3 Description du prototype Résultats expérimentaux 4 9/4/215 19 / 75

Notations & Algorithmes Description du modèle - Introduction Être sûr n a de sens que dans un modèle de sécurité. Fonction de fuite On donne la liste précise des informations qui fuient au niveau du serveur via une fonction de fuite qui permet quantifier précisément cette fuite. Principe du modèle L objectif est de prouver l exhaustivité de la fonction de fuite. On compare un monde où l exécution des protocoles est normale ; un monde où on simule la vue de l attaquant à partir de la fonction de fuite. 9/4/215 2 / 75

Monde Réel Introduction Notations & Algorithmes Description du modèle 9/4/215 21 / 75

Monde Idéal Introduction Notations & Algorithmes Description du modèle 9/4/215 28 / 75

Objectif de l attaquant Notations & Algorithmes Description du modèle 9/4/215 35 / 75

Plan Introduction 1 Notations & Algorithmes Description du modèle 2 3 Description du prototype Résultats expérimentaux 4 9/4/215 39 / 75

Principe du filtre de Bloom Le filtre de Bloom d après [Bloom, 197], est une méthode de représentation compacte d un ensemble permettant de vérifier l appartenance en temps constant. Ensemble x Fonctions de hachage h 1 Filtre de Bloom y h 2 m = 15 z h 3 n = #{x, y, z} = 3 k = #{h 1, h 2, h 3 } = 3 9/4/215 4 / 75

Insertion de l élément x y x z h 1 1 9/4/215 41 / 75

Insertion de l élément x y x z h 2 1 1 9/4/215 42 / 75

Insertion de l élément x y x z h 3 1 1 1 9/4/215 43 / 75

Insertion de l élément y y x z 1 1 1 1 1 1 9/4/215 44 / 75

Insertion de l élément z y x z 1 1 1 1 1 1 1 1 9/4/215 45 / 75

Faux positif Introduction Test d appartenance d un élément w / {x, y, z} y x z w 1 1 1 1 1 1 1 1 9/4/215 46 / 75

Indexation Introduction id 3 From : id 2 To : w w From : id 1 id 1 w w To : w 1 w w From : w 1 w To : 2 w w w 2 w 3 w w w 3 w w w w, w w w w w w. w 4 w 4 w 5 w 5 id 2 w 2 w 4 w 6 id 3 w 1 w 3 w 4 w 5 DB = 3 et W = 6 9/4/215 48 / 75

Indexation Introduction id 1 w 1 w 2 w 3 w 4 w 5 id 2 w 2 w 4 w 6 id 3 w 1 w 3 w 4 w 5 w 1 w 2 w 3 w 4 w 5 w 6 id 1 id 3 id 1 id 2 id 1 id 1 id 1 id 2 id 3 id 2 id 3 id 3 N = 2 + 2 + 2 + 3 + 2 + 1 = 12 9/4/215 49 / 75

Chiffrement des identifiants w 1 id 1 id 3 w 2 id 1 id 2 w 3 id 1 id 3 w 4 id 1 id 2 id 3 e i = Enc(K wj, id i ) w 5 id 1 id 3 w 6 id 2 w 6 e 2 w 5 e 1 e 3 w 4 e 1 e 2 e 3 w 3 e 1 e 3 w 2 e 1 e 2 w 1 e 1 e 3 9/4/215 5 / 75

Création du répertoire de recherche TSet r 1,1 r 1,2 r 1,3 r 1,4 r 1,5 r 1,6 r 2,1 r 2,2 r 3,3 r 2,3 r 2,4 r 2,5 r 2,6 r 3,4 r 3,5 r 3,6 r 4,1 r 3,1 r 4,2 r 4,4 r 3,2 r 4,3 r 4,5 r 4,6 r 5,3 r 5,4 r 5,5 r 6,5 r 5,1 r 5,2 r 5,6 r 6,1 r 6,2 r 6,3 r 6,4 r 6,6 r 7,1 r 7,2 r 7,3 r 7,4 r 7,5 r 7,6 r 8,1 r 8,2 r 8,3 r 8,4 r 8,5 r 8,6 9/4/215 51 / 75

Création du répertoire de recherche e w 1 1 e 3 e w 1 2 e 2 e 1 w 3 e 3 e 1 w 4 e 2 e 3 e 1 w 5 e 3 PRFs stream cipher TSet r 1,5 r 1,6 r 1,1 r 1,2 r 1,3 r 1,4 r 2,1 r 2,2 r 2,3 r 2,4 c w1,e 1 r 2,6 r 3,1 r 4,1 r 3,2 r 4,2 r 3,3 r 4,3 r 3,4 r 4,4 r 3,5 r 4,5 r 3,6 r 4,6 r 5,1 r 6,1 r 5,2 r 6,2 r 5,3 r 6,3 r 5,4 r 6,4 r 5,5 r 6,5 r 5,6 r 6,6 r 7,1 r 7,2 r 7,3 r 7,4 r 7,5 r 7,6 r 8,1 r 8,2 r 8,3 r 8,4 r 8,5 r 8,6 w 6 e 2 9/4/215 52 / 75

Création du répertoire de recherche e w 1 1 e 3 e w 1 2 e 2 e 1 w 3 e 3 e 1 w 4 e 2 e 3 e 1 w 5 e 3 PRFs stream cipher r 2,2 TSet r 1,1 r 1,2 r 1,3 r 1,4 r 1,5 r 1,6 r 2,1 r 2,3 r 2,4 c w1,e 1 r 2,6 r 3,1 r 3,2 r 3,3 r 3,4 r 3,5 r 3,6 r 4,1 r 4,2 r 4,3 r 4,4 r 4,5 r 4,6 r 5,1 r 5,2 r 5,3 r 5,4 r 5,5 c w1,e 3 r 6,1 r 6,2 r 6,3 r 6,4 r 6,5 r 6,6 r 7,1 r 7,2 r 7,3 r 7,4 r 7,5 r 7,6 r 8,1 r 8,2 r 8,3 r 8,4 r 8,5 r 8,6 w 6 e 2 9/4/215 53 / 75

Création du répertoire de recherche e w 1 1 e 3 e w 1 2 e 2 e 1 w 3 e 3 e 1 w 4 e 2 e 3 e 1 w 5 e 3 PRFs stream cipher TSet r 1,1 r 1,2 c w4,e 3 r 1,4 r 1,5 r 1,6 r 2,1 r 2,2 r 2,3 r 2,4 c w1,e 1 r 2,6 c w4,e 2 r 3,2 r 3,3 r 3,4 r 3,5 r 3,6 r 4,1 r 4,2 c w3,e 3 r 4,4 c w3,e 1 r 4,6 r 5,1 c w5,e 1 r 5,3 r 5,4 r 5,5 c w5,e 3 r 6,2 r 6,3 c w4,e 1 r 6,5 r 7,1 r 7,2 c w2,e 2 r 7,4 c w2,e 1 r 8,1 c w6,e 2 r 8,3 r 8,4 r 8,5 c w1,e 3 r 6,6 r 7,6 r 8,6 w 6 e 2 9/4/215 54 / 75

Recherche Introduction Client Serveur K w4 1, K w4 2, K w4 3 w 4 PRFs r 1,1 r 1,2 c w4,e3 r 1,4 r 1,5 r 1,6 r 2,1 r 2,2 r 2,3 r 2,4 c w1,e1 r 2,6 c w4,e2 r 3,2 r 3,3 r 3,4 r 3,5 r 3,6 r 4,1 r 4,2 c w3,e3 r 4,4 c w3,e1 r 4,6 e 3 e 2 r 5,1 c w5,e1 r 5,3 r 5,4 r 5,5 c w5,e3 r 6,2 r 6,3 c w4,e1 r 6,5 r 7,1 r 7,2 c w2,e2 r 7,4 c w2,e1 r 8,1 c w6,e2 r 8,3 r 8,4 r 8,5 c w1,e3 r 6,6 r 7,6 r 8,6 e 1 id i = Dec(K w4, e i ) 9/4/215 55 / 75

Résultat Introduction Après déchiffrement le client obtient id 1, id 2 et id 3 w 4 id 1 w 1 w 2 w 3 w 5 id 2 w 2 w 4 w 6 id 3 w 4 w 1 w 3 w 5 9/4/215 56 / 75

Modification du répertoire de recherche TSet w 1 id 1 id 3 w 2 id 1 id 2 w 3 id 1 id 3 w 4 id 1 id 2 id 3 w 5 id 1 id 3 w 6 id 2 y wi,id j = Fp(id j ) F p(w i j) r 1,1 r 1,2 r 1,4 r 1,5 r 1,6 r 2,1 r 2,2 r 2,3 r 2,4 y w1 r,id 2,6 1 c w4,e 2 y w4,id 2 r 3,2 r 3,3 r 3,4 r 3,5 r 3,6 c r 4,1 r w3,e 3 c 4,2 y w3 r w3,e 1,id 4,4 r 4,6 3 y w3,id 1 c w1,e 3 r 5,1 y w5,id r 5,3 r 5,4 r 5,5 1 y w1,id 3 c w5,e 3 c r 6,2 r w4,e 1 6,3 r 6,5 r 6,6 y w5,id 3 c w5,e 1 y w4,id 1 c r 7,1 r w2,e 2 c 7,2 y w2 r w2,e 1 7,4 r,id 7,6 2 y w2,id 1 c w6,e 2 y w6,id 2 c w4,e 3 yw4,id 3 c w1,e 1 r 8,1 r 8,3 r 8,4 r 8,5 r 8,6 9/4/215 58 / 75

Modification du filtre de Bloom w 1 id 1 id 3 w 2 id 1 id 2 w 3 id 1 id 3 id 1 w 4 id 2 id 3 xtag wi,id j = g F p (w i ).F p(id j ) XSet xtag w3,id 3 xtag w5,id 1 xtag w5,id 3 xtag w1,id 1 xtag w2,id 2 xtag w4,id 3 xtag w6,id 2 xtag w4,id 1 xtag w4,id 2 id 1 w 5 id 3 xtag w1,id 3 xtag w2,id 1 w 6 id 2 xtag w3,id 1 9/4/215 59 / 75

Recherche booléenne Client Φ( w) = w 2 w 3 Serveur w 2 w 3 PRFs stag w2 xtoken w2,w 3 TSet e 1 y w2,id 1 e 2 y w2,id 2 xtoken w2,w 3 [1] = g F p (w2 1).F p (w3) xtoken w2,w 3 [2] = g F p (w2 2).F p (w3) xtag w3,id 1 xtag w3,id 2 xtoken[i] yi XSet xtag w3,id 1 xtag w3,id 2 XSet / XSet e 1 9/4/215 6 / 75

& Fonction de Fuite - 1 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuite liée à la base de données chiffrée N Le nombre de couples document/mot-clé 9/4/215 62 / 75

& Fonction de Fuite - 1 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuite liée à la base de données chiffrée N Le nombre de couples document/mot-clé Fuites liées aux requêtes : La formule booléenne 9/4/215 62 / 75

& Fonction de Fuite - 1 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuite liée à la base de données chiffrée N Le nombre de couples document/mot-clé Fuites liées aux requêtes : La formule booléenne ψ 9/4/215 62 / 75

& Fonction de Fuite - 1 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuite liée à la base de données chiffrée N Le nombre de couples document/mot-clé Fuites liées aux requêtes : La formule booléenne ψ L égalité des premiers mots-clés pour deux requêtes 9/4/215 62 / 75

& Fonction de Fuite - 1 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuite liée à la base de données chiffrée N Le nombre de couples document/mot-clé Fuites liées aux requêtes : La formule booléenne ψ L égalité des premiers mots-clés pour deux requêtes w 1 w 2 et w 1 w 3 9/4/215 62 / 75

& Fonction de Fuite - 1 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuite liée à la base de données chiffrée N Le nombre de couples document/mot-clé Fuites liées aux requêtes : La formule booléenne ψ L égalité des premiers mots-clés pour deux requêtes w 1 w 2 et w 1 w 3 Le nombre de documents correspondant au premier mot-clé 9/4/215 62 / 75

& Fonction de Fuite - 1 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuite liée à la base de données chiffrée N Le nombre de couples document/mot-clé Fuites liées aux requêtes : La formule booléenne ψ L égalité des premiers mots-clés pour deux requêtes w 1 w 2 et w 1 w 3 Le nombre de documents correspondant au premier mot-clé DB(w 1 ) si w = {w 1,... } 9/4/215 62 / 75

& Fonction de Fuite - 2 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuites liées aux requêtes : 9/4/215 63 / 75

& Fonction de Fuite - 2 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuites liées aux requêtes : Le nombre de mots-clés distincts de chaque requête 9/4/215 63 / 75

& Fonction de Fuite - 2 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuites liées aux requêtes : Le nombre de mots-clés distincts de chaque requête w 9/4/215 63 / 75

& Fonction de Fuite - 2 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuites liées aux requêtes : Le nombre de mots-clés distincts de chaque requête w Le nombre de documents correspondant à une requête 9/4/215 63 / 75

& Fonction de Fuite - 2 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuites liées aux requêtes : Le nombre de mots-clés distincts de chaque requête w Le nombre de documents correspondant à une requête DB(ψ( w)) 9/4/215 63 / 75

& Fonction de Fuite - 2 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuites liées aux requêtes : Le nombre de mots-clés distincts de chaque requête w Le nombre de documents correspondant à une requête DB(ψ( w)) Les identifiants chiffrés correspondant à deux premiers mots-clés, pour deux requêtes identiques à l exception de ceux-ci 9/4/215 63 / 75

& Fonction de Fuite - 2 Le schéma [Cash et al., 214] est prouvé sûr pour la fonction de fuite suivante : Fuites liées aux requêtes : Le nombre de mots-clés distincts de chaque requête w Le nombre de documents correspondant à une requête DB(ψ( w)) Les identifiants chiffrés correspondant à deux premiers mots-clés, pour deux requêtes identiques à l exception de ceux-ci DB(w 1 w 2 ) si w 1 = w 1 w et w 2 = w 2 w 9/4/215 63 / 75

Plan Introduction Description du prototype Résultats expérimentaux 1 Notations & Algorithmes Description du modèle 2 3 Description du prototype Résultats expérimentaux 4 9/4/215 64 / 75

Description du prototype Résultats expérimentaux Ensemble documentaire & Matériel Documents Corpus de courriers électroniques Enron : 6 courriers électroniques générés par 158 salariés Matériel Intel quad-core cadencé à 3, 2 Ghz 4 Go de RAM Disque dur de 7 2 RPM Système d exploitation Debian 32 bits Base de données PostgreSQL 9/4/215 65 / 75

Plan Introduction Description du prototype Résultats expérimentaux 1 Notations & Algorithmes Description du modèle 2 3 Description du prototype Résultats expérimentaux 4 9/4/215 66 / 75

Temps d initialisation Description du prototype Résultats expérimentaux 3 25 Creation des index inverses Initialisation de la base chiffree Creation du TSet Insertion dans la base de donnees 2 Temps (min) 15 1 5 1e+6 2e+6 3e+6 4e+6 5e+6 6e+6 7e+6 8e+6 9/4/215 Taille de la base de donnees en nombre de couples document/mot-cle 67 / 75

Description du prototype Résultats expérimentaux Taille de la base de données chiffrée 7 XSet TSet DB 6 5 Taille (Mo) 4 3 2 1 1 4 7 1 4 7 1 9/4/215 Nombre de documents dans la base de donnees 68 / 75

Description du prototype Résultats expérimentaux Recherche par mot-clé unique 1 1 Recherche constante petite (1) Recherche constante moyenne (1 ) Recherche proportionnelle mediane Recherche proportionnelle maximale 1 Temps (s) 1 1.1.1.1 1 1e+6 Taille de la base de donnees en nombre de couples document/mot-cle 9/4/215 69 / 75

Description du prototype Résultats expérimentaux Recherche booléenne 1 1 v v et a a et v b et v 1 Temps (s) 1 1.1.1.1 1 1 1 1 1 1 Frequence du terme variable (v) 9/4/215 7 / 75

Nous avons réalisé un démonstrateur de recherche sur grands volumes de données chiffrées 9/4/215 71 / 75

Nous avons réalisé un démonstrateur de recherche sur grands volumes de données chiffrées Garantissant que l opérateur de Cloud n apprenne ni le contenu des requêtes ni le contenu des réponses via une preuve de sécurité 9/4/215 71 / 75

Nous avons réalisé un démonstrateur de recherche sur grands volumes de données chiffrées Garantissant que l opérateur de Cloud n apprenne ni le contenu des requêtes ni le contenu des réponses via une preuve de sécurité Fonctionnalité Offrant à l utilisateur un service de recherche évolué par mots-clés 9/4/215 71 / 75

Nous avons réalisé un démonstrateur de recherche sur grands volumes de données chiffrées Garantissant que l opérateur de Cloud n apprenne ni le contenu des requêtes ni le contenu des réponses via une preuve de sécurité Fonctionnalité Offrant à l utilisateur un service de recherche évolué par mots-clés Efficacité Assurant un niveau de performances comparable à celui d une solution non sécurisée Migration d une grande base de données en moins de 48 h Recherche transparente du point de vue de l utilisateur 9/4/215 71 / 75

Perspectives - Performances Accès disque Utiliser un disque à mémoire flash SSD ; Stocker les structures de recherche en RAM. Multiplication scalaire sur les courbes elliptiques Pré-calculs d une table de multiples du générateur ; Implémentation spécifique à une courbe (Edwards) et à une architecture. Parallélisation Implémenter une parallélisation intra-requête ; Paralléliser l initialisation côté client. 9/4/215 72 / 75

Perspectives - Gestions des droits d accès La gestion du droit d accès peut être faite par la Crypto et cela réduit les fuites d informations. Récupération des documents chiffrés Utilisation de primitives avancées ex : Private Information Retrieval. Réduction des fuites par masquage Bourrage des structures de données ; Masquage algorithmique via la fonction d indexation. 9/4/215 73 / 75

Merci! Questions? 9/4/215 74 / 75

Références Bibliographiques I Bloom, B. (197). Space/time trade-offs in hash coding with allowable errors. Communications of ACM, 13(7):422 426. Cash, D., Jaeger, J., Jarecki, S., Jutla, C., Krawczyk, H., Rosu, M.-C., and Steiner, M. (213). Dynamic searchable encryption in very-large databases : Data structures and implementation. IACR Cryptology eprint Archive. Cash, D., Jarecki, S., Jutla, C., Krawczyk, H., Rosu, M.-C., and Steiner, M. (214). Highly scalable searchable symmetric encryption with support for boolean queries. IACR Cryptology eprint Archive. 9/4/215 75 / 75