Frage:
Online-Backup: Wie können Verschlüsselung und Deduplizierung kompatibel sein?
Bruno Rohée
2011-09-14 16:45:37 UTC
view on stackexchange narkive permalink

Bitcasa, ein Online-Sicherungsdienst für die baldige Beta-Version, behauptet, sowohl Deduplizierung (Sie sichern noch nichts in der Cloud) als auch clientseitige Verschlüsselung zu haben.

http://techcrunch.com/2011/09/12/with-bitcasa-the-entire-cloud-is-your-hard-drive-for-only-10-per-month/

Eine Patentrecherche liefert nichts mit ihrem Firmennamen, aber die Patente sind möglicherweise in Vorbereitung und noch nicht erteilt.

Ich finde die Behauptung mit dem Informationsstand, den ich jetzt habe, ziemlich zweifelhaft, weiß jeder mehr darüber, wie sie behaupten, das zu erreichen? Hätten die Gründer des Unternehmens keinen ernsthaften geschäftlichen Hintergrund (Verisign, Mastercard ...), hätte ich das Produkt sofort als Schlangenöl eingestuft, aber vielleicht steckt noch mehr dahinter.

Bearbeiten: gefunden a Besorgniserregender Tweet: https://twitter.com/#!/csoghoian/status/113753932400041984, der Verschlüsselungsschlüssel pro Datei wird von seinem Hash abgeleitet, sodass er definitiv nicht der Ort ist, an dem Sie Ihren Torrent-Film speichern können Sammlung, nicht dass ich das jemals tun würde.

Edit2: Wir haben es tatsächlich richtig erraten, sie verwendeten die sogenannte konvergente Verschlüsselung und somit kann jemand, der dieselbe Datei besitzt wie Sie, wissen, ob Ihre dieselbe ist, da Sie haben den Schlüssel. Dies macht Bitcasa zu einer sehr schlechten Wahl, wenn die Dateien, die Sie vertraulich behandeln möchten, nicht original sind. http://techcrunch.com/2011/09/18/bitcasa-explains-encryption/

Edit3: https://crypto.stackexchange.com/questions / 729 / ist-konvergente-Verschlüsselung-wirklich-sicher haben die gleiche Frage und unterschiedliche Antworten

Ich frage mich, ob diese Deduplizierungsfunktion verwendet werden kann, um Personen zu identifizieren, die dieselben Daten hochgeladen haben. Ich denke, das wäre ein Datenschutzproblem.
@MToecker: In diesem Fall besteht der Zweck der Verschlüsselung ausschließlich darin, die Daten zu verbergen. Es ist nicht beabsichtigt, Privatsphäre zu bieten. (Das muss den Nutzern natürlich klar gemacht werden!)
Sie könnten die Entwickler von [Conformal Systems] (https://opensource.conformal.com/) nach ihrem Projekt [Cyphertite] (https://www.cyphertite.com/) fragen?
Acht antworten:
Misha
2011-09-14 17:31:58 UTC
view on stackexchange narkive permalink

Ich habe die Details nicht durchdacht, aber wenn ein sicherer Hash des Dateiinhalts als Schlüssel verwendet würde, könnten alle (und einzigen) Clients, die "den Hash kannten", auf den Inhalt zugreifen.

Im Wesentlichen würde der Cloud-Speicher als kollektive partielle (tatsächlich sehr spärliche) Regenbogentabelle für die Hashing-Funktion fungieren, sodass sie "umgekehrt" werden kann.

Aus dem Artikel: "Auch wenn Die RIAA und die MPAA klopften mit Vorladungen in der Hand an die Türen von Bitcasa. Alles, was Bitcasa hätte, wäre eine Sammlung verschlüsselter Bits, ohne dass sie entschlüsselt werden könnten. " - true, da Bitcasa die Zuordnung von Objekt-ID / Dateiname zu Hash / Schlüssel nicht enthält. Nur ihre Kunden tun dies (clientseitig). Wenn die RIAA / MPAA die Hashes der fraglichen Dateien kennen würde (bekannt für zB bestimmte Song-MP3s), könnten sie entschlüsseln und beweisen, dass Sie eine Kopie haben, aber zuerst müssten sie wissen, welches Cloud-Speicherobjekt / Datei enthielt welches Lied.

Clients müssten natürlich den Hash für jedes in der Cloud gespeicherte Objekt und seinen lokalen Namen dafür behalten, um darauf zugreifen und es entschlüsseln zu können.

In Bezug auf einige der anderen im Artikel beanspruchten Funktionen:

  • "Komprimierung" - würde nicht serverseitig funktionieren (der verschlüsselte Inhalt wird nicht gut komprimiert), könnte aber clientseitig angewendet werden. Seite vor der Verschlüsselung
  • "überall verfügbar" - Wenn die Zuordnung von Objekt zu Dateiname und Hash / Schlüssel nur auf dem Client erfolgt, sind die Dateien von anderen Geräten unbrauchbar, was die Nützlichkeit der Cloud einschränkt Lager. Könnte z.B. Speichern Sie auch die Sammlung von Tupeln für Objid-zu-Dateinamen und Hash / Schlüssel, die clientseitig mit einer Passphrase verschlüsselt sind.
  • "Patentierte Deduplizierungsalgorithmen" - es muss mehr los sein als die oben, um ein Patent zu rechtfertigen - möglicherweise Deduplizierung auf Block- statt auf Dateiebene?
  • Die RIAA / MPAA könnte mit einer Vorladung und einer mit ihrem eigenen Hash verschlüsselten Kopie des Songs / Films kommen, von dem sie vermuten, dass die Leute Kopien davon haben. Bitcasa kann dann bestätigen, ob diese Datei gespeichert wurde oder nicht. Sie könnten es nicht entschlüsseln (ohne dass RIAA / MPAA ihnen den Hash / Schlüssel gibt), und (insbesondere wenn sie keine Benutzerkontingente erzwingen, weil sie "unendlichen Speicher" anbieten) haben sie möglicherweise keine Protokolle von gespeichert welche Benutzer es hochgeladen / heruntergeladen haben. Ich vermute jedoch, dass sie möglicherweise aufgefordert werden, die Datei zu entfernen (gemäß den DMCA-Safe-Harbor-Regeln) oder möglicherweise den Inhalt beizubehalten, aber dann alle Konten zu protokollieren, die ihn in Zukunft hochladen / herunterladen.
    • Es scheint einfach zu sein, dem bekannten MP3-Hash der RIAA auszuweichen, indem einfach ein ID3-Tag auf eine lange zufällige Zeichenfolge gesetzt wird. Einige ähnliche nicht betriebsbereite Änderungen an Filmdateien würden die Bemühungen der MPAA behindern.
    Es ist unwahrscheinlich, dass eine Deduplizierung auf Dateiebene erfolgt, sondern auf Blöcken einer ausgewählten Größe. Das Hashing und die Deduplizierung wären also wahrscheinlich nicht möglich, um sehr nützliche Informationen zu bestimmten Dateien zu erhalten.
    Thomas Pornin
    2011-09-14 17:43:50 UTC
    view on stackexchange narkive permalink

    Die kommerzielle Anzeige, auf die Sie verlinken, und die Unternehmenswebsite enthalten nur sehr wenige Informationen. und "20 Patente" als Kompetenznachweis zu schwenken ist seltsam: Patente beweisen nicht, dass die Technologie gut ist, nur dass es einige Leute gibt, die ein paar tausend Dollar auf die Idee gesetzt haben, dass die Technologie dies tun wird gut verkaufen .

    Mal sehen, ob es eine Möglichkeit gibt, diese Versprechen zu erfüllen.

    Wenn Daten clientseitig verschlüsselt sind, muss es eine geben ein geheimer Schlüssel K f sub> für diese Datei. Der Punkt der Sache ist, dass Bitcasa K f nicht kennt. Um die Deduplizierung und das Caching sowie, was noch wichtiger ist, die Freigabe zu implementieren, muss jeder Benutzer, der eine bestimmte Datei f verschlüsselt, dasselbe K f sub> . Es gibt einen raffinierten Trick, der darin besteht, den Hash der Datei selbst mit einer geeigneten Hash-Funktion (z. B. SHA-256) als K f sub> zu verwenden. Mit diesem Trick wird dieselbe Datei immer in demselben verschlüsselten Format angezeigt, das dann nach Belieben hochgeladen und dupliziert werden kann.

    Dann hätte ein Benutzer ein lokales Speichern Sie (auf seinem Computer) alle K f sub> für alle seine Dateien zusammen mit einer Datei-ID. Wenn Benutzer A die Datei für Benutzer B freigeben möchte, klickt Benutzer A mit der rechten Maustaste, um die Freigabe-URL abzurufen, und sendet sie an B. Vermutlich enthält die URL die Datei-ID und K f sub> . Der Text besagt, dass sowohl Benutzer A als auch B registrierte Benutzer sein müssen, damit die Freigabe funktioniert, sodass die "URL" auf dem Computer von B wahrscheinlich von einer Software abgefangen wird, die die ID und K f extrahiert sub> von dieser "URL", lädt die Datei vom Server herunter und entschlüsselt sie lokal mit dem neu erworbenen Wissen über K f sub> .

    Für zusätzliche Ausfallsicherheit und Benutzerfreundlichkeit kann der Satz bekannter Schlüssel K f sub> für einige Benutzer auch auf den Servern gespeichert werden - Sie müssen also nur " Erinnern Sie sich an "einen einzelnen K f sub> -Schlüssel, den Sie von einem Computer auf einen anderen übertragen können.

    Ich sage also, dass das, was Bitcasa verspricht, möglich ist - da würde ich wissen wie es geht und es gibt hier nichts wirklich neues oder technologisch fortgeschrittenes. Ich kann nicht behaupten, dass Bitcasa dies tut , nur dass ich es so tun würde. Der "schwierige" Teil besteht darin, dies in vorhandene Betriebssysteme zu integrieren (so dass das "Speichern einer Datei" den Verschlüsselungs- / Upload-Prozess auslöst): Einige Arbeiten, aber kaum ein Patent wert, geschweige denn 20 Patente.

    Hinweis Wenn Sie K f sub> = h (f) verwenden, können Sie eine umfassende Suche nach dem Inhalt der Datei durchführen. Dies ist in einem Dienst mit Deduplizierung ohnehin unvermeidbar: Wenn Sie eine neue Datei "hochladen" und nur den Vorgang zeitlich festlegen, können Sie feststellen, ob die Datei bereits serverseitig bekannt war oder nicht.

    Ist TechCrunch kein Höhepunkt fairer und ethischer Berichterstattung ;-)
    Wenn die Technologie wie von Ihnen beschrieben funktioniert, würde dies bedeuten, dass Sie bei einem Absturz Ihrer Festplatte Ihre Dateien nicht aus der Cloud wiederherstellen könnten, da die Originale (und wahrscheinlich auch die Schlüssel) für Sie verloren gegangen wären? Wenn dies der Fall ist, würde dies den Dienst als Backup unbrauchbar machen, richtig?
    @Joshua: gut, mit Krypto muss man immer bei _something_ beginnen. Wenn die Server alles so speichern würden, dass Ihre Daten wiederhergestellt werden könnten, auch wenn Sie sich an nichts erinnern, wäre das System nicht gegen die Server selbst sicher. Was getan werden könnte, ist, alle _Kf_ in einer Datei zu speichern und dann einfach die _Kf_ für diese Datei zu "merken" - möglicherweise mit einem Passwort zu verschlüsseln oder auf ein Papier zu schreiben, das Sie in einem Safe aufbewahren. Mit Crypto können Sie mit einem einzigen kleinen Schlüssel beginnen, der mit Low-Tech-Tools gespeichert werden kann.
    zedman9991
    2011-09-14 18:19:03 UTC
    view on stackexchange narkive permalink

    Bruce Schneier hat das Thema im Mai http://www.schneier.com/blog/archives/2011/05/dropbox_securit.html im Zusammenhang mit dem Dropbox-Problem dieser Woche angesprochen. TechRepublic bietet ein großartiges 7-seitiges Whitepaper zum Thema zum Preis einer E-Mail-Anmeldung unter http://www.techrepublic.com/whitepapers/side-channels-in-cloud-services-the-case -der Deduplizierung im Cloud-Speicher / 3333347.

    Das Papier konzentriert sich auf die Seitenkanal- und verdeckten Kanalangriffe, die bei der Cloud-Deduplizierung verfügbar sind. Die Angriffe nutzen die Deduplizierung zwischen Benutzern. Wenn Sie beispielsweise wissen, dass Bob den Service nutzt und sein von einer Vorlage erstellter Gehaltsvertrag dort oben ist, können Sie Versionen davon erstellen, bis Sie sein Gehalt erreicht haben. Der Erfolg wird durch die Zeit angezeigt, die zum Hochladen der Datei benötigt wurde.

    Natürlich besteht Ihr Schutz darin, vor der Nutzung des Dienstes zu verschlüsseln. Dies verhindert jedoch die Kosteneinsparungen für den Dienst, die ihn wirtschaftlich rentabel machen, da fast alle Deduplizierungsmöglichkeiten ausgeschlossen wären. Daher wird der Dienst die Auswahl nicht fördern.

    D.W.
    2011-09-15 08:01:51 UTC
    view on stackexchange narkive permalink

    Zusätzlich zu den anderen guten Antworten hier möchte ich Sie auf die folgenden zwei wissenschaftlichen Arbeiten verweisen, die kürzlich veröffentlicht wurden:

    • Martin Mulazzani, Sebastian Schrittwieser, Manuel Leithner, Markus Huber und Edgar Weippl, Dunkle Wolken am Horizont: Verwenden von Cloud-Speicher als Angriffsvektor und Online-Slack Space, Usenix Security 2011.

      In diesem Dokument wird beschrieben, wie Dropbox funktioniert führt eine Deduplizierung durch und identifiziert Angriffe auf den Mechanismus. Sie schlagen einen neuartigen Weg vor, um sich gegen einige - aber nicht alle - dieser Angriffe zu verteidigen, indem der Client nachweisen muss, dass er den Inhalt der Datei (nicht nur den Hash) kennt, bevor er auf die Datei zugreifen darf.

    • Danny Harnik, Benny Pinkas, Alexandra Shulman-Peleg. Seitenkanäle in Cloud-Diensten, der Fall der Deduplizierung im Cloud-Speicher, IEEE Security & Privacy Magazine.

      In diesem Dokument werden drei Cloud-Speicherdienste analysiert, die eine Deduplizierung durchführen (Dropbox, Mozy) und Memopal) und weist auf die daraus resultierenden Sicherheits- und Datenschutzrisiken hin. Sie schlagen eine neuartige Verteidigung gegen diese Risiken vor, indem sichergestellt wird, dass eine Datei nur dann dupliziert wird, wenn viele Kopien vorhanden sind, wodurch der Informationsverlust verringert wird.

    Diese Dokumente scheinen direkt relevant für Ihre Frage. Sie zeigen auch, dass es Raum für Innovationen bei nicht trivialen Abschwächungen der Risiken einer naiven Deduplizierung gibt.

    Nakedible
    2011-09-15 02:12:09 UTC
    view on stackexchange narkive permalink

    Verschlüsselung und Deduplizierung zwischen beliebigen Benutzern sind nicht kompatibel, wenn Sie bestimmte Klartexte unterscheiden möchten. Wenn Sie sich nicht über diese Art von Angriffen Gedanken machen, kann dies sicher sein.

    Wenn die Daten nur für einen bestimmten Benutzer de-dupliziert werden, weiß der Server nichts über die Gleichwertigkeit von Klartexten und Die verbleibenden Angriffe sind wirklich geringfügig.

    Wenn die Daten zwischen einem Freundeskreis, der etwas teilt, das dem Dienstanbieter nicht bekannt ist (automatisch machbar), dupliziert werden, nur Personen aus diesem Kreis von Freunde können Klartexte unterscheiden (über Timing usw.).

    Wenn die Daten jedoch zwischen allen Benutzern dupliziert werden, muss der hypothetische Angreifer, der wissen möchte, auf welche Klartexte zugegriffen wird, diese speichern die Datei in die Cloud selbst und überwachen Sie dann, welche Benutzerkonten auf dieselben Daten zugreifen. Sicher, der Dienst kann die Benutzerkonten / IP-Adressen, die auf die Daten zugreifen, einfach nicht "protokollieren" - aber das hat dann nichts mit Verschlüsselung zu tun, und der gleiche "Schutz" würde auch dann bestehen bleiben, wenn die Dateien Klartext wären.

    Keine der anderen hier gegebenen Antworten scheint etwas vorzuschlagen, das diesen Angriff stoppen würde, und ich glaube, Bitcasa auch nicht. Ich würde mich jedoch freuen, wenn ich mich als falsch erweisen würde.

    (Hinweis: Es gibt einige Möglichkeiten, um möglicherweise etwas in der Nähe davon zu erreichen - es wurden einige Artikel über sichere Clouds veröffentlicht Speicherung mit allen möglichen innovativen Techniken - aber dies sind neue Forschungsergebnisse, und die meisten davon werden wahrscheinlich ziemlich schnell kaputt gehen oder als nicht realisierbar angezeigt. Ich würde meinen Daten noch nicht vertrauen.)

    Dazu kann ich nur hinzufügen, dass MPAA und RIAA höchstwahrscheinlich nur eine gerichtliche Anordnung / ein Gesetz erhalten, das Bitcasa dazu zwingt, einen Mechanismus zu implementieren, der es den beiden Organisationen ermöglicht, eine Liste der Benutzer mit bestimmten Inhalten zu erhalten. Das Problem ist also nicht einmal technisch.
    Zooko
    2011-09-23 21:14:47 UTC
    view on stackexchange narkive permalink

    Dieselbe Frage wurde beim Austausch von Kryptografiestapeln gestellt. Bitte lesen Sie meine Antwort dort, da es eine Subtilität gibt, die leicht zu übersehen ist und die vom Open Source-Projekt Tahoe-LAFS sorgfältig analysiert wurde: https://crypto.stackexchange.com/questions/729/is- Konvergente-Verschlüsselung-wirklich-sicher / 758 # 758

    Können Sie hier nur ein wenig erweitern - ein paar Stichpunkte zu der von Ihnen erwähnten Subtilität würden den Benutzern helfen.
    Es gibt zwei mögliche Angriffe. Das erste, das wir als "Bestätigung eines Dateiangriffs" bezeichnen, ist das offensichtliche Problem, dass die Deduplizierung die Tatsache aufdeckt, dass die beiden Dinge identisch waren. Dieses Problem wurde sofort erkannt und diskutiert, als 1996 erstmals eine konvergente Verschlüsselung (nicht unter diesem Namen) auf der Cypherpunks-Mailingliste vorgeschlagen wurde. (Bevor Microsoft ein Patent für konvergente Verschlüsselung anmeldete, ist die Diskussion über Cypherpunks Stand der Technik, der das Microsoft-Patent ungültig macht .)
    Der zweite Angriff, den wir "die restlichen Informationen lernen" nennen, ist nicht so offensichtlich, und soweit ich weiß, war niemandem dieser Angriff bekannt, bis Drew Perttula und Brian Warner ihn 2008 als Angriff auf die Tahoe-LAFS-Sicherheit entwickelten Dateisystem. Beim Angriff "Lernen Sie die verbleibenden Informationen" kann der Angreifer einige geheime, zufällige, unbekannte Teile einer größeren Datei erraten und dann herausfinden, ob eine ihrer Vermutungen richtig ist. Bitte lesen Sie den Artikel unter: http://tahoe-lafs.org/hacktahoelafs/drew_perttula.html
    Rory Alsop
    2011-09-14 17:34:06 UTC
    view on stackexchange narkive permalink

    Abgesehen von der großartigen Antwort, die @Misha gerade auf dem 'bekannten Hash' veröffentlicht hat, entfernt die clientseitige Verschlüsselung effektiv jede andere Möglichkeit zur Deduplizierung, es sei denn, es gibt einen Treuhandschlüssel, der möglicherweise ohnehin andere logistische Probleme verursachen würde.

    Ich glaube nicht, dass das richtig ist. Metadaten sind ein Seitenkanal, der eine Deduplizierungsmöglichkeit bieten kann. Schauen Sie sich einfach die Dateigröße aller Ihrer Dokumente an. Vor dem leicht verfügbaren Hashing war die Dateigröße eine häufig verwendete Metrik für die Erkennung von Duplikaten.
    Ich wusste nicht, dass es tatsächlich verwendet wurde. Macht es noch jemand? Viel zu einfach, um die gewünschte Datei zu fälschen, oder?
    Es wurde in Shareware-Programmen von Windows (3.1 und 95) verwendet, um nach doppelten Dateien zu suchen (wenn der Dateiname nicht ausreichte). Ich glaube nicht, dass jemand diese Technik explizit verwendet, aber die Größe ist ein wichtiger Schutz gegen das Anhängen, um geänderte Daten auf einen Ziel-Hash-Wert zurückzubringen. Für den durchschnittlichen Heimanwender war es früher so, dass er nur wenige Dokumente hatte und normalerweise unterschiedliche Größen hatte. Die enorme Datenmenge, über die der Durchschnittsverbraucher jetzt verfügt, sowie eine Vielzahl von Dateien (Bildern) mit nahezu identischer Größe machen die Dateigröße zu einem schlechten Indikator.
    pAkY88
    2013-12-16 21:50:37 UTC
    view on stackexchange narkive permalink

    Sie haben vollkommen recht! Nur konvergente Verschlüsselung zu verwenden, ist keine gute Wahl, selbst für nicht originale Dateien https://tahoe-lafs.org/hacktahoelafs/drew_perttula.html Glücklicherweise scheint es eine Lösung zu geben, um Verschlüsselung und zu kombinieren Deduplizierung. Es heißt ClouDedup: http://elastic-security.com/2013/12/10/cloudedup-secure-deduplication/



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...