OTP in der Cloud durch IT5D-Technologie
Nicht nur die Welt geht in die Cloud sondern auch die IT5D-Technologie. Dies geschieht zum einen auf einfache Art in Verbindung mit dem Verfahren für den unmanipulierbaren und abhörsicheren Datei- und Ordnerzugriff. [1]
Zum anderen dient die Cloud als Arbeitsplattform für eine Vielzahl von Anwendungen wie z. B. Maut in der Cloud (MIC) oder abhörsicheres Arbeiten in Secure Virtual Private Clouds (SVPC).
In Verbindung mit dem HROTP & ROTP-Verfahren des Dateischutzes [1] nutzt man die Cloud als einzigen großen Datenspeicher.
Ängste genommen und Skepsis beseitigt,
denn man weiß, ...
dass die HROTP- und ROTP-verschlüsselten Dateien vor den Augen Dritter durch harte Verschlüsselung geschützt sind.
Das Arbeiten in und mit der Cloud hängt davon ab, wie das jeweilige Konzept gestaltet ist.
Ausgeliehener, gemieteter Cloud-Service - Arbeiten im Frontend-Gerät
So können die Arbeiten mit und auf dem eigenen Gerät ausgeführt werden, wobei die dazu notwendige Software für einen gemieteten Zeitraum von dem Backend-Gerät (Rechner) der Cloud dem Frontend-Gerät (eigener Rechner) zur Verfügung gestellt wird.
In diesem Fall möchte der Service-Anbieter die Gewissheit besitzen, dass sein ausgeliehener Service vor Dritte sicher sei.
Er möchte sich sicher seien, dass nur die, Service mietende Person den Service für den gemieteten Zeitraum nutzen kann.
Weiterhin sind für den Service-Anbieter von entscheidender Bedeutung, dass die Inhalte seines Service so stark geschützt sind, dass sie nicht belauscht und missbraucht werden können.
Die Nichtmanipulierbarkeit der Authentifikationen spielt neben dem Schutz aller Daten eine entscheidende Bedeutung.
Die IT5D-Technologie gibt den Service-Anbieter in einer Ausbaustufe mit dem Transparenten Security Access Controller (TSAC) die notwendige Sicherheit.
Grundlagen dafür sind zum einen das ganzheitliche Konzept der IT5D-Technologie und somit des TSACs, dass Authentifikationen von Personen, Geräte und Daten sowie den Geheimnisschutz durch HROTP und ROTP-Verschlüsselung absichert, zum anderen das IT5D Fundament und das DZZR-Modell, auf dem der TSAC beruht.
Bei diesem Konzept reduziert sich die OTP Cloud auf die OTP-Verteilung und Zustellung des Cloud Service. Das Arbeiten erfolgt wie üblich auf dem durch den Türsteher gesicherten eigenem Frontend-Gerät.
Vorteil dieser Konzeption liegt darin, dass die zu verarbeitenden Daten des Ausleihers nicht nach außen gegeben werden.
Gemieteter Cloud-Service - Arbeiten über das Frontend-Gerät im Backend-Gerät
Nutz man die Infrastruktur vom Backend-Rechner für die Durchführung der Arbeiten, so kann der Frontend-Rechner als "Terminal"-Station eines früheren Großrechners angesehen werden.
Der wesentliche Unterschied liegt darin, dass das Terminal nicht lokal in der Nähe des Großrechners steht, sondern global abgesetzt über das unsichere Netz, wie dem Internet, mit dem Großrechner verbunden ist.
Durch HROTP und ROTP-verschlüsselte Kommunikation kann das Terminal abhör- und manipulationssicher am Großrechner (Cloud-Rechner) betrieben werden.
Bevor man z. B. in der Cloud rechnen kann, müssen die Daten entschlüsseln werden.
Die Entschlüsselung der Daten ist eine notwendige Voraussetzung für das weitere Verarbeiten der Daten.
Ein verschlüsseltes Rechnen ist aufgrund der eingesetzten zufallsbestimmten Verschlüsselung mit dynamischen, zufallsbestimmten Bit-Vertauschungen und Verschlüsselungen nicht möglich.
Würde man keinen nach der IT5D-Technologie gestalteten Backend-Rechner benutzen, so wäre ein Ausspionieren am Backbone oder Hauptspeicher des Rechners möglich.
Deshalb setzt die IT5D-Technologie auf geschützte überwachte Räume (Rechnermodule oder ICs), die mehrere Prozessoren, Speicher und mindestens einen Zufallsgenerator enthalten. [1]
Analog dem Schutzraum SecM sind Überwachungsprinzipien und Arbeitsprinzipien integriert, die ein Ausspionieren durch Antasten und Belauschen ins Leere laufen lässt. Ein zufallsbestimmter Scheduler gestaltet die Prozessbearbeitung nach einer von Außen nicht bekannten Folge.
Hauptspeicherbeobachtungen beim Backend endet im Leeren
Das Lesen und Schreiben in den Hauptspeicher erfolgt ebenfalls mit OTP-verschlüsselten Daten, wobei die Daten in den Hauptspeicher unter Anwendung von Adressen- und Datenexpansionen sowie zufallsbestimmter Adressen- und Datentransformationen zufallsverwürfelt in den Hauptspeicher geschrieben werden.
Der Spion, der die Hauptspeicheraktivitäten beobachtet, weiß zum einen nicht, welcher Prozess gerade bearbeitet wird und welche Daten zu welchem Prozess gehören. Er kann nicht unterscheiden, ob es Prüfcodedaten oder das Datum selbst ist. Das liegt darin, dass Bits beider Datenarten zufallsbestimmt verschlüsselt und gemischt sind sowie in zufallsbestimmter Folge in den Hauptspeicher geschrieben bzw. aus dem Hauptspeicher gelesen werden.
Man könnte annehmen, dass die Realisierung sehr komplex ist. Doch hält sie sich in Grenzen.
Ein Prozessor der mehreren Prozessoren übernimmt die Steuerung des zufallsbestimmten Scheduler. Er ordnet dem jeweiligen Prozess einen Verarbeitungsprozessor und einen Adressbereich des unverwürfelten Hauptspeichers zu. Er steuert die zufallsbestimmten Expansionen und Transformationen. [1, 2]
Die sonstigen Verarbeitungsprozessoren können so die ursprüngliche Verarbeitungssoftware benutzen. Eine Neuentwicklung der vorhandenen Software für ein verschlüsseltes Rechnen, wie sie von Herrn Prof. Jörn Müller-Quade als "ein echter Gewinn in puncto Datensicherheit für die Kunden" angesehen wird, kann man sich damit ersparen.
<--zurück
[1] | Verfahren zum IT-Schutz sicherheitsrelevanter Daten und ihrer Verarbeitung . DE102013014587 |
[2] | Verfahren und Anordnung zum Schutz von Datengeheimnissen in Speicher. DE10201212004780 |