Телефон: +7 (383)-202-16-86

Статья опубликована в рамках: XLV Международной научно-практической конференции «Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ» (Россия, г. Новосибирск, 21 мая 2018 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Султанов Д.Р. СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ БАЗЫ ДАННЫХ В ОБЛАЧНОЙ ИНФРАСТРУКТУРЕ ПРИ ПОМОЩИ КОМБИНАЦИИ ГОМОМОРФНОГО И СИММЕТРИЧНОГО АЛГОРИТМОВ ШИФРОВАНИЯ // Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ: сб. ст. по мат. XLV междунар. студ. науч.-практ. конф. № 10(45). URL: https://sibac.info/archive/meghdis/10(45).pdf (дата обращения: 17.11.2019)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ БАЗЫ ДАННЫХ В ОБЛАЧНОЙ ИНФРАСТРУКТУРЕ ПРИ ПОМОЩИ КОМБИНАЦИИ ГОМОМОРФНОГО И СИММЕТРИЧНОГО АЛГОРИТМОВ ШИФРОВАНИЯ

Султанов Денис Радикович

магистрант, кафедра ИУ8 «Информационная безопасность» МГТУ им. Н.Э. Баумана,

РФ, г. Москва

Научный руководитель Лебедев Анатолий Николаевич

доц., канд. физ.-мат. наук, заместитель заведующего кафедрой ИУ8 «Информационная безопасность» МГТУ им. Н.Э. Баумана,

РФ, г. Москва

В настоящее время растет спрос организаций малого и среднего бизнеса на облачные сервисы, однако, при использовании облачной инфраструктуры приходится сталкиваться с очень низким уровнем защищенности от угроз безопасности информации, источником которых является внутренний персонал хостинг-провайдера облачных услуг, в том числе, привилегированные пользователи (то есть, администраторы системы). В сложившейся ситуации выходом остается либо доверие кругу лиц, которые в силу своих служебных обязанностей могут иметь доступ внутри облачной инфраструктуры к защищаемым данным, например, системным администраторам, либо отказ использования облачных сервисов, что приводит к сильному удорожанию хранения баз данных на выделенных серверах, в особенности при масштабировании системы.

В статье Людмилы Викторовны Астаховой «Защита облачной базы персональных данных с использованием гомоморфного шифрования» [1] описывается амбивалентный подход защиты базы персональных данных внутри облачной инфраструктуры, основывающийся на применении комбинации алгоритма шифрования из ГОСТ Р 34.12-2015 [2] и частично гомоморфного алгоритма из CryptDB [3].

Под частично гомоморфным шифрованием в статье [1] понимается вид шифрования, сохраняющий одну из операций над зашифрованными данными, приведенную в формулах (1) или (2).

D(E(t1)) + D(E(t2)) = t1 + t2                                                            (1)

D(E(t1))    D(E(t2)) = t  t2                                                             (2)

где D – функция расшифровывания, E – функция зашифровывания, а t1 и t2 – открытые тексты.

Данный подход позволяет защитить данные от привилегированных сотрудников хостинг-провайдера облачных услуг в рамках законодательства Российской Федерации по защите персональных данных.

Несмотря на неоспоримую экономическую выгоду и высокую степень защищенности данных при использовании данного подхода, его реализация является трудоемкой в плане проектирования базы данных и работы с ней, а также отсутствие всех математических операций внутри облака, что приводит к ограничениям применения подхода.

Решением выделенных проблем может являться использование вместо системы управления базами данных CryptDB модульного решения, разработанного на основе открытой свободной библиотеки HELib, реализующей принципы работы схемы Крейга Джентри в 2009 году [4], алгоритма из ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры» и ProxySQL для перехвата SQL запросов к базе данных.

В этом случае все внутренние пользователи системы будут обращаться не напрямую к базе данных в облаке, а к комплексу, обеспечивающему замену всех полей SQL-запросов на результат их шифрования по ГОСТ Р 34.12-2015 и HElib, ответы от системы управления базами данных из облака будут расшифровываться внутри комплекса, расположенного в пределах контролируемой зоны организации.

Исходные коды и документация библиотеки HElib расположены на сайте github. По состоянию на март 2015 года HElib поддерживает многопоточность и распространяется в соответствии с условиями Apache License v2.0. Данная библиотека постоянно изучается, дорабатывается и улучшается. Для правильной компиляции данной библиотеки необходимы сторонние библиотеки GMP (GNU Multi-Precision Library) и NTL (Number Theory Library), которые также обладают открытым исходным кодом и предназначены для работы с большими числами и специфическими структурами данных.

Данное решение не потребует доработки других программ взаимодействия с защищаемой базой данных при правильном и достаточно простом проектировании. При этом попытки несанкционированного доступа со стороны внутренних и внешних пользователей не будут иметь успеха, так как база данных никогда не будет храниться в открытом виде, а все ключи шифрования будут сохранены только внутри комплекса, расположенного в пределах контролируемой зоны организации.

Структура предложенного решения приведена на рисунке ниже (Рисунок 1).

 

Рисунок 1. Структурная схема потоков информации и несанкционированных воздействий

 

На рисунке комплекс (*) является программно-аппаратным средством криптографической защиты информации, включающий 4 модуля:

  • модуль работы с SQL-запросами/ответами внутренних пользователей организации;
  • модуль работы с SQL-запросами/ответами из облачной базе данных;
  • модуль симметричного шифрования (ГОСТ Р 34.12-2015);
  • модуль гомоморфного шифрования (HElib).

Последние 2 модуля могут работать параллельно для повышения скорости работы, при этом вычислительные мощности должны быть выделены пропорционально скорости работы модулей.

Модули должны иметь возможность функционировать по-отдельности, то есть как автономные программы, так как это позволит сегментировать программу для более простого прохождения процедуры сертификации, и в случае доработок программы – более простому процессу её пересертификации (инспекционному контролю).

Описанное в статье средство криптографической защиты информации может быть сертифицировано ФСБ России на соответствие требованиям по безопасности информации в исполнении программно-аппаратного комплекса и использоваться в качестве сертифицированного средства защиты информации.

Учитывая темпы развития облачных технологий, их гибкость и экономичность, данный метод является актуальным как для маленьких, так и для больших организаций, обрабатывающих персональные данные и другую конфиденциальной информации. Новизна данного подхода заключается в синтезе гомоморфного и симметричного алгоритмов шифрования, предложенных принципах разработки средства криптографической защиты базы данных, удовлетворяющей требованиям российского законодательства.

 

Список литературы:

  1. Астахова, Л.В. Защита облачной базы персональных данных с использованием гомоморфного шифрования / Л.В. Астахова, Д.Р. Султанов, Н.А. Ашихмин // Вестник ЮУрГУ. Серия «Компьютерные технологии, управление, радиоэлектроника». – 2016. – Т. 16, № 3. – С. 52–61. DOI: 10.14529/ctcr160306.
  2. ГОСТ Р 34.12–2015 «Информационная технология. Криптографическая защита информации. Блочные шифры». – М.: Стандартинформ, 2015. – 25 с. – http://wwwold.tc26.ru/standard/gost/GOST_R_3412-2015.pdf (дата обращения: 05.05.2018).
  3. CryptDB: Protecting Confidentiality with Encrypted Query Processing /R.A. Popa, C.M. S. Red-field, N. Zeldovich, H. Balakrishnan // Proceedings of the 23rd ACM Symposium on Operating Systems Principles (SOSP). – Cascais, Portugal, October 2011. – P. 85–100.
  4. Gentry, С. A fully homomorphic encryption scheme / C. Gentry. – Stanford University, Ph.D. thesis, 2009.
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий