Конвергентное шифрование - Convergent encryption

Конвергентное шифрование, также известный как хеш-ключ содержимого, это криптосистема который производит идентичные зашифрованный текст из идентичных простой текст файлы. Это имеет приложения в облачные вычисления к удалить повторяющиеся файлы из хранилища без доступа провайдера к ключам шифрования.[1] Комбинация дедупликации и конвергентного шифрования описана в патенте на систему резервного копирования, поданном Stac Electronics в 1995 г.[2] Эта комбинация использовалась Farsite,[3] Пермабит,[4] Freenet, MojoNation, GNUnet, флуд, а Хранилище файлов с минимальным доступом в Тахо.[5]

Система получила дополнительную известность в 2011 году, когда поставщик облачных хранилищ Bitcasa объявили, что используют конвергентное шифрование, чтобы дедупликация данных в их облачное хранилище служба.[6]

Обзор

  1. Система вычисляет криптографический хеш рассматриваемого открытого текста.
  2. Затем система шифрует открытый текст, используя хэш в качестве ключа.
  3. Наконец, сохраняется сам хеш, зашифрованный ключом, выбранным пользователем.

Известные атаки

Конвергентное шифрование открыто для «подтверждения файловой атаки», при которой злоумышленник может эффективно подтвердить, обладает ли цель определенным файлом, зашифровав незашифрованный или незашифрованный файл. простой текст, версия, а затем просто сравнивая вывод с файлами, принадлежащими цели.[7] Эта атака создает проблему для пользователя, хранящего неуникальную информацию, то есть либо общедоступную, либо уже имеющуюся у злоумышленника, например: запрещенные книги или файлы, вызывающие Нарушение авторского права. Можно было бы привести аргумент, что подтверждение атаки на файл становится менее эффективным, если перед шифрованием к простому тексту добавляется уникальный фрагмент данных, например, несколько случайных символов; это делает загруженный файл уникальным и, следовательно, уникальным зашифрованным файлом. Однако некоторые реализации конвергентного шифрования, где простой текст разбивается на блоки в зависимости от содержимого файла, и каждый блок, затем независимо конвергентно зашифрованный, могут непреднамеренно препятствовать попыткам сделать файл уникальным путем добавления байтов в начало или конец.[8]

Еще более тревожным, чем атака подтверждения, является атака «изучения оставшейся информации», описанная Дрю Перттула в 2008 году.[9] Этот тип атаки применяется к шифрованию файлов, которые являются лишь небольшими вариациями общедоступного документа. Например, если защитник зашифровывает банковскую форму, включающую десятизначный номер банковского счета, злоумышленник, который знает об общем формате банковской формы, может извлечь номер банковского счета защитника, создав банковские формы для всех возможных номеров банковских счетов, зашифровать их, а затем сравнивая эти зашифрованные данные с зашифрованным файлом защитника, выведите номер банковского счета. Обратите внимание, что эта атака может быть расширена для одновременной атаки большого количества целей (все варианты написания целевого клиента банка в приведенном выше примере или даже всех потенциальных клиентов банка), и наличие этой проблемы распространяется на любой тип формы документ: налоговые декларации, финансовые документы, медицинские формы, формы занятости и т. д. Также обратите внимание, что не существует известного метода снижения серьезности этой атаки - добавление нескольких случайных байтов к файлам по мере их хранения не помогает, поскольку они байты также могут быть атакованы с помощью подхода «узнать оставшуюся информацию». Единственный эффективный подход к смягчению этой атаки - это зашифровать содержимое файлов неконвергентным секретом перед сохранением (что отрицает любую выгоду от конвергентного шифрования) или вообще не использовать конвергентное шифрование.

Смотрите также

Рекомендации

  1. ^ Безопасная дедупликация данных, Марк У. Стоер Кевин Гринан Даррелл Д. Э. Лонг Итан Л. Миллер http://www.ssrc.ucsc.edu/Papers/storer-storagess08.pdf
  2. ^ Система резервного копирования файлов с дисковых томов на нескольких узлах компьютерной сети, патент США № 5778395, поданный в октябре 1995 г. http://patft.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.htm&r=1&f=G&l=50&s1=5778398=PN.PN. = PN / 5778395
  3. ^ Освобождение места из повторяющихся файлов в бессерверной распределенной файловой системе, MSR-TR-2002-30, http://research.microsoft.com/apps/pubs/default.aspx?id=69954
  4. ^ Хранилище данных и метод продвижения сетевого хранения данных, Патент США 7,412,462, предварительно поданный в феврале 2000 г., http://patft.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.htm&r=1&f=G&l=50&s1=7,412,462=PN.PN. & RS = PN / 7 412 462
  5. ^ Дрю Перттула и атаки на конвергентное шифрование https://tahoe-lafs.org/hacktahoelafs/drew_perttula.html
  6. ^ Ну наконец то! Генеральный директор Bitcasa объясняет, как работает шифрование, 18 сентября 2011 г., https://techcrunch.com/2011/09/18/bitcasa-explains-encryption/
  7. ^ [1] tahoe-lafs.org (20 августа 2008 г.). Проверено 5 сентября 2013.
  8. ^ Сторер, Гринан, Лонг и Миллер: Калифорнийский университет «Безопасная дедупликация данных» в Санта-Крус (2008-10-31). Проверено 5 сентября 2013.
  9. ^ [2] tahoe-lafs.org (20 августа 2008 г.). Проверено 5 сентября 2013.