Secret-Sharing: Sichere Prozesse beim Plattformbetrieb

Von Dr. Antoine Scemama am 01. Februar 2018

Anwender an der Tastatur teilt ein virtuelles Geheimnis

Die Kryptographie hat sich in den letzten Jahrzehnten rasant und in viele verschiedene Richtungen entwickelt. Doch die wenigsten Forscher beschäftigen sich heute mit reinen Verschlüsselungsalgorithmen. Viel mehr entwickeln sie abgleitet davon weitere Methoden oder Protokolle. Als prominente Beispiele sind Electronic Voting oder Blockchain zu nennen. Eine weitere, unter Experten bekannte Methode, ist Secret-Sharing. Sie kommt wenig zur Anwendung, dabei ist sie sehr effektiv.

Was ist Secret-Sharing?

Bei Secret-Sharing (Geheimnisteilung) handelt es sich um ein kryptographisches Protokoll, mit dem ein Geheimnis auf eine bestimmte Anzahl von Teilnehmern verteilt wird. Dabei erhält jeder Beteiligte einen Teil – den sogenannten Share –, ohne jegliche Informationen oder Kenntnisse über das Geheimnis selbst zu erwerben. Dadurch ist das Geheimnis auch dann nicht gefährdet, wenn ein Teilnehmer seinen Teil verliert oder preisgibt. Beim Protokollbeginn wird auch bestimmt, welche Untermengen von Shares notwendig sind, um das Geheimnis zu rekonstruieren. Beispielweise kann man ein Geheimnis in acht Shares teilen, und gleichzeitig ein Minimum von nur vier Shares für das Zusammensetzen festlegen.

Secret-Sharing ist ein breites Forschungsfeld mit hunderten Veröffentlichungen. Umso erstaunlicher ist, dass es in Softwarelösungen kaum genutzt wird. Das belegt die geringe Anzahl von Software Libraries, die Secret-Sharing-Algorithmen implementiert haben. Das .NET Framework als weit verbreitete Technologie hat zum Beispiel keine.

Operator Shielding mittels Secret-Sharing

Als Anbieter hochsicherer SaaS-Lösungen sorgt Brainloop für die Abwehr externer und interner Angreifer. Neben zertifizierten Sicherheitsprozessen nutzen wir eine Vielfalt technischer Hardeningmethoden und Verschlüsselungsalgorithmen.

Insbesondere im Zusammenhang mit dem Applikationsbetrieb gibt es sogenannte „kritische Operationen“. Sie sind so sensibel, dass Plattform-Administratoren nicht die Möglichkeit haben dürfen, sie eigenmächtig durchzuführen. So dürfen sie auf gar keinen Fall Zugriff auf die Schlüssel, Dateien und Metadaten innerhalb der Lösung haben – Stichwort: Operator Shielding. Trotzdem müssen unsere Operations-Mitarbeiter in der Lage sein, Server und Software zu warten. In diesem Zusammenhang hat sich der Einsatz von Secret-Sharing-Algorithmen bewährt.

Und so funktioniert es: Ein Kreis von Führungskräften, das Quorum, erhält im Rahmen eines sicheren Prozesses jeweils einen Share des Master Keys. Die Teile werden hochgeladen, vom System zusammengesetzt und fungieren gemeinsam als Authentisierungstoken, um im System die Freigabe für eine kritische Operation zu erteilen.

Somit erreicht man:

  1. Eine starke Authentisierung: Das System authentisierte das Quorum erst, wenn es den Master Key aus den verschiedenen Teil rekonstruiert hat.
  2. Ein geteiltes Backup: Weder Administratoren, noch einzelne Manager haben Kontrolle und Kenntnisse über den Master Key.

Der Einsatz von Secret-Sharing gegenüber einer einfachen Verteilung des Master Keys ist aus zwei Gründen entscheidend:

  1. Der jeweilige Share gibt keine Information über den Master Key preis.
  2. Es wird eine maximale Flexibilität erzielt, um kritische Operation jederzeit durchführen zu können. Denn die Quorumgröße, die notwendig ist um den Master Key zu rekonstruieren, ist kleiner als die Anzahl der Shares selbst. So kann der Master Key in sechs Shares geteilt werden. Ein Quorum von drei Personen reicht allerdings aus, um den Master Key zu rekonstruieren. So besteht keine Abhängigkeit von der individuellen Verfügbarkeit.

Kritische Operation: Behebung von Fehlerzuständen

Zu den „kritischen Operationen“, die nicht von Brainloop Administratoren durchgeführt werden dürfen, gehört das Beheben eines Fehlerzustandes der Software, der auf Hardware-Änderungen zurückzuführen ist. Da sie potenziell gefährlich sind, geht die Software in einen Fehlerzustand. Zur Behebung ist dann die gemeinsame Autorisierung durch einen Kreis von Brainloop Führungskräften notwendig – beispielsweise nach einer planmäßigen, von Brainloop veranlassten Hardware-Änderung.

Kritische Operation: Austausch von Master Keys

Ein anderes Beispiel für eine „kritische Operation“ ist der Austausch der sogenannten Master Keys. Er schützt alle anderen Keys im System. Für diese Operation prüft der Managerkreis zunächst die Einzelheiten bevor eine Freigabe erteilt wird und im Anschluss ein neuer Master Key vom System erzeugt wird, den die Führungskräfte dann wieder auf sicherem Weg als Share erhalten. 

Secret-Sharing-Forschungsprojekt in Kooperation mit TUM

Der Einsatz von Secret-Sharing geht unter anderem auf ein Forschungsprojekt zurück, das Brainloop in Kooperation mit der Technischen Universität München (TUM) durchgeführt hat. Die Forschung führte zu einer Veröffentlichung bei der SECRYPT Konferenz. (Mohsen Ahmadvand, Antoine Scemama, Martin Ochoa, Alexander Pretschnerr „Enhancing Operation Security using Secret Sharing“ SECRYPT 2016, Portugal).

Auch in anderen Bereichen kooperiert Brainloop mit der Technischen Universität München. So ist sichergestellt, dass wir Zugang zu aktuellsten Erkenntnissen aus der Sicherheitsforschung haben. Auch das ist Teil unseres umfassenden Sicherheitskonzepts.

Informationssicherheit, Brainloop

Das könnte Sie auch interessieren:

Diese 3 Gründe sprechen gegen die E-Mail-Verschlüsselung

Diese 3 Gründe sprechen gegen die E-Mail-Verschlüsselung

Weiterlesen
Lokale Cloud-Speicher für kritische Unternehmensdaten

Lokale Cloud-Speicher für kritische Unternehmensdaten

Weiterlesen
Blickdicht: So schützen Sie Ihre Daten – auch vor dem Provider

Blickdicht: So schützen Sie Ihre Daten – auch vor dem Provider

Weiterlesen
Massnahmen gegen Cyber-Risiken hinken Bewusstsein hinterher

Massnahmen gegen Cyber-Risiken hinken Bewusstsein hinterher

Weiterlesen