Protección de la privacidad en
entornos Grid: ámbito de la salud
Centro Nacional de Bioinformática
Erik Torres Serrano
Noviembre de 2005
Tratamiento seguro de datos
distribuidos mediante
encriptación y gestión compartida
de las claves
Dr. Vicente Hernández García
Dr. Ignacio Blanquer Espert
MSc. Erik Torres Serrano
Protección de la privacidad en entornos Grid
Introducción (I)
• Grid:
– Permite abordar problemas imposibles de resolver
hasta ahora, debido a las limitaciones
computacionales y a las necesidades de integración
de datos.
– Colaboración entre organizaciones virtuales para
sumar capacidades de cómputo y de
almacenamiento.
• En muchas áreas, la visión a gran escala de
recursos y datos compartidos, no es una
realidad todavía.
Protección de la privacidad en entornos Grid
Introducción (II)
• Ámbito de la salud:
– La utilización de tecnologías computacionales en el
diagnóstico y el tratamiento de enfermedades,
sugiere que los sistemas de computación Grid
pueden hacer aportes significativos.
• Almacenamiento de datos personales:
– Está estrictamente regulado por leyes Europeas y
nacionales. La privacidad de los registros médicos,
en formato electrónico, es un requerimiento esencial
para el procesamiento de datos de pacientes.
Protección de la privacidad en entornos Grid
Introducción (III)
• El almacenamiento seguro de datos en un
elemento Grid.
– La falta de mecanismos que garanticen la privacidad
de los datos médicos dificulta el desarrollo de
aplicaciones Grid en el ámbito de la salud.
• Arquitectura para el almacenamiento de datos
encriptados, y el manejo de claves en entornos
distribuidos.
– [L. Seitz, J. M. Pierson, L. Brunie. “Key management
for encrypted data storage in distributed systems”.
2003].
Protección de la privacidad en entornos Grid
Objetivos Generales
• Extender y mejorar la arquitectura.
• Diseñar e implementar componentes
basados en la arquitectura extendida, y
evaluar el nivel de seguridad y el
sobrecoste adicional que introduce, en un
sistema de almacenamiento Grid.
Protección de la privacidad en entornos Grid
Descripción de la Arquitectura
• Garantiza el acceso, de los usuarios autorizados, a las
claves, incluso cuando los dueños de los datos son de
un dominio administrativo diferente.
• No es necesario que los servidores de datos sean
confiables.
• La desencriptación es responsabilidad del cliente.
• La clave se fragmenta en un esquema para compartir
secretos de Shamir, y los fragmentos son distribuidos
entre servidores de claves de dominios administrativos
diferentes.
• La información acerca de la localización de los
fragmentos de clave es almacenada, de forma
centralizada, en el sistema***.
Protección de la privacidad en entornos Grid
Esquema de Shamir
1.
2.
Umbral (k, N)
Fragmentación del secreto S
en N partes: S1, S2, …, SN
3. Si = q(i) :
q(x) = S + a1x +…+ ak-1x k-1
4. a1, ... , ak-1 aleatorios, ai ≠ 0
5. S se reconstruye resolviendo
un SEL o por interpolación de
Lagrange
T-79. 159 Cryptography and Data Security,
26.03.2003 Lecture 8: Secret Sharing,
Threshold Cryptography, MPC, Helger
Lipmas
Protección de la privacidad en entornos Grid
Control de acceso y
Autorización
• Control de acceso a los objetos encriptados y a
las partes de clave basado en roles.
• VOMS (Virtual Organization Membership
Service):
– Control de acceso distribuido a través de grupos y
roles, asociados a permisos, que son consolidados
contra las políticas locales.
– Mecanismos de autenticación, autorización y
delegación proporcionados por GSI.
– Certificados proxy de corta duración. Protocolo
X.509.
Protección de la privacidad en entornos Grid
Manejo de claves
• Las partes de claves se distribuyen sobre VOs.
– Esta nueva forma de distribución, contrasta con la
propuesta en [Seitz 03] en que los servidores de
claves son conocidos y completamente confiables.
– Eleva los niveles de seguridad del modelo.
• Localizaciones de las partes son almacenadas
en el objeto encriptado.
– Eliminar la dependencia con un servicio centralizado
aporta escalabilidad al modelo, y reduce el coste de
las comunicaciones.
– Tamaño ilimitado de los localizadores.
Protección de la privacidad en entornos Grid
Revocación de permisos
• Claves distintas para cada objeto encriptado.
– Protege contra el acceso físico o de administración al servidor
de datos.
• Copia del MAC del objeto encriptado en cada servidor
de claves.
– La complejidad de alterar un objeto, de forma imperceptible,
supone violentar todos los servidores de claves.
• Cambiar la clave cada vez que se actualice un objeto.
– Protege nuevas versiones del objeto.
– Se hace innecesario un mecanismo de seguimiento de
permisos.
Protección de la privacidad en entornos Grid
Disponibilidad
• Replicación de los servicios de manejo de
claves, a nivel de VO.
– Cada VO es responsable de publicar la localización
de los de servidores de claves replicados.
• Todos los servidores de claves, de una misma
VO, son equivalentes.
• Los servidores de bases de datos no son
equivalentes.
– Master: Ejecuta operaciones de adición y
actualización de claves.
– Esclavos: Recuperación de las claves.
Protección de la privacidad en entornos Grid
Componentes
I/O
Server gLite
Object: k,
KeyServerIDs
URLs
WSDL
KeyServerID
GUID
R-GMA
Server gLite
Response
SOAP RPC
KeyClient
KeyServer
Políticas
Locales
VO, GUID, X.509
X.509
VOMS
FQAN:
/VO[/group[/subgroup]][/role=role][/capability=cap]
gLite
Key share
MySQL DB
VO, GUID, key,
userDN, MAC
Protección de la privacidad en entornos Grid
Validación del modelo
• No hay contaminación durante el proceso
criptográfico y las claves son recuperadas
correctamente.
• El sistema es capaz de gestionar el acceso a las
claves de forma correcta.
– Certificados proxy.
•
•
•
•
Válidos no expirados.
Firmados por autoridades certificadoras confiables.
Pertenecientes VO que opera el servidor de claves.
FQANs coincidentes con las políticas de acceso locales.
Protección de la privacidad en entornos Grid
Seguridad agregada
• Algunas violaciones de acceso pueden ser
detectadas siempre.
– La corrupción de un número limitado de
servidores de claves no compromete la
seguridad del sistema.
– En necesario hacer validaciones cruzadas de
los MAC entre los servidores de claves.
• El sistema es tolerante a fallos de los
servidores de claves de hasta (N-k) VOs.
– Disponibilidad.
Protección de la privacidad en entornos Grid
Estimación del sobrecoste
• Tiempos (k=2, N=3, 5kb-26Mb, [email protected] con
256Mb de RAM).
– Encriptación y distribución de la clave (entre 2 y 6
segundos).
– Recuperación de la clave y desencriptación (entre 2 y
7 segundos).
• El proceso es factible porque sólo añade unos
pocos segundos.
• Las prestaciones deben ser mejoradas para
procesamiento masivo.
Protección de la privacidad en entornos Grid
Ajuste del sistema (I)
Prueba
k
N
Nº servidores
de claves
Nº servidores
de datos
Nº réplicas
por servidor
Total
ordenadores
3-0
2
3
3
3
0
3
4-0
2
3
4
3
0
4
5-0
2
3
5
3
0
5
6-0
2
3
6
3
0
6
3-2
2
3
3
6
2
6
Inicial
4,200
4,150
3-0
tiempo(seg)
4,100
4-0
5-0
4,050
6-0
3-2
4,000
1.
2.
3.
4.
5.
6.
Pentium III, 733MHz, 256Mb RAM
Pentium III, 450MHz, 256Mb RAM
Pentium III, 733MHz, 128Mb RAM
Pentium 4, 3.0GHz, 256Mb RAM
Pentium II, 233MHz, 192Mb RAM
Pentium II, 233MHz, 128Mb RAM
3,950
3,900
prueba
Protección de la privacidad en entornos Grid
Ajuste del sistema (II)
• La replicación mejora los tiempos de respuesta.
– 4-0 y 5-0 en 3%, 6-0 en 0.5% y 3-2 en 4.4%.
• El aumento del número de servidores de claves
no siempre mejora los tiempos de respuesta.
• La penalización asociada a los servidores de
claves es mayor que la asociada a los
servidores de datos.
• La replicación de los servidores de datos es
más fiable porque garantiza una mejor
tolerancia a fallos.
Protección de la privacidad en entornos Grid
Conclusiones
• Ha sido propuesta una arquitectura de software para
el almacenamiento y manejo de datos encriptados en
el Grid.
• Los componentes implementados son operables con
los sistemas Grid existentes, utilizando los
mecanismos de control de acceso y autorización del
Grid.
• Los servicios de administración de claves son
descentralizados, tolerantes a fallos y preservan las
políticas locales.
• Las ventajas proporcionadas por esta arquitectura
sobrepasan la pérdida de rendimiento que causa.
Protección de la privacidad en entornos Grid
Aportaciones
• Integra VOMS para controlar el acceso a los objetos
encriptados y a las claves.
• Introduce una nueva forma de distribución de las
claves, que eleva los niveles de seguridad.
• Introduce un modelo de revocación de permisos
consistente con los entornos Grid.
• Introduce un mecanismo para la replicación y
sincronización de la gestión de claves.
• Propone un formato de archivo encriptado que
mejora la seguridad y la escalabilidad, y garantiza la
autenticidad e integridad de los datos.
Protección de la privacidad en entornos Grid
Trabajos Futuros
• Incorporar un mecanismo para la consolidación
de políticas locales.
• Incorporar el flujo de trabajo en las decisiones
de autorización.
• Mejorar las prestaciones (encriptacióndesencriptación de datos y transmisión de datos
por la red).
• Profundizar en el manejo de réplicas.
• Incorporar myProxy como repositorio de
credenciales.
Protección de la privacidad en entornos Grid
¿?
Descargar

Protección de la privacidad en entornos Grid en el ámbito de la salud