暗号理論教室
暗号理論教室

パブリック・クラウドストレージ

  • Microsoft Azure
  • Amazon S3

  • オフプレミスに位置
  • スケーラブル、ダイナミック、低コスト
  • データ共有、データ連携

  • データはカスタマーのコントロールの範囲外
  • 必ずしも信頼できないパーティが管理
  • 秘匿性と一貫性の課題

→ 機密データはプライベート・クラウドストレージ(、ハイブリッド・クラウドストレージ)?


仮想プライベート・クラウドストレージ


暗号技術を活用することによって、
  • パブリック・クラウドストレージを仮想的なプライベート・クラウドストレージとして用いる
ことを可能にしよう。(VPNのクラウドストレージ版)

  • プライベート・クラウドストレージの安全性(秘匿性と一貫性)
  • パブリック・クラウドストレージの機動性と低コスト性


仮想プライベート・クラウドストレージのアーキテクチャ

仮想プライベート・クラウドストレージのコア・コンポーネント:
  • データ・プロセッサ(DP)
    • クラウドストレージに送られる前にデータを処理する。暗号化など。
  • データ・ベリファイア(DV)
    • クラウドストレージ内のデータが壊されていないかチェックする。
  • クレデンシャル・ジェネレータ(CG)
    • データ共有/連携を可能とするクレデンシャルを生成。
  • トークン・ジェネレータ(TG)
    • クラウドストレージ・プロバイダが暗号化データの検索をできるようにするためのトークンを生成。

imageプラグインエラー : ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (virtualCS.jpg)
  1. MegaCorpやPartnerCorpの従業員はCGより各自のクレデンシャルを入手。
  2. MegaCorp従業員はデータをアクセスポリシーとともにDPに送る。
  3. DPは暗号化など必要な処理を施したのち、データをクラウドプロバイダに送る。
  4. PartnerCorp従業員はキーワードをTGに送る。
  5. TGは(暗号化されたデータを検索するための)チケットを送り返す。
  6. PartnerCorp従業員はチケットをクラウドプロバイダに送る。
  7. クラウドプロバイダは(暗号化されたままの)検索結果をPartnerCorp従業員に返す。PartnerCorp従業員は自身のクレデンシャルを用いて復号し、検索結果を得る。
  8. 任意のタイミングで、MegaCorpのDVはクラウドストレージ内のデータの一貫性を確認する。

※ これらのコンポーネントをクラウド内に配置したら意味がない!

コア・コンポーネントの実現

DP

  • データをインデックス付けし、インデックスを検索可能暗号で暗号化。
  • データ本体をユニーク鍵で対称鍵暗号を用いて暗号化。
  • ユニーク鍵を属性ベース暗号で適切なポリシーのもとで暗号化。

TG

検索可能暗号のトラップドア生成アルゴリズムで実現。

CG

属性ベース暗号のユーザ秘密鍵生成アルゴリズムで実現。

DV

ストレージ証明を用いて実現。

文献

  • [KL 10]
























「暗号的クラウドストレージ」をウィキ内検索
最終更新:2011年05月01日 16:11