Encryp­ted Computing – Ana­lyse & Verar­beitung Verschlüs­selter Daten (EC2)

Encrypted Computing als Privacy Enhancing Cryptography

Etablierte kryptographische Verfahren ermöglichen üblicherweise den Schutz vor ungewolltem Zugriff auf schützenswerte Daten während der Kommunikation mit anderen Parteien (data in transit) sowie während der Speicherung dieser Daten (data at rest). Mit diesen klassischen Verfahren ist es allerdings nicht möglich, Daten im verschlüsselten Zustand weiterzuverarbeiten. Dem stehen neuere kryptografische Konzepte wie Encrypted Computing (EC) und Privacy-Enhancing Cryptography (PEC) gegenüber: EC/PEC-Technologien wie Fully Homomorphic Encryption (FHE) und Multi Party Computation (MPC) erlauben es, Daten in verschlüsselter Form auch zu verarbeiten (data in use). Eine Entschlüsselung zum Klartext ist erst dann wieder nötig, wenn die Ergebnisse vom Auftraggeber/User eingesehen werden sollen; für die Berechnungen selbst ist dies aber nicht nötig. Sensible und sicherheitskritische Daten können so zwar analysiert, aber gleichzeitig auch vor unberechtigtem Zugriff geheim gehalten werden. EC/PEC-Verfahren decken somit alle drei Erscheinungsformen digitaler Daten ab und ermöglichen es, Datenschutz und Datennutzung flexibel miteinander zu vereinbaren.

Quanten- und Zukunftssicherheit

Neben der Einschränkung, dass viele gängige, klassische Verfahren (wie RSA) nur eingeschränkt Berechnungen in der verschlüsselten Domäne ermöglichen, drohen in naher Zukunft durch Quantencomputer die Gefahr, dass diese komplett gebrochen werden, weil die zugrundeliegenden mathematischen Probleme effizient gelöst werden können. Verfahren, die sich für homomorphe Verschlüsselung eignen, basieren auf anderen mathematischen Problemen, die nach derzeitigem Kenntnisstand, auch durch Quantencomputer nicht effizient lösbar sind. Sie gelten daher als quantensicher. Somit sind EC/PEC-Verfahren nach derzeitigem Stand der Forschung zukunftssicher.

Use-Case „Machine Learning as a Service“

Ein exemplarischer Use-Case für FHE im Bereich Machine Learning (ML) ist Machine Learning as a Service (MLaaS): In diesem Szenario bietet ein Serviceanbieter an, Daten über ein ML-Modell auszuwerten, möchte aber aus Geheimhaltungsgründen das Modell nicht offenlegen. Gleichzeitig möchten die Dateninhaber und Nutzer des Services ihrerseits gewisse Daten nicht im Klartext an den Serviceanbieter übermitteln. Normalerweise wäre eine Verarbeitung der Daten in diesem Setting nicht möglich, da keine Partei der anderen vertraut. Ein Lösungsansatz hierfür ist ein homomorphes Public-Key-Verfahren. Ein solches Verfahren ermöglicht es dem Dateninhaber, seine schützenswerten Daten homomorph zu verschlüsseln und dem Serviceanbieter, die Daten in verschlüsselter Form durch sein Modell in der verschlüsselten Domäne auszuwerten, ohne dabei die verschlüsselten Daten zu entschlüsseln. Der Serviceanbieter sendet dann das ebenfalls verschlüsselte Ergebnis zurück, das für den Dateninhaber mit seinem privaten Schlüssel in den Klartext umgewandelt werden kann. Der Schutz des Modells wird dadurch gewährleistet, dass dieses die ganze Zeit beim Serviceanbieter verbleibt, der Dateninhaber also keinen Zugriff auf dieses erhält.

Bisherige Einschränkungen

Auch wenn solche „verschlüsselten Berechnungen“ in der Theorie bereits möglich sind, sind die bekannten Verfahren in der Praxis noch oft zu langsam oder benötigen zu viel Arbeitsspeicher, um große Datenmengen zu verarbeiten. Ziel des Projektes ist es, neue Verfahren zu entwickeln oder bestehende Verfahren zu verbessern, sodass weitere Use-Cases auch in der Praxis abgedeckt werden können.

Encrypted Computing Compass

1. Projektfragestellung:

Etablierte kryptographische Verfahren ermöglichen üblicherweise den Schutz vor ungewolltem Zugriff auf schützenswerte Daten während der Kommunikation mit anderen Parteien (data in transit) sowie während der Speicherung dieser Daten (data at rest). Die im Encrypted Computing Compass vorgestellten kryptografischen Techniken wie homomorphe Verschlüsselung und Multiparty Computation unterscheiden sich von den diesen klassischen Verfahren dadurch, dass sie auch eine Datenverarbeitung (data in use) in der verschlüsselten Domäne zulassen. Somit bleiben die Daten nicht nur während der Speicherung sondern auch während einer Berechnung verschlüsselt. Somit stellen diese Verfahren eine der höchsten Formen des Schutzes von Daten dar und sie erlauben es, weitere Use Cases abzudecken als die herkömmlichen Verfahren. So ist es beispielsweise mit homomorpher Verschlüsselung möglich, rechenintensive Aufgaben auf einen Cloudrechner auszulagern, selbst wenn man diesem keine Daten anvertrauen möchte.

Die Vorstudie „Encrypted Computing Compass“ stellt einen Überblick über den Stand der Technik im Bereich „Encrypted Computing“ dar und ist Ausgangspunkt für mindestens ein weiteres Projekt der Cyberagentur zum Bereich Encrypted Computing.

2. Projektpartner/Auftragnehmer:

CISPA:

• Dr. Nico Döttling, CISPA, Saarbrücken
• Anne Müller, CISPA, Saarbrücken
• Anne Müller (cispa.de) 

KASTEL:

• Prof. Dr. Jörn Müller-Quade, KASTEL, KIT, Karlsruhe

KIT:

• Prof. Dr. Jörn Müller-Quade, KASTEL, KIT, Karlsruhe
• Thomas Agrikola, KIT, Karlsruhe
• Laurin Benz, KIT, Karlsruhe
• KIT – Lehrstuhl Müller-Quade – Mitarbeitende – Laurin Benz, M.Sc.

3. Abstract der Veröffentlichung:

Daten bilden die Basis wichtiger ökonomischer oder gesellschaftlicher Entscheidungen und des wissenschaftlichen Fortschritts. Viele Daten, wie Firmengeheimnisse oder persönliche Daten, sollten aber geschützt sein. Daher wäre es wünschenswert, auf geheimen Daten rechnen zu können und Ergebnisse zu erhalten, ohne dass dafür Geheimnisse preisgegeben werden. Techniken der modernen Kryptographie erlauben ein Rechnen auf Geheimnissen und das vorliegende Dokument, der Encrypted Computing Compass, soll eine Einordnung dieser Techniken bieten und die Praxistauglichkeit der Lösungen beurteilen. Die moderne Kryptographie bietet, grob betrachtet, drei Ansätze um auf Geheimnissen zu rechnen:

1. Die vollhomomorphe Verschlüsselung (Fully Homomorphic Encryption, kurz FHE) ist ein Public Key Verschlüsselungsverfahren, mit dem Zahlen so verschlüsselt werden können, dass es möglich ist mit diesen verschlüsselten Zahlen zu rechnen, ohne die Zahlen selbst zu kennen. Die Ergebnisse der Berechnung bleiben verschlüsselte Zahlen und nur mit dem geheimen Schlüssel kann das Ergebnis entschlüsselt werden. FHE-Verfahren bilden den Schwerpunkt dieser Studie, da es gerade bei diese Verfahren in jüngster Zeit enorme Fortschritte gab und die Möglichkeiten und Grenzen dieser Verfahren nicht allgemein bekannt sind.
2. Sichere Mehrparteienberechnungen (Secure Multiparty Computations, kurz MPC), dies sind kryptographische Verfahren, bei denen mehrere Teilnehmer jeweils geheime Eingaben haben und gemeinsam auf diesen Eingaben rechnen wollen, ohne dass mehr bekannt wird als das Ergebnis der Berechnung. In der Theorie ist seit den 1980ern bekannt, dass es solche Verfahren für beliebige Berechnungen gibt, aber bei der Effizienz der Verfahren gab es inzwischen deutliche Fortschritte. Sichere Mehrparteienberechnungen werden in diesem Dokument als eine Alternative zu FHE-Verfahren betrachtet. Je nach Anwendung können sichere Mehrparteienberechnungen besser geeignet sein als FHE-Verfahren, insbesondere, wenn der Kommunikationsaufwand groß sein darf.
3. Sichere Enklaven beziehungsweise Trusted Execution Environments (TEEs), dies sind Hardwarebausteine, die eine sichere Berechnung so abkapseln, dass selbst der Betreiber der Hardware nicht an die geheimen Eingaben herankommt, oder die Ausgabe manipulieren kann. Enklaven und TEEs werden in diesem Dokument nur ganz am Rande betrachtet, weil sie, anders als FHE oder MPC, ein großes Vertrauen in den Hersteller der Enklave voraussetzen. Dennoch könnten Enklaven und TEEs, bei niedrigeren Anforderungen an die Sicherheit eine interessante Alternative sein, weil sie ohne Zusatzaufwand direkt auf den Geheimnissen rechen und somit eine durch andere Verfahren unerreichte Effizienz haben. Eine Kombination verschiedener Verfahren unterschiedlicher Effizienz und Sicherheit könnte ein vielversprechender Ansatz für die Zukunft sein.

Ziel dieses Dokuments ist das kompakte und verständliche Darlegen der wissenschaftlichen Grundlagen, auf denen FHE- und MPC-Verfahren beruhen, sowie eine Vorstudie der praktischen Machbarkeit für relevante Use-Cases.