Searchitect: So durchsucht man verschlüsselte Daten in der Cloud

Clouddienste sind aus dem digitalen Alltag nicht mehr wegzudenken. Sie bieten den Vorteil, dass die Daten solange eine Verbindung zum Internet besteht, überall und auf jedem Gerät verfügbar sind und keine lokalen Speicherbegrenzungen zu beachten sind. Der Nachteil ist, dass die Nutzer von entsprechenden Angeboten den Anbietern der Plattformen vertrauen müssen. Was auf den Servern der Clouddienstleister mit den Daten geschieht ist für Nutzer nämlich nicht nachvollziehbar. Das kann vor allem wenn es sich um sensible Informationen handelt problematisch sein.

Als Lösung böte sich an, die Daten einfach zu verschlüsseln, bevor man sie in der Cloud ablegt. Dann hat der Bereitsteller des Onlinespeichers keinen Zugriff auf die Information. Allerdings negiert dieser Ansatz einige der Vorteile einer Cloud-Lösung. Vor allem der Umstand, dass die verschlüsselten Daten in der Cloud nicht durchsucht werden können, ohne die Inhalte preiszugeben, ist ärgerlich. Für dieses Problem entwickeln Forscher des Kompetenzzentrums für IT-Security der FH Campus Wien im Projekt Searchitect eine Lösung.

Kontrolle ist besser

"Viele Informationen will man nicht hergeben, weil die Cloudanbieter die Daten üblicherweise verarbeiten, vor allem, wenn das Angebot gratis ist. Hier geht es um Vertrauen. Unsere Lösung erlaubt eine Volltextsuche in verschlüsselten Dateien, ohne sie entschlüsseln zu müssen", sagt Mathias Tausig von der FH Campus Wien im Gespräch mit der futurezone. Dadurch sind auch Anwendungen, die auf eine Suche angewiesen sind, ohne Sicherheitseinbußen realisierbar. "Der Trick liegt darin, einen kryptografisch gesicherten Suchindex mit Schlüsselwörtern anzulegen. Über diesen können die Suchbegriffe in die verschlüsselten Entsprechungen übersetzt werden. Man kann sich das so ähnlich vorstellen, wie wenn ich Hash-Werte abgleichen würde", sagt Tausig. Der Server kann dann eine Suche durchführen, ohne etwas über den Suchbegriff oder die Ergebnisse zu erfahren.

Die notwendige Technik wurde schon vor 20 Jahren erstmals vorgestellt. Was bislang gefehlt hat, ist eine anwenderfreundliche Implementierung. "Wir liefern die Client-  und Serverkomponente. Unsere Lösung können Entwickler ohne Kryptokenntnisse einsetzen. Die Client-Software funktioniert über einfache Browser-Plug-ins", sagt Tausig. Welcher Cloud-Anbieter genutzt wird, ist dabei unerheblich, die Lösung soll mit allen Dienstleistern kompatibel sein. Allerdings könnte eine breite Implementierung dieser Methode den großen Anbietern durchaus ein Dorn im Auge sein. " Google wird nicht wollen, dass es die Daten seiner Kunden nicht mehr lesen kann", sagt Tausig.

Open Source

So weit ist die Lösung der FH-Fachleute aber ohnehin noch nicht. "Derzeit haben wir einen Proof-of-Concept. Die Server-Software ist fertig und der Client auch beinahe. Hier geht es nur noch um die Abrundung und ordentliche Dokumentation. Unsere Mitarbeiter entwickeln fleißig weiter", sagt Tausig. Das Schöne am System ist, dass der Nutzer am Ende nur ein Plug-in installieren muss und dann nichts mehr von der verbesserten Sicherheit mitbekommt. Das Projekt läuft an der FH noch bis Anfang 2019. Eine Weiterentwicklung ist im Rahmen von Abschlussarbeiten von IT-Security-Studierenden sowie durch die Open-Source-Community geplant.

Zum Einsatz kommen wird die Lösung vorerst wohl hauptsächlich bei Unternehmen, die erhöhte Sicherheitsanforderungen haben. "Endnutzer können es natürlich auch ausprobieren, ich glaube aber nicht, dass sich unser Produkt auf dieser Ebene kurzfristig großflächig durchsetzen wird. Für Firmen, die nicht die Ressourcen haben, eine eigene Cloud-Lösung zu hosten und die nicht irgendeinem Anbieter blind vertrauen wollen, ist das aber sicher interessant", erklärt Tausig.

Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Campus Wien entstanden.