Hasso-Plattner-Institut
  
 

CloudRAID

Cloud Computing umfasst etablierte Technologien, welche Potenzial, u.a. zur Steigerung von Flexibilität und Kosteneffizienz, bieten. Ein wichtiger Aspekt ist die Bereitstellung von Infrastruktur (Infrastructure as a Service - IaaS), insbesondere für das Ablegen größerer Datenmengen. Dies ist jedoch mit Risiken, z.B. unberechtigte Zugriffe oder Abhängigkeit von einzelnen Speicheranbietern, verbunden. Ein Softwaresystem kann diese Probleme lösen.

Anforderungen

Sicherer und zuverlässiger Datenspeicher muss sowohl Datenschutz als auch uneingeschränkten Zugriff garantieren, ohne die Hoheit des Benutzers über seine Dateien einzuschränken. Das am HPI entwickelte CloudRAID ermöglicht unkompliziertes Ablegen von Dateien in öffentlichen Cloud-Speichern.

Referenzarchitektur

Die Architektur des CloudRAID besteht aus einer zentralen Server-Anwendung und verschiedenen Client-Anwendungen für Desktop-PCs, mobile Endgeräte sowie Web-Browser. Serverseitig findet die Verwaltung von Metadaten statt, um standortunabhängigen Zugriff zu ermöglichen. Der Betreiber der Server-Anwendung hat dabei keine Möglichkeit auf Dateiinhalte der Benutzer zuzugreifen.

RAID angewandt auf Cloud-Speicher

Der Prozess des Ablegens erfolgt in drei wesentlichen Schritten:

  • Zunächst wird die entsprechende Datei symmetrisch verschlüsselt. Dabei dient ihr kryptografischer Hashwert als Schlüssel.
  • Mittels eines RAID-Algorithmus finden Fragmentierung und Paritätsberechnung statt, welche später das Wiederherstellen auf Basis einer Teilmenge der Fragmente ermöglichen.
  • Die resultierenden Fragmente werden auf voneinander unabhängige Speicher verteilt.

 

 

Das Wiederherstellen ist eine Umkehrung des Ablegens:

  • Eine bestimmte Teilmenge der existierenden Fragmente - abhängig von der ursprünglichen RAID-Algorithmus-Konfiguration - muss von den Speichern heruntergeladen werden.
  • Der invertierte RAID-Algorithmus wird auf den Fragmenten angewandt, um die verschlüsselte Datei wiederherzustellen.
  • Unter Verwendung der Entschlüsselung wird die Ausgangsdatei rekonstruiert. Der symmetrische Schlüssel ist nur dem ursprünglichen Besitzer der Datei bekannt.

 

 

 

 

 

Vorteile

Datensicherheit

Jeder Speicheranbieter ist im Besitz von nur einem Fragment pro verteilt gespeicherter Datei. Aufgrund der Funktionsweise von RAID-Algorithmen können aus einzelnen Fragmenten keine Daten – oder Teildaten – extrahiert werden. Ein Angreifer müsste sich folglich auf mehrere der Speicherorte, bei jeweils verschiedenen Cloud-Anbietern, Zugriff verschaffen. Die genaue Anzahl dieser Speicherorte kann beim initialen Ablegen konfiguriert werden. Zudem ist die wiederhergestellte Datei kryptografisch verschlüsselt. Dadurch müsste der Angreifer zusätzlich im Besitz des geheimen Schlüssels, welchen nur der ursprüngliche Besitzer kennt, sein.

Datenverfügbarkeit

Durch die bewusst geschaffene Redundanz müssen zum Zeitpunkt der Wiederherstellung nicht alle Speicheranbieter verfügbar sein. Benutzer sind dadurch nicht länger von der Verfügbarkeit einzelner Anbieter abhängig. Darüber hinaus können aus den verfügbaren Speichern diejenigen gewählt werden, welche bestimmte, konfigurierbare Anforderungen erfüllen (z.B. geringe Kosten, hohe Übertragungsgeschwindigkeit, usw.). Kombinationen dieser Kriterien lassen auch komplexe Optimierungen zu.

Team

  • Prof. Dr. Christoph Meinel (Projektleiter)
  • Philipp Berger
  • Kennedy Torkura
  • Hendrik Graupner

Studentische Hilfskräfte

  • Niklas Hoffmann
  • Daniel Birnstiel
  • Fabian Paul
  • Carl Gödecken
  • Janusch Jacoby
  • Ajay Kesar

Projektpartner

Bundesdruckerei GmbH