I sammenheng med upålitelige lagringsservere, hva er betydningen av å opprettholde en konsistent og verifiserbar logg over operasjoner, og hvordan kan dette oppnås?

/ / Publisert i Cybersecurity, EITC/IS/ACSS Advanced Computer Systems Security, Sikkerhet for lagring, Uklarerte lagringsservere, Eksamensgjennomgang

Når det gjelder cybersikkerhet, spesielt når det gjelder sikkerheten til lagring på ikke-pålitelige lagringsservere, er vedlikehold av en konsistent og verifiserbar operasjonslogg avgjørende. Dette kravet stammer fra nødvendigheten av å sikre dataintegritet, tilgjengelighet og konfidensialitet i miljøer der lagringsinfrastrukturen ikke kan stoles fullt ut. Upålitelige lagringsservere utgjør betydelige risikoer, inkludert uautorisert dataendring, sletting og uautorisert tilgang. En konsistent og verifiserbar logg over operasjoner spiller derfor en viktig rolle for å redusere disse risikoene.

En konsistent logg over operasjoner refererer til en sekvensiell og kronologisk registrering av alle handlinger utført på dataene som er lagret på serveren. Denne loggen skal være uforanderlig og manipulasjonssikker, og sikre at eventuelle uautoriserte endringer kan oppdages. Betydningen av en slik logg ligger i dens evne til å gi en nøyaktig og pålitelig historikk over alle interaksjoner med dataene, noe som er avgjørende for revisjon, rettsmedisinsk analyse og overholdelse av regulatoriske krav.

For å oppnå en konsistent og verifiserbar logg over operasjoner, kan flere teknikker og teknologier brukes. Disse inkluderer kryptografiske metoder, sikre loggingsmekanismer og konsensusprotokoller. Nedenfor vurderer vi disse metodene i detalj:

Kryptografiske metoder

1. Hash-kjeder: En hash-kjede er en sekvens av hash-verdier der hver hash-verdi er avhengig av den forrige. Dette skaper en kobling mellom hver loggoppføring, og sikrer at enhver endring av en oppføring vil bryte kjeden. For eksempel hvis loggoppføringene er representert av L_1, L_2, ..., L_n, kan hasjkjeden konstrueres som følger:

    \[ H_1 = H(L_1), \quad H_2 = H(H_1 || L_2), \quad ..., \quad H_n = H(H_{n-1} || L_n) \]

hvor H betegner en kryptografisk hash-funksjon, og || representerer sammenkobling. Denne strukturen sikrer at enhver tukling med en loggoppføring L_i vil resultere i et misforhold i påfølgende hash-verdier, og dermed avsløre manipulasjonen.

2. Digitale signaturer: Hver loggoppføring kan signeres digitalt av en pålitelig part ved bruk av asymmetrisk kryptografi. En digital signatur gir autentisitet og integritet, siden den kan verifiseres ved å bruke den offentlige nøkkelen til signeren. For eksempel hvis en loggoppføring L_i er signert med en privat nøkkel K_{priv}, signaturen S_i = \tekst{Sign}(K_{priv}, L_i) kan verifiseres av alle med tilgang til den tilsvarende offentlige nøkkelen K_{pub}. Denne metoden sikrer at enhver endring til L_i vil ugyldiggjøre signaturen.

3. Merkle trær: Et Merkle-tre er et binært tre der hver bladnode representerer en hash av en loggoppføring, og hver intern node representerer hashen til dens underordnede noder. Roten til Merkle-treet, kjent som Merkle-roten, gir en enkelt hash-verdi som representerer hele settet med loggoppføringer. Merkle-trestrukturen gir et effektivt og verifiserbart bevis for inkludering, noe som betyr at man kan bevise om en bestemt loggoppføring er en del av loggen uten å avsløre hele loggen. Dette er spesielt nyttig for å opprettholde personvernet og samtidig sikre integritet.

Sikre loggingsmekanismer

1. Bare vedlegg logger: En bare vedleggslogg er en loggstruktur der oppføringer bare kan legges til og ikke endres eller slettes. Denne uforanderligheten sikrer at når en oppføring er registrert, forblir den permanent i loggen. Implementering av bare vedleggslogger innebærer vanligvis å bruke WORM-lagringsmedier (Worm-once-once-read-many) eller å bruke programvarebaserte mekanismer som forhindrer endringer i eksisterende loggoppføringer.

2. Blockchain-teknologi: Blockchain er en desentralisert og distribuert hovedbokteknologi som iboende gir en konsistent og verifiserbar logg over operasjoner. Hver blokk i blokkjeden inneholder en liste over transaksjoner (loggoppføringer), et tidsstempel og en kryptografisk hash for forrige blokk. Denne kjeden av blokker sikrer at enhver tukling med en blokk vil ugyldiggjøre de påfølgende blokkene. Blockchain-teknologi bruker også konsensusprotokoller for å oppnå enighet mellom distribuerte noder, noe som ytterligere forbedrer sikkerheten og påliteligheten til loggen.

3. Trusted Execution Miljøer (TEE-er): TEE-er, som Intel SGX eller ARM TrustZone, gir en sikker enklave i en prosessor hvor kode og data kan kjøres og lagres sikkert. Ved å utnytte TEE-er kan man sikre at loggoppføringer registreres og vedlikeholdes i et sikkert og isolert miljø, beskyttet mot tukling av den upålitelige lagringsserveren. TEE-er kan også brukes til å generere og lagre kryptografiske nøkler som brukes til å signere loggoppføringer på en sikker måte.

Konsensusprotokoller

I distribuerte systemer krever det ofte konsensusprotokoller for å oppnå konsistens og verifiserbarhet av logger for å sikre at alle noder i systemet er enige om rekkefølgen og innholdet i loggoppføringer. Noen ofte brukte konsensusprotokoller inkluderer:

1. Paxos: Paxos er en familie av konsensusprotokoller designet for å oppnå enighet mellom distribuerte noder i nærvær av feil. Paxos sikrer at alle ikke-defekte noder er enige om samme sekvens av loggoppføringer, noe som gir konsistens og feiltoleranse.

2. Raft: Raft er en annen konsensusalgoritme som er designet for å være mer forståelig og enklere å implementere enn Paxos. Raft deler konsensusprosessen inn i ledervalg, loggreplikering og sikkerhet, og sikrer at den distribuerte loggen forblir konsistent og verifiserbar.

3. Bysantinsk feiltoleranse (BFT): BFT-protokoller, for eksempel Practical Byzantine Fault Tolerance (PBFT), er utformet for å oppnå konsensus i systemer der noder kan utvise vilkårlige (bysantinske) feil, inkludert ondsinnet oppførsel. BFT-protokoller sikrer at loggen forblir konsistent og verifiserbar selv i nærvær av ondsinnede noder.

Praktisk eksempel

Tenk på et scenario der en finansinstitusjon bruker en upålitelig skylagringstjeneste til å lagre transaksjonslogger. For å sikre integriteten og verifiserbarheten til disse loggene, kan institusjonen implementere følgende tiltak:

1. Hash-kjeder: Hver transaksjonsloggoppføring hashes og kobles til forrige oppføring ved hjelp av en hashkjede. Dette sikrer at enhver tukling med en loggoppføring kan oppdages.

2. Digitale signaturer: Hver loggoppføring er digitalt signert av institusjonens private nøkkel. Dette gir autentisitet og ikke-avvisning, da signaturen kan verifiseres ved hjelp av institusjonens offentlige nøkkel.

3. Merkle trær: Institusjonen konstruerer med jevne mellomrom et Merkle-tre av loggoppføringene og publiserer Merkle-roten på en offentlig oppslagstavle eller blokkjede. Dette lar hvem som helst verifisere integriteten til loggoppføringene uten å få tilgang til hele loggen.

4. Blockchain: Institusjonen kan også registrere transaksjonsloggene på en privat blokkjede. Blockchains desentraliserte natur sikrer at loggen forblir konsistent og verifiserbar, selv i nærvær av upålitelige lagringsservere.

5. TEE-er: Institusjonen kan utnytte TEE-er til å registrere og lagre loggoppføringer på en sikker måte i en sikker enklave, og beskytte dem mot tukling av den uklarerte lagringsserveren.

6. Konsensusprotokoller: Hvis institusjonen bruker et distribuert lagringssystem, kan den benytte konsensusprotokoller som Raft eller PBFT for å sikre at alle noder er enige om rekkefølgen og innholdet i transaksjonsloggene.

Ved å implementere disse tiltakene kan finansinstitusjonen opprettholde en konsistent og verifiserbar logg over operasjoner, og sikre integriteten, tilgjengeligheten og konfidensialiteten til transaksjonsloggene, selv når de bruker upålitelige lagringsservere.

Andre nyere spørsmål og svar vedr EITC/IS/ACSS Advanced Computer Systems Security:

Se flere spørsmål og svar i EITC/IS/ACSS Advanced Computer Systems Security

Flere spørsmål og svar:

Merket under: , , , , ,