Return to search

Undersökning och design av en säkerhetslösning för en molnlagringstjänst / Analysis and design of a security solution for a cloud storage service

Troligen har de allra flesta hört talas ”molnet” eller molnlagring. Molnlagring är populärt och användbart för att säkerhetskopiera, dela och göra information lättåtkomligt från flera enheter. Mega, Dropbox, Google Drive och OneDrive är några av alla de tjänster som finns idag, de erbjuder lite olika funktionalitet och inriktningar. Ett problem med alla dessa tjänster är att det som standard endast är den som äger kontot som har tillgång till materialet som är uppladdat. Det gör att information som bilder kan bli förlorade om kontoinnehavaren avlider. Säkerheten, i form av möjligheterna för tredje part att komma åt informationen, är ofta okänd för användarna i dessa tjänster. Dessa två problem vill EmbeddedArt åtgärda med sin nya tjänst. Datan ska förvaras krypterad och otillgänglig för utomstående samtidigt som det ska vara möjligt för användarna att ange en person som ska få tillgång till informationen om kontoinnehavaren avlider. Tanken är att skicka ut krypteringsnyckeln och ett USB-minne med den krypterade datan som användaren sedan själv enkelt kan avkryptera på sin dator med det medföljande programmet, krypteringsnyckeln och datan måste skickas separat. Även om det finns generella förslag på publik nyckelinfrastrukturer (PKI) finns det inte någon som uppfyller dessa krav och har modern, stark kryptering. Att tjänsten håller användares information säker från tredje part är viktigt för användarnas integritet och förtroende för tjänsten. Men för att få användare till, och fortsätta använda, tjänsten måste den även vara användarvänlig. Utöver att tjänsten ska vara snabb, ha många funktioner och lagra datan säkert måste det vara möjligt för administratörerna att kunna avkryptera datan. Hur kan då en PKIlösning se ut där det blir en bra balans mellan dessa viktiga punkter? I denna rapport studeras och föreslås hur en sådan lösning kan se ut för en molnlagringstjänst. Den föreslagna säkerhetslösningen implementeras i en existerande molnlagringstjänst. Resultatet jämförs med hur molnlagringstjänsten fungerade innan och utvärderas på punkterna användarvänlighet, säkerhet, prestanda samt fortsatt utveckling av tjänsten. Förslaget som presenteras är en lösning där innehållet i användarnas filer är skyddat och funktionerna i tjänsten inte är förändrade. Både RSA (Rivest-Shamir-Adleman kryptering) och AES (avancerad krypteringsstandard) används för att skydda innehållet i användarnas filer. Lagring av och operationer med nycklarna är fördelade på olika servrar, varav en som med fördel kan bytas ut, eller utökas med en koppling, till en hårdvarusäkerhetsmodul (HSM). Tjänstens ägare har tillgång till de privata nycklarna och kan således komma åt innehållet i filerna. Vissa kostnader går inte att undvika på grund av krypteringen och de extra delarna i infrastrukturen. För att minimera påverkan på den existerande tjänsten och underlätta för framtida utveckling har de kryptografiska operationerna hakats in i filströmmarna. I de utförda testerna är prestandaförlusten cirka 10–15% vid uppladdning av filer. / Most people have probably heard of the cloud or cloud storage. Cloud storage is popular and useful for backing up, sharing and making information easily accessible from multiple devices. Mega, Dropbox, Google Drive and OneDrive are some of the services that are available today, they offer a little different functionality and orientation to compete with each other. A problem with all these services is that by default, only the owner of the account has access to the material or login. This means that information such as images might be lost if the account holder dies. Security, in the form of encryption and third party access to the information, is often unknown to the users of these services. EmbeddedArt wants to fix these two issues with their new service. The data shall be kept encrypted and unavailable to third parties at the same time as it should be possible for users to enter a person who will have access to the information if the account holder dies. The idea is to send out the encryption key and a USB memory with the encrypted data that the user can then easily encrypt on his computer with the included application. Although there are general suggestions for public key infrastructure (PKI) structures, there doesn’t seems to be any that meets these requirements and has modern, strong encryption. It is important that service keeps user information secure from third parties for the users' integrity and trust in the service. But to get users to the service, it must also be user friendly. While the service should be fast, have many features and store the data for sure, it must be possible for administrators to access the information. How can a PKI solution be designed to have a good balance between these important points? This report examines and proposes a solution for how a solution can look like for a cloud storage service. The suggested security solution is implemented in an existing cloud storage service. The result is then compared with the service before implementation with regard to the points of usability, security, performance and continued development of the service.   The proposal presented is a solution where the contents of users’ files are protected, and the features of the service are not changed. Both RSA (Rivest-Shamir-Adleman Encryption) and AES (Advanced Encryption Standard) are used to protect the contents of the users’ files. Storage and cryptographic operations with the keys are distributed on different servers, one of which may be replaced by a hardware security module (HSM). The service owner has access to the private keys and can thus access the contents of the files. Some costs cannot be avoided, but in order to minimize them and make the least changes in the service, the cryptographic operations have been inserted into the file streams. In the tests performed, the performance loss is 10-15% when uploading files.  Keywords

Identiferoai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-219871
Date January 2017
CreatorsCederfelt, Ludvig
PublisherKTH, Skolan för datavetenskap och kommunikation (CSC)
Source SetsDiVA Archive at Upsalla University
LanguageSwedish
Detected LanguageSwedish
TypeStudent thesis, info:eu-repo/semantics/bachelorThesis, text
Formatapplication/pdf
Rightsinfo:eu-repo/semantics/openAccess

Page generated in 0.0132 seconds