Les clouds publics permettent de stocker et de partager des données à faible coût et haute disponibilité. Néanmoins, les avantages, les fournisseurs de cloud sont contournés de manière récurrente par des utilisateurs malveillants exposant des contenus utilisateurs sensibles. Face au manque de garanties de sécurité, les utilisateurs peuvent imposer une sécurité de bout-en-bout en chiffrant les données avant de les stocker à distance.Les mécanismes de contrôle d’accès filtrent les utilisateurs autorisés à produire ou à utiliser les données distantes. Au fur et à mesure que les données sont chiffrées, le contrôle d’accès est effectué de manière cryptographique, indépendamment du stockage en nuage. La gestion des clés cryptographiques régule l’accès des utilisateurs, tandis que des techniques de rechiffrement sont utilisées pour les mises à jour de clés. Une gestion des clés permet souvent d’arbitrer entre le temps de calcul et l’empreinte de stockage, tandis que les techniques de rechiffrement arbitrent entre les garanties de sécurité et la rapidité. Dans le cas de très volumineuses et dynamiques charges de travail spécifiques sur le cloud, un contrôle d’accès cryptographique même performant est généralement inefficace.Cette thèse propose une intégration minimale des environnements d’exécution de confiance (TEE) pour obtenir un contrôle d’accès efficace. En utilisant TEE, nous modifions les hypothèses des schémas de distribution de clés traditionnels, en dérivant deux schémas, un confidentiel et un anonyme, permettant à la fois d’obtenir une latence informatique supportable en même temps qu’une faible empreinte de stockage. La réactivité pour les utilisateurs finaux peut être encore optimisée par le recours à des techniques de partitionnement et d’indexation. De plus, nous proposons une méthode légère de rechiffrement des données en ne traitant que des parties des données dans TEE directement chez le fournisseur. Nous réalisons une mise en œuvre et une évaluation complètes en utilisant Intel Software Guard Extensions (SGX) comme TEE. Les résultats de l’analyse comparative montrent que nos systèmes de gestion de clés et de rechiffrement accroissent l’état de la technique de plusieurs ordres de grandeur. / Public clouds enable storing and sharing data with efficient cost and high availability. Nevertheless the benefits, cloud providers are recurrently breached by malicious users exposing sensitive user content. To mitigate the lack of security guarantees, users can impose end-to-end security by encrypting the data before remotely storing it.Access control mechanisms specify the users who are allowed to produce or consume the re-mote data. As data is encrypted, access control is performed cryptogrpahically, concealed from the cloud storage. Cryptographic key management is used for regulating user access while re-encryption techniques are used for key updates. State-of-the-art key management often trades computational time for storage footprint, while re-encryption techniques exchange great security guarantees for speed. In the context of very large and highly dynamic cloud specific workloads,state-of-the-art cryptographic access control is generally inefficient.This thesis proposes a minimal integration of Trusted Execution Environments (TEE) to achieve efficient access control. Leveraging TEE, we perform a change in assumptions of traditional key distribution schemes, deriving a confidential and an anonymous scheme, both achieving efficient computational latency and low storage footprint. End-users servicing time is further optimized by partitioning and indexing techniques. In addition, we propose a lightweight data re-encryption method by processing only portions of the data in TEE directly at the provider side. We carry out a comprehensive implementation and evaluation using Intel Software Guard Extensions (SGX) as TEE. Benchmarking results highlight that our key management and re-encryption schemes can be few orders of magnitude better than state-of-the-art.
Identifer | oai:union.ndltd.org:theses.fr/2019BORD0215 |
Date | 13 November 2019 |
Creators | Contiu, Stefan |
Contributors | Bordeaux, Réveillère, Laurent |
Source Sets | Dépôt national des thèses électroniques françaises |
Language | English |
Detected Language | French |
Type | Electronic Thesis or Dissertation, Text |
Page generated in 0.0021 seconds