Dlouhodobá bezpečnost cloudového uložiště

Abstract

Práce se zaměřuje především na téma dlouhodobé bezpečnosti archivních úložišť v cloudu. Zabývá se podmínkami a zásadami životního cyklu správy klíčů, které uvádí NIST pro vytvoření robustního systému správy klíčů. Závěrečná část úvodní kapitoly zkoumá nejnovější možnosti systémů správy klíčů, zahrnující průmyslové giganty, jako je Amazon Web Services Key Management Services, až po open-source alternativu s názvem Hashicorp Vault. Druhá kapitola práce je věnována postkvantově bezpečné kryptografii a zkoumá proces standardizace NIST pro postkvantovou kryptografii (PQC). V rámci této oblasti práce porovnává sedm algoritmů, které úspěšně prošly do závěrečného kola zvažování, a nakonec vybírá Crystals-Dilithium pro Digital Signature Algorithm (DSA) a Crystals-Kyber pro Key Encapsulation Mechanism (KEM) jako nejefektivnější na základě procesorového času, který vyžadují pro své kryptografické operace. Třetí kapitola nastiňuje stávající cloudový archivační systém na VUT v Brně a navrhuje výchozí kryptografické schéma pro správu klíčů ve virtualizovaném prostředí. To zahrnuje generování páru master klíčů, generování páru datových klíčů, šifrování dat v klidu, dešifrování dat v klidu, sdílení prostředků, rotaci klíčů, obnovu klíčů a odvolání klíčů. Čtvrtá kapitola se zabývá nuancemi implementace realizované v této práci a hodnotí efektivitu řešení pomocí benchmarků zaměřených na nově přidanou kryptografickou funkcionality realizovanou pomocí post-kvantově bezpečné správy klíčů.The primary focus of the thesis is the topic of the long-term security of cloud-based archive storage. It delves into the key management lifecycle terms and principles outlined by NIST to establish a robust key management system. The concluding section of the initial chapter examines state of art options for Key Management Systems, covering industry giant like Amazon Web Services Key Management Services to open-source alternative called Hashicorp Vault. The second chapter of the thesis is dedicated to Post-Quantum Safe Cryptography, exploring the NIST standardization process for Post-Quantum Cryptography (PQC). Within this realm, the thesis compares seven algorithms that successfully reached the final round of consideration, ultimately selecting Crystals-Dilithium for Digital Signa- ture Algorithm (DSA) and Crystals-Kyber for Key Encapsulation Mechanism (KEM) as the most effective performers based on CPU time they require for their cryptographic operations. The third chapter outlines the existing cloud-based archive system at BUT (Brno University of Technology) and proposes an initial cryptographic scheme for key management within this virtualized environment. This includes master key pair generation, data key pair generation, data at rest encryption, data at rest decryption, resource sharing, key rotation, key recovery and key revocation. Finally the fourth chapter gets into nuances of implementation realized in this thesis and reviews the effectiveness of the solution with benchmarks focused on newly added cryptographic functionality of realized post-quantum safe key management.