Dlouhodobá bezpečnost cloudového uložiště

Práce se zaměřuje především na téma dlouhodobé bezpečnosti archivních úložišť v cloudu. Zabývá se podmínkami a zásadami životního cyklu správy klíčů, které uvádí NIST pro vytvoření robustního systému správy klíčů. Závěrečná část úvodní kapitoly zkoumá nejnovější možnosti systémů správy klíčů, zahrnující průmyslové giganty, jako je Amazon Web Services Key Management Services, až po open-source alternativu s názvem Hashicorp Vault. Druhá kapitola práce je věnována postkvantově bezpečné kryptografii a zkoumá proces standardizace NIST pro postkvantovou kryptografii (PQC). V rámci této oblasti práce porovnává sedm algoritmů, které úspěšně prošly do závěrečného kola zvažování, a nakonec vybírá Crystals-Dilithium pro Digital Signature Algorithm (DSA) a Crystals-Kyber pro Key Encapsulation Mechanism (KEM) jako nejefektivnější na základě procesorového času, který vyžadují pro své kryptografické operace. Třetí kapitola nastiňuje stávající cloudový archivační systém na VUT v Brně a navrhuje výchozí kryptografické schéma pro správu klíčů ve virtualizovaném prostředí. To zahrnuje generování páru master klíčů, generování páru datových klíčů, šifrování dat v klidu, dešifrování dat v klidu, sdílení prostředků, rotaci klíčů, obnovu klíčů a odvolání klíčů. Čtvrtá kapitola se zabývá nuancemi implementace realizované v této práci a hodnotí efektivitu řešení pomocí benchmarků zaměřených na nově přidanou kryptografickou funkcionality realizovanou pomocí post-kvantově bezpečné správy klíčů.
The primary focus of the thesis is the topic of the long-term security of cloud-based archive storage. It delves into the key management lifecycle terms and principles outlined by NIST to establish a robust key management system. The concluding section of the initial chapter examines state of art options for Key Management Systems, covering industry giant like Amazon Web Services Key Management Services to open-source alternative called Hashicorp Vault. The second chapter of the thesis is dedicated to Post-Quantum Safe Cryptography, exploring the NIST standardization process for Post-Quantum Cryptography (PQC). Within this realm, the thesis compares seven algorithms that successfully reached the final round of consideration, ultimately selecting Crystals-Dilithium for Digital Signa- ture Algorithm (DSA) and Crystals-Kyber for Key Encapsulation Mechanism (KEM) as the most effective performers based on CPU time they require for their cryptographic operations. The third chapter outlines the existing cloud-based archive system at BUT (Brno University of Technology) and proposes an initial cryptographic scheme for key management within this virtualized environment. This includes master key pair generation, data key pair generation, data at rest encryption, data at rest decryption, resource sharing, key rotation, key recovery and key revocation. Finally the fourth chapter gets into nuances of implementation realized in this thesis and reviews the effectiveness of the solution with benchmarks focused on newly added cryptographic functionality of realized post-quantum safe key management.

Keywords

Cloudové úložiště, Životní cyklus správy klíčů, Systém správy klíčů, Master klíč, Post-kvantově bezpečná kryptografie, Crystals-Kyber, Crystals-Dilithium, Advanced Encryption Standard, liboqs, Cloud storage, Key Management Lifecycle, Key Management System, Master key, Post-quantum safe cryptography, Crystals-Kyber, Crystals-Dilithium, Advanced Encryption Standard, liboqs

Citation

WOJNAR, F. Dlouhodobá bezpečnost cloudového uložiště [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.

Language of document

en

Study field

bez specializace

Comittee

doc. Ing. Radim Burget, Ph.D. (předseda) doc. Ing. Lukáš Malina, Ph.D. (místopředseda) Ing. Jorge Truffin (člen) doc. Ing. Leoš Boháč, Ph.D. (člen) Ing. Marek Sikora (člen) doc. Ing. Tomáš Horváth, Ph.D. (člen) JUDr. MgA. Jakub Míšek, Ph.D. (člen)

Date of acceptance

2024-06-06

Defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta. Otázky oponenta: Kapitola 1.2 pojednává o "Key Management Lifecycle" (NIST). Do jaké míry výsledné řešení koresponduje s vypsanými kategoriemi? - Student odpověděl na položenou otázku. Z jakého důvodu je pro zapouzdřování šifrovacích klíčů využita asymetrická kryptografie, když jsou všechny klíče uloženy na serveru a systém k nim má přístup? - Student odpověděl na položenou otázku. Jakým způsobem je zajištěna nepopiratelnost, autentičnost a integrita zašifrovaných dat, když je šifrovací klíč uživatele veřejně dostupný a soukromý klíč uživatele je znám NextCloud serveru? - Student odpověděl na položenou otázku.

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení