Anzeige
Mit CryptDB verschlüsselte Datenbanken sind unter Umständen angreifbar.
Mit CryptDB verschlüsselte Datenbanken sind unter Umständen angreifbar. (Bild: CryptDB project/MIT)

CryptDB: Angriff auf verschlüsselte Datenbanken

Mit CryptDB verschlüsselte Datenbanken sind unter Umständen angreifbar.
Mit CryptDB verschlüsselte Datenbanken sind unter Umständen angreifbar. (Bild: CryptDB project/MIT)

Ein Team von Microsoft-Wissenschaftlern hat einen Angriff auf die verschlüsselte Datenbank-Software CryptDB vorgestellt. Als Demonstrationsobjekt nutzte es US-Gesundheitsdatenbanken. Eine ehemalige Entwicklerin kritisiert den Angriff jedoch als unrealistisch.

Anzeige

Wissenschaftler von Microsoft Research wollen kritische Sicherheitslücken in CryptDB-Datenbanken gefunden haben. In einem kürzlich vorgestellten Bericht schreiben sie, dass es ihnen gelungen sei, vertrauliche Patientendaten aus einer Beispieldatenbank zu extrahieren. Dazu nutzten sie Ordering-Angriffe und eine Frequenzanalyse.

CryptDB wird genutzt, um Datenbanken gegen unbefugten Zugriff abzusichern. Die Technik soll außerdem zum Beispiel Wissenschaftlern die Recherche in Datenbanken ermöglichen, ohne alle Datensätze sichtbar zu machen. Dazu wird bei Eingabe eines Suchbegriffs, laut ursprünglichem Konzept, "deterministisch der gleiche Cipher-Text für den gleichen Ausgangstext" erstellt.

Die Daten einzelner Nutzer sind jeweils mit einem eigenen Schlüssel verschlüsselt - je nach Konfiguration haben also nicht einmal die Administratoren Zugriff auf die Daten.

Gesundheitsdaten als Angriffsziel

Für den jetzt vorgestellten Angriff nutzten die Wissenschaftler Patientendaten der US-Gesundheitsbehörde. Diese sind für Recherchezwecke unter bestimmten Bedingungen legal verfügbar. Sie entschieden dann je nach Datensatz, ob sie die ursprünglich unverschlüsselten Daten zu Testzwecken mit OPE (Order-Preserving-Encryption), DTE (Deterministic-Encryption) oder gar nicht verschlüsseln. Außerdem nutzten sie öffentliche Gesundheitsdaten als zufällige Referenzwerte.

Angriffe auf die mit OPE verschlüsselten Datensätze nutzen die ursprüngliche Sortierung der Daten in der Tabelle. Die Wissenschaftler verglichen die Werte dann mit denen der öffentlichen Gesundheitsdatenbanken. Es gelang ihnen, Daten wie den Monat der Aufnahme im Krankenhaus und das Sterberisiko von 100 Prozent der Patienten in 90 Prozent der 200 größten Krankenhäuser zu ermitteln. Mit bekannten Techniken zur Deanonymisierung großer Datenbanken könnten böswillige Angreifer weitere Informationen gewinnen.

Darüber hinaus nutzten die Forscher Schwächen im DTE-Cipher-Text aus. Durch eine Frequenzanalyse und die Korrelation der untersuchten, verschlüsselten Datenbanken mit den öffentlichen Referenzwerten konnten sie Sterbedaten und Todesrisiko von 100 Prozent der Patienten in fast allen großen Krankenhäusern in der Datenbank herausfinden.

Ehemalige CryptDB-Entwicklerin kritisiert den Angriff

Die ehemalige CryptDB-Entwicklerin Raluca Ada Popa kritisierte den Angriff in einem Gespräch mit Forbes: Die Verschlüsselung mit OPE und DTE solle nur für hochzufällige (high-enthropy) Datensätze eingesetzt werden. Die genutzten "Sorting"-Angriffe wären damit nicht durchführbar. Nutzer von CryptDB seien nicht betroffen, da sie "OPE entweder nicht nutzen, oder nur für geeignete Datensätze". Jeder, mit dem sie sich darüber ausgetauscht habe, würde OPE nur mit großer Vorsicht einsetzen.


eye home zur Startseite
Industrial 08. Sep 2015

Hm, ist das die Aufgabe einer Datenbank? Ich kann die Keys als Backup exportieren (und...

Kommentieren



Anzeige

  1. Sachbearbeiterin / Sachbearbeiter Energiedatenmanagement
    Stadtwerke Solingen GmbH, Solingen
  2. Medizininformatiker / Fachinformatiker (m/w) für Medizinische Informationssysteme
    Landeskrankenhaus (AöR), Andernach
  3. Informatiker, Wirtschaftsinformatiker (m/w)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn
  4. Projektmanager (m/w) Einführung und Optimierung ERP-System
    über SCHLAGHECK RADTKE OLDIGES GMBH executive consultants, Nordrhein-Westfalen

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  2. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  3. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  4. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  5. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  6. Google

    Livestreaming direkt aus der Youtube-App

  7. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen

  8. Boston Dynamics

    Spot Mini, die Roboraffe

  9. Datenrate

    Tele Columbus versorgt fast 840.000 Haushalte mit 400 MBit/s

  10. Supercomputer

    China und Japan setzen auf ARM-Kerne für kommende Systeme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Zenbook 3 im Hands on: Kleiner, leichter und schneller als das Macbook
Zenbook 3 im Hands on
Kleiner, leichter und schneller als das Macbook
  1. 8x Asus ROG 180-Hz-Display, Project Avalon, SLI-WaKü-Notebook & mehr
  2. Transformer 3 (Pro) Asus zeigt Detachable mit Kaby Lake
  3. Asus Zenbook Flip kommt für fast 800 Euro in den Handel

Moto GP 2016 im Test: Motorradrennen mit Valentino Rossi
Moto GP 2016 im Test
Motorradrennen mit Valentino Rossi
  1. GTA 5 Online Sechs Spezialfähigkeiten und ein Supersportwagen
  2. Gran Turismo Sport Ein Bündnis mit der Realität
  3. Playsports Games Motorsport Manager rast auf PC-Plattformen

  1. Re: Kosten

    robinx999 | 12:10

  2. Re: Unsere Familie braucht 6MWh/Jahr und zahlt 0 EUR

    486dx4-160 | 12:10

  3. Re: Was ich irrsinnig finde:

    DrWatson | 12:07

  4. Re: Als ob ein Mensch in so einer Situation

    Eheran | 12:02

  5. Warum nicht auf Webseiten ganz verzichten?

    AlexanderSchäfer | 11:59


  1. 10:00

  2. 09:03

  3. 17:47

  4. 17:01

  5. 16:46

  6. 15:51

  7. 15:48

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel