Abo
  • Services:
Anzeige
Mit CryptDB verschlüsselte Datenbanken sind unter Umständen angreifbar.
Mit CryptDB verschlüsselte Datenbanken sind unter Umständen angreifbar. (Bild: CryptDB project/MIT)

CryptDB: Angriff auf verschlüsselte Datenbanken

Mit CryptDB verschlüsselte Datenbanken sind unter Umständen angreifbar.
Mit CryptDB verschlüsselte Datenbanken sind unter Umständen angreifbar. (Bild: CryptDB project/MIT)

Ein Team von Microsoft-Wissenschaftlern hat einen Angriff auf die verschlüsselte Datenbank-Software CryptDB vorgestellt. Als Demonstrationsobjekt nutzte es US-Gesundheitsdatenbanken. Eine ehemalige Entwicklerin kritisiert den Angriff jedoch als unrealistisch.

Anzeige

Wissenschaftler von Microsoft Research wollen kritische Sicherheitslücken in CryptDB-Datenbanken gefunden haben. In einem kürzlich vorgestellten Bericht schreiben sie, dass es ihnen gelungen sei, vertrauliche Patientendaten aus einer Beispieldatenbank zu extrahieren. Dazu nutzten sie Ordering-Angriffe und eine Frequenzanalyse.

CryptDB wird genutzt, um Datenbanken gegen unbefugten Zugriff abzusichern. Die Technik soll außerdem zum Beispiel Wissenschaftlern die Recherche in Datenbanken ermöglichen, ohne alle Datensätze sichtbar zu machen. Dazu wird bei Eingabe eines Suchbegriffs, laut ursprünglichem Konzept, "deterministisch der gleiche Cipher-Text für den gleichen Ausgangstext" erstellt.

Die Daten einzelner Nutzer sind jeweils mit einem eigenen Schlüssel verschlüsselt - je nach Konfiguration haben also nicht einmal die Administratoren Zugriff auf die Daten.

Gesundheitsdaten als Angriffsziel

Für den jetzt vorgestellten Angriff nutzten die Wissenschaftler Patientendaten der US-Gesundheitsbehörde. Diese sind für Recherchezwecke unter bestimmten Bedingungen legal verfügbar. Sie entschieden dann je nach Datensatz, ob sie die ursprünglich unverschlüsselten Daten zu Testzwecken mit OPE (Order-Preserving-Encryption), DTE (Deterministic-Encryption) oder gar nicht verschlüsseln. Außerdem nutzten sie öffentliche Gesundheitsdaten als zufällige Referenzwerte.

Angriffe auf die mit OPE verschlüsselten Datensätze nutzen die ursprüngliche Sortierung der Daten in der Tabelle. Die Wissenschaftler verglichen die Werte dann mit denen der öffentlichen Gesundheitsdatenbanken. Es gelang ihnen, Daten wie den Monat der Aufnahme im Krankenhaus und das Sterberisiko von 100 Prozent der Patienten in 90 Prozent der 200 größten Krankenhäuser zu ermitteln. Mit bekannten Techniken zur Deanonymisierung großer Datenbanken könnten böswillige Angreifer weitere Informationen gewinnen.

Darüber hinaus nutzten die Forscher Schwächen im DTE-Cipher-Text aus. Durch eine Frequenzanalyse und die Korrelation der untersuchten, verschlüsselten Datenbanken mit den öffentlichen Referenzwerten konnten sie Sterbedaten und Todesrisiko von 100 Prozent der Patienten in fast allen großen Krankenhäusern in der Datenbank herausfinden.

Ehemalige CryptDB-Entwicklerin kritisiert den Angriff

Die ehemalige CryptDB-Entwicklerin Raluca Ada Popa kritisierte den Angriff in einem Gespräch mit Forbes: Die Verschlüsselung mit OPE und DTE solle nur für hochzufällige (high-enthropy) Datensätze eingesetzt werden. Die genutzten "Sorting"-Angriffe wären damit nicht durchführbar. Nutzer von CryptDB seien nicht betroffen, da sie "OPE entweder nicht nutzen, oder nur für geeignete Datensätze". Jeder, mit dem sie sich darüber ausgetauscht habe, würde OPE nur mit großer Vorsicht einsetzen.


eye home zur Startseite
Industrial 08. Sep 2015

Hm, ist das die Aufgabe einer Datenbank? Ich kann die Keys als Backup exportieren (und...



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Veolia - ÖKOTEC Energie­manage­ment GmbH, Berlin
  3. Media-Saturn Deutschland GmbH, Ingolstadt
  4. Paco Home GmbH, Eschweiler


Anzeige
Blu-ray-Angebote
  1. 74,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  2. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  3. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  4. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  5. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch

  6. Bielefeld

    Stadtwerke beginnen flächendeckendes FTTB-Angebot

  7. Airspeeder

    Alauda plant Hoverbike-Rennen

  8. DisplayHDR 1.0

    Vesa definiert HDR-Standard für Displays

  9. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  10. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Steuerstreit Apple zahlt 13 Milliarden Euro an Irland
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
Dynamics 365
Microsoft verteilt privaten Schlüssel an alle Kunden
  1. Sysinternals-Werkzeug Microsoft stellt Procdump für Linux vor
  2. Microsoft Kollaboratives Whiteboard als Windows-10-Preview verfügbar
  3. Microsoft-Studie Kreative Frauen interessieren sich eher für IT und Mathe

  1. Re: hab vor 2 wochen...

    Rulf | 22:49

  2. Re: völlig Banane

    Phantom | 22:45

  3. Re: Das Trumpbashing VS Obama Vergötterung

    daarkside | 22:44

  4. Re: historische Handlung -> böse Deutsche

    Cread | 22:37

  5. Re: Werbung

    Tuxgamer12 | 22:33


  1. 18:40

  2. 17:11

  3. 16:58

  4. 16:37

  5. 16:15

  6. 16:12

  7. 16:01

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel