Data-Centric Security with Attribute-Based Encryption

Müller, Sascha (2011)
Data-Centric Security with Attribute-Based Encryption.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

Preview

PDF
diss_smueller.pdf
Copyright Information: CC BY-NC-ND 2.5 Generic - Creative Commons, Attribution, NonCommercial, NoDerivs .
Download (1MB) | Preview

Item Type:

Ph.D. Thesis

Type of entry:

Primary publication

Title:

Data-Centric Security with Attribute-Based Encryption

Language:

English

Referees:

Katzenbeisser, Prof. Dr. Stefan ; Waidner, Prof. Dr. Michael

Date:

24 October 2011

Place of Publication:

Darmstadt

Date of oral examination:

11 October 2011

Abstract:

In this thesis we examine several aspects of data-centric security. In particular, we take a look at Attribute-Based Encryption (ABE), a cryptographic primitive that allows to encrypt documents with policies over attributes and allows decryption only by parties possessing sets of attributes that satisfy the encryption policies.

Our primary goal is to show the applicability of data-centric security to practical scenarios. We first extend ABE to dynamic and distributed settings, introducing what we call Distributed Attribute-Based Encryption (DABE). DABE not only allows parties to claim their attributes incrementally throughout the lifetime of a system (unlike conventional ABE where all attributes must be claimed at once), but also supports these attributes to be managed by an arbitrary number of independent attribute authorities, each of them having control over its own universe of attributes. We give two constructions of DABE schemes, one of which is also more efficient than any ABE scheme known today.

Our second contribution is a novel concept that improves privacy in ABE by hiding the encryption policy. To this end, we introduce, define and discuss \emph{policy anonymity}. Using an idea from graph theory we then show how a high degree of policy anonymity can be achieved by extending a known ABE construction. The complete construction along with security proofs is given.

We also discuss how ABE can be utilized in practical settings. We develop a new DRM framework using ABE that offers a simplified license creation process while requiring less trust. We then describe an extraction tool that is able to determine cryptographically enforceable components of policies in the Open Digital Rights Language (ODRL).

Finally, we demonstrate how ABE can be integrated into Service Oriented Architectures (SOA), showing how common Web Service standards can be used to support ABE encrypted SOAP messages and describing implementations of web services to build a complete DABE framework. This resulting framework can be used to extend existing SOAs in order to support the improved security guarantees offered by data-centric security technology.

Alternative Abstract:

Alternative Abstract

Language

In dieser Dissertation untersuchen wir verschiedene Aspekte der datenzentrierten Sicherheit.

Insbesondere betrachten wir die attributbasierte Verschlüsselung (ABE), ein kryptographisches Primitiv, das es erlaubt, Dokumente mit Policies über Attributen zu verschlüsseln, so dass die Entschlüsselung nur für solche Subjekte möglich ist, deren Attributsmengen die Verschlüsselungspolicies erfüllen.

Das Hauptziel dieser Arbeit ist zu zeigen, auf welche Weise datenzentrierte Sicherheit in praktischen Anwendungsgebieten einsetzbar ist. Hierzu erweitern wir zunächst ABE für dynamische und verteilte Szenarien, indem wir die sogenannte Distributed Attribute-Based Encryption (DABE) einführen. DABE erlaubt es nicht nur, dass Subjekte ihre Attribute inkrementell über die gesamte Laufzeit des Systems anfordern (anders als bei konventioneller ABE, wo alle Attribute eines Subjekts gemeinsam angefordert werden müssen); es ist dadurch auch möglich, dass diese Attribute von einer beliebigen Anzahl voneinander unabhängiger Attribute Authorities bereitgestellt werden, von denen jede ihr eigenes Universum von Attributen verwaltet. Wir stellen zwei Konstruktionen für das DABE-Schema vor. Eine davon ist zusätzlich effizienter als jede andere heute bekannte ABE Konstruktion.

Die zweite Innovation dieser Arbeit ist ein neuartiges Konzept, das die Privatheit in ABE verbessert, indem es Verschlüsselungspolicies versteckt. Um dies zu erreichen führen wir den Begriff der Policy-Anonymität ein, definieren ihn formal und diskutieren ihn. Mithilfe einer Methode aus der Graphentheorie zeigen wir anschließend, wie ein hoher Grad von Policy-Anonymität in der Praxis erreicht werden kann, indem man eine bekannte ABE-Konstruktion erweitert. Die komplette erweiterte Konstruktion wird vorgestellt und ein Sicherheitsbeweis wird geführt.

Wir beschäftigen uns außerdem mit konkreten Anwendungsmöglichkeiten für ABE. So entwickeln wir ein DRM-Framework, das ABE nutzt, um den Prozess der Lizenzerzeugung zu vereinfachen und dabei gleichzeitig die Anforderungen an die Vertrauenswürdigkeit zu verringern. Anschließend beschreiben wir ein Tool, das in der Lage ist, kryptographisch erzwingbare Komponenten aus Policies zu bestimmen, die in der Open Digital Rights Language (ODRL) beschrieben sind.

Zum Schluss der Arbeit demonstrieren wir wie ABE in Service-Orientierte Architekturen (SOA) integriert werden kann. Hierzu identifizieren wir die relevanten Web Service Standards und erweitern diese, um durch ABE geschützte SOAP Nachrichten zu unterstützen. Ferner beschreiben wir die Implementierung von Web Services, die zur Umsetzung eines vollständigen DABE Frameworks notwendig sind. Dadurch wird ein Framework ermöglicht, das genutzt werden kann um bestehende SOAs so zu erweitern, dass sie die verbesserten Sicherheitsgarantien erfüllen können, die durch datenzentrierte Sicherheitstechnologie ermöglicht werden.

German

URN:

urn:nbn:de:tuda-tuprints-27751

Classification DDC:

000 Generalities, computers, information > 004 Computer science

Divisions:

20 Department of Computer Science > Security Engineering

Date Deposited:

27 Oct 2011 08:18

Last Modified:

08 Jul 2020 23:59

URI: