TU Darmstadt / ULB / tuprints

Data-Centric Security with Attribute-Based Encryption

Müller, Sascha :
Data-Centric Security with Attribute-Based Encryption.
TU Darmstadt
[Ph.D. Thesis], (2011)

[img]
Preview
PDF
diss_smueller.pdf
Available under Creative Commons Attribution Non-commercial No Derivatives.

Download (1680Kb) | Preview
Item Type: Ph.D. Thesis
Title: Data-Centric Security with Attribute-Based Encryption
Language: English
Abstract:

In this thesis we examine several aspects of data-centric security. In particular, we take a look at Attribute-Based Encryption (ABE), a cryptographic primitive that allows to encrypt documents with policies over attributes and allows decryption only by parties possessing sets of attributes that satisfy the encryption policies.

Our primary goal is to show the applicability of data-centric security to practical scenarios. We first extend ABE to dynamic and distributed settings, introducing what we call Distributed Attribute-Based Encryption (DABE). DABE not only allows parties to claim their attributes incrementally throughout the lifetime of a system (unlike conventional ABE where all attributes must be claimed at once), but also supports these attributes to be managed by an arbitrary number of independent attribute authorities, each of them having control over its own universe of attributes. We give two constructions of DABE schemes, one of which is also more efficient than any ABE scheme known today.

Our second contribution is a novel concept that improves privacy in ABE by hiding the encryption policy. To this end, we introduce, define and discuss \emph{policy anonymity}. Using an idea from graph theory we then show how a high degree of policy anonymity can be achieved by extending a known ABE construction. The complete construction along with security proofs is given.

We also discuss how ABE can be utilized in practical settings. We develop a new DRM framework using ABE that offers a simplified license creation process while requiring less trust. We then describe an extraction tool that is able to determine cryptographically enforceable components of policies in the Open Digital Rights Language (ODRL).

Finally, we demonstrate how ABE can be integrated into Service Oriented Architectures (SOA), showing how common Web Service standards can be used to support ABE encrypted SOAP messages and describing implementations of web services to build a complete DABE framework. This resulting framework can be used to extend existing SOAs in order to support the improved security guarantees offered by data-centric security technology.

Alternative Abstract:
Alternative AbstractLanguage
In dieser Dissertation untersuchen wir verschiedene Aspekte der datenzentrierten Sicherheit. Insbesondere betrachten wir die attributbasierte Verschlüsselung (ABE), ein kryptographisches Primitiv, das es erlaubt, Dokumente mit Policies über Attributen zu verschlüsseln, so dass die Entschlüsselung nur für solche Subjekte möglich ist, deren Attributsmengen die Verschlüsselungspolicies erfüllen. Das Hauptziel dieser Arbeit ist zu zeigen, auf welche Weise datenzentrierte Sicherheit in praktischen Anwendungsgebieten einsetzbar ist. Hierzu erweitern wir zunächst ABE für dynamische und verteilte Szenarien, indem wir die sogenannte Distributed Attribute-Based Encryption (DABE) einführen. DABE erlaubt es nicht nur, dass Subjekte ihre Attribute inkrementell über die gesamte Laufzeit des Systems anfordern (anders als bei konventioneller ABE, wo alle Attribute eines Subjekts gemeinsam angefordert werden müssen); es ist dadurch auch möglich, dass diese Attribute von einer beliebigen Anzahl voneinander unabhängiger Attribute Authorities bereitgestellt werden, von denen jede ihr eigenes Universum von Attributen verwaltet. Wir stellen zwei Konstruktionen für das DABE-Schema vor. Eine davon ist zusätzlich effizienter als jede andere heute bekannte ABE Konstruktion. Die zweite Innovation dieser Arbeit ist ein neuartiges Konzept, das die Privatheit in ABE verbessert, indem es Verschlüsselungspolicies versteckt. Um dies zu erreichen führen wir den Begriff der Policy-Anonymität ein, definieren ihn formal und diskutieren ihn. Mithilfe einer Methode aus der Graphentheorie zeigen wir anschließend, wie ein hoher Grad von Policy-Anonymität in der Praxis erreicht werden kann, indem man eine bekannte ABE-Konstruktion erweitert. Die komplette erweiterte Konstruktion wird vorgestellt und ein Sicherheitsbeweis wird geführt. Wir beschäftigen uns außerdem mit konkreten Anwendungsmöglichkeiten für ABE. So entwickeln wir ein DRM-Framework, das ABE nutzt, um den Prozess der Lizenzerzeugung zu vereinfachen und dabei gleichzeitig die Anforderungen an die Vertrauenswürdigkeit zu verringern. Anschließend beschreiben wir ein Tool, das in der Lage ist, kryptographisch erzwingbare Komponenten aus Policies zu bestimmen, die in der Open Digital Rights Language (ODRL) beschrieben sind. Zum Schluss der Arbeit demonstrieren wir wie ABE in Service-Orientierte Architekturen (SOA) integriert werden kann. Hierzu identifizieren wir die relevanten Web Service Standards und erweitern diese, um durch ABE geschützte SOAP Nachrichten zu unterstützen. Ferner beschreiben wir die Implementierung von Web Services, die zur Umsetzung eines vollständigen DABE Frameworks notwendig sind. Dadurch wird ein Framework ermöglicht, das genutzt werden kann um bestehende SOAs so zu erweitern, dass sie die verbesserten Sicherheitsgarantien erfüllen können, die durch datenzentrierte Sicherheitstechnologie ermöglicht werden.German
Classification DDC: 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Divisions: Fachbereich Informatik > Security Engineering - Sicherheit in der Informationstechnik
Date Deposited: 27 Oct 2011 08:18
Last Modified: 07 Dec 2012 12:01
URN: urn:nbn:de:tuda-tuprints-27751
License: Creative Commons: Attribution-Noncommercial-No Derivative Works 3.0
Referees: Katzenbeisser, Prof. Dr. Stefan and Waidner, Prof. Dr. Michael
Refereed: 11 October 2011
URI: http://tuprints.ulb.tu-darmstadt.de/id/eprint/2775
Export:

Actions (login required)

View Item View Item