Design and realization of privacy guaranteeing means for context-sensitive systems [Elektronische Ressource] / vorgelegt von Michael Maaser
171 Pages
English
Downloading requires you to have access to the YouScribe library
Learn all about the services we offer

Design and realization of privacy guaranteeing means for context-sensitive systems [Elektronische Ressource] / vorgelegt von Michael Maaser

Downloading requires you to have access to the YouScribe library
Learn all about the services we offer
171 Pages
English

Description

Design and Realization of PrivacyGuaranteeing Means forContext-sensitive SystemsVon der Fakultat¨ fur¨ Mathematik, Naturwissenschaften und Informatikder Brandenburgischen Technischen Universitat¨ Cottbuszur Erlangung des akademischen GradesDoktor der Naturwissenschaften(Dr. rer. nat.)genehmigte Dissertationvorgelegt vonDipl.-InformatikerMichael Maasergeboren am 11.12.1975 in JenaGutachter: Prof. Dr. rer. nat. Peter Langendorf¨ erGutachter: Prof. Dr.-Ing. Jorg¨ NolteGutachter: Prof. Dr. rer. oec. habil Gunter¨ Muller¨Tag der mundlichen¨ Prufung:¨ 06. Juli 2010To my lovely daughteriAbstractPrivacy issues are becoming more and more important, especially since thecyber and the real world are converging up to certain extent when using mobile de-vices. Means that really protect privacy are still missing. The problem is, as soonas a user provides data to a service provider the user looses control over her/hisdata. The simple solution is not to provide any data but then many useful services,e.g., navigation applications, cannot be used.The dissertation addresses two aspects of privacy protection. The first aspect re-gards not producing private information if possible. Such unnecessary informationare traces of access controlled service uses. Hence, one approach in this disser-tation enables k-anonymous authorization for services uses. It equips the users ofthe system with trusted pseudonymous certificates reflecting their respective autho-rizations.

Subjects

Informations

Published by
Published 01 January 2010
Reads 16
Language English
Document size 34 MB

Exrait

Design and Realization of Privacy
Guaranteeing Means for
Context-sensitive Systems
Von der Fakultat¨ fur¨ Mathematik, Naturwissenschaften und Informatik
der Brandenburgischen Technischen Universitat¨ Cottbus
zur Erlangung des akademischen Grades
Doktor der Naturwissenschaften
(Dr. rer. nat.)
genehmigte Dissertation
vorgelegt von
Dipl.-Informatiker
Michael Maaser
geboren am 11.12.1975 in Jena
Gutachter: Prof. Dr. rer. nat. Peter Langendorf¨ er
Gutachter: Prof. Dr.-Ing. Jorg¨ Nolte
Gutachter: Prof. Dr. rer. oec. habil Gunter¨ Muller¨
Tag der mundlichen¨ Prufung:¨ 06. Juli 2010To my lovely daughteri
Abstract
Privacy issues are becoming more and more important, especially since the
cyber and the real world are converging up to certain extent when using mobile de-
vices. Means that really protect privacy are still missing. The problem is, as soon
as a user provides data to a service provider the user looses control over her/his
data. The simple solution is not to provide any data but then many useful services,
e.g., navigation applications, cannot be used.
The dissertation addresses two aspects of privacy protection. The first aspect re-
gards not producing private information if possible. Such unnecessary information
are traces of access controlled service uses. Hence, one approach in this disser-
tation enables k-anonymous authorization for services uses. It equips the users of
the system with trusted pseudonymous certificates reflecting their respective autho-
rizations. Analogous to anonymous e-cash, the certificates are issued by a trusted
authority with knowledge of the actual authorizations of an identified user. The
certificates can be verified by any service supported by the trusted authority but
without knowledge of the user’s identity. Not even the issuing authority is able to
reveal the users identity from the pseudonym of a certificate. Hence, service usage
cannot be tracked, neither by the service nor by the authority. This protects the
privacy of service usage behavior of users.
The second aspect of privacy protection is to remain in control over private data re-
leased to others. Temporary release of private data is essential to context-sensitive
services, which rely on these context data to provide or improve added value.
Therefore, the dissertation designs a Privacy Guaranteeing Execution Container
(PGEC), which enables applications to access private user data and guarantees that
the user data is deleted as soon as the service or application is finished. Basically,
the concept is that the application obtains access to the user data in a specially
protected and certified environment, the PGEC. The PGEC also restricts the com-
munication between the application and the service provider to what is explicitly
allowed by the service user. In addition to those means, the PGEC also imple-
ments countermeasures against malicious attacks such as modified host systems
and covert channel attacks, which might be misusing CPU load to signal data out
of the PGEC. Thus, the PGEC guarantees a “one time use” of the provided private
data.iii
Zusammenfassung
Privatspharen-¨ und Datenschutzfragen gewinnen immer mehr an Bedeutung.
Vor allem seit die Cyber- und die reale Welt durch die Verwendung mobiler Gerate¨
zu einem gewissen Grad konvergieren. Mittel, die tatsachlich¨ die Privatsphare¨
schutzen,¨ fehlen noch immer. Das Problem ist: Sobald ein Benutzer seine Daten an
einen Diensteanbieter ubermittelt,¨ verliert er die Kontrolle uber¨ seine Daten. Die
einfachste Losung¨ ware¨ es, uberhaupt¨ keine Daten zu ubermitteln.¨ Dann konnen¨
jedoch viele nutzliche¨ Dienste, z. B. Navigations-Anwendungen, nicht verwendet
werden.
Diese Dissertation adressiert zwei Aspekte des Privatspharenschutzes.¨ Der erste
Aspekt betrit die Nicht-Erzeugung privater Informationen wenn moglich.¨ Solche
unnotigen¨ Informationen sind Nutzungsspuren an zugrisbeschrankten¨ Diensten.
Deshalb ermoglicht¨ ein Ansatz dieser Dissertation eine k-anonyme Zugangsbe-
rechtigung. Er stattet die Benutzer des Systems mit vertrauenswurdigen¨ pseudony-
misierten Zertifikaten aus, welche die entsprechende Autorisierung reflektieren.
Analog zu anonymen e-Cash-Ansatzen¨ werden die Zertifikate von einer vertrau-
enswurdigen¨ Autoritat¨ mit Kenntnis uber¨ die tatsachlichen¨ Berechtigungen iden-
tifizierter Nutzer ausgestellt. Die Zertifikate konnen¨ von jedem Dienst mit Un-
¨ ¨ ¨terstutzung der Autoritat verifiziert werden, ohne die Identitat des Benutzers zu
kennen. Nicht einmal die ausstellende Autoritat¨ ist in der Lage, die Identitat¨ des
Benutzers aus dem Pseudonym des Zertifikates zu ermitteln. Daher kann die Ser-
vicenutzung nicht nachverfolgt werden, weder durch den Dienst noch durch die
Autoritat.¨ Dieses schutzt¨ die Privatsphare¨ des Dienstnutzungsverhaltens der Nut-
zer.
Der zweite Aspekt des Privatspharenschutzes¨ ist, die Kontrolle uber¨ ausgegebe-
ne private Daten zu behalten. Die voruber¨ gehende Herausgabe privater Daten ist
unerlasslich¨ fur¨ kontextsensitive Dienste, die auf solche Kontextdaten angewiesen
sind, um den Mehrwert des Dienstes anzubieten oder zu erhohen.¨ Dazu wird in
dieser Dissertation ein Privatspharen¨ garantierender Ausfuhrungscontainer¨ (PGEC)
entworfen, der Anwendungen den Zugri auf private Nutzerdaten ermoglicht,¨ da-
bei aber garantiert, dass die Nutzerdaten geloscht¨ werden, sobald der Dienst oder
die Anwendung beendet ist. Im Grunde ist das Konzept, dass die Anwendung
den Zugri nur innerhalb einer speziell geschutzten¨ und zertifizierten Umgebung,
dem PGEC, erhalt.¨ Der PGEC beschrankt¨ außerdem die Kommunikation zwischen
der Anwendung und dem Dienstanbieter auf das Maß, welches explizit durch den
Dienstnutzer festgelegt wird. Zusatzlich¨ zu diesen Mitteln wendet der PGEC Ge-
genmanahmen an gegen boswillige¨ Angrie, wie modifizierte Hostsysteme und
Angrie uber¨ verdeckte Kanale,¨ die zum Beispiel die CPU-Last missbrauchen
¨konnten, um Daten aus dem PGEC herauszuschleusen. Damit garantiert der PGEC
eine “Einmalnutzung” der herausgegebenen privaten Daten.Contents
Abstract i
Zusammenfassung iii
Contents v
1 Introduction 3
1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2 Scenarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2.1 Anonymous Authentication/Access Control . . . . . . . . . . . 6
1.2.2 Stationary/mobile use . . . . . . . . . . . . . . . . . . . . . . . 7
1.2.3 Exchange of Private Data for Purpose . . . . . . . . . . . . . . 9
1.2.4 Scenario of Accessing Medical Data of Patients . . . . . . . . . 9
2 RelatedTechnologies 13
2.1 Existing Privacy Protection Technologies . . . . . . . . . . . . . . . . 13
2.1.1 Declarative Technologies . . . . . . . . . . . . . . . . . . . . . 13
2.1.2 Enforcing T . . . . . . . . . . . . . . . . . . . . . 14
2.2 Access Control Technologies . . . . . . . . . . . . . . . . . . . . . . . 23
2.2.1 eXtensible Access Control Markup Language (XACML) . . . . 23
2.2.2 Discretionary Access Control (DAC) . . . . . . . . . . . . . . 25
2.2.3 Mandatory Access Control (MAC) . . . . . . . . . . . . . . . . 26
2.2.4 Role Based (RBAC) . . . . . . . . . . . . . . . 26
2.3 Authentication Technologies . . . . . . . . . . . . . . . . . . . . . . . 27
2.3.1 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.3.2 Pre-shared key (PSK) Authentication . . . . . . . . . . . . . . 29
2.4 Digital Rights Management (DRM) . . . . . . . . . . . . . . . . . . . 29
3 AnonymousAccessControl 33
3.1 Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.2 Function Principle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
vvi CONTENTS
3.2.1 Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2.2 Mathematical Background . . . . . . . . . . . . . . . . . . . . 36
3.2.3 Attacks by Malicious Users . . . . . . . . . . . . . . . . . . . 38
3.2.4 by Certificate Authority (CA) . . . . . . . . 40
3.3 Performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.4 Simplified Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.4.1 Issuing of Certificates . . . . . . . . . . . . . . . . . . . . . . 43
3.4.2 Anonymous Authorization and Authentication . . . . . . . . . 45
4 ProtectingPrivateDatabyTechnicalMeans 51
4.1 Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4.1.1 Service Classification . . . . . . . . . . . . . . . . . . . . . . . 53
4.1.2 Economical Security . . . . . . . . . . . . . . . . . . . . . . . 55
4.1.3 Evaluate Information Load of Literals . . . . . . . . . . . . . . 56
4.1.4 Negotiation of Permitted Data . . . . . . . . . . . . . . . . . . 57
4.2 Privacy Guaranteeing Execution Container (PGEC) . . . . . . . . . . . 59
4.2.1 Stand-alone Architecture . . . . . . . . . . . . . . . . . . . . . 59
4.2.2 Distributed . . . . . . . . . . . . . . . . . . . . . 62
4.3 Protection Requirements . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.1 PGEC Threat Model . . . . . . . . . . . . . . . . . . . . . . . 65
5 PrototypeImplementation 71
5.1 Technical Aspects and Components of the PGEC . . . . . . . . . . . . 71
5.1.1 PGEC and its Host Runtime Environment . . . . . . . . . . . . 72
5.1.2 Other Protection Means . . . . . . . . . . . . . . . . . . . . . 75
5.1.3 Covert Channels . . . . . . . . . . . . . . . . . . . . . . . . . 80
5.1.4 Assertion of Untampered System . . . . . . . . . . . . . . . . 88
5.1.5 Abstract Programming Interface (API) for Data Access . . . . . 91
5.1.6 Mutual Authentication of Distributed PGEC Instances . . . . . 95
5.2 Test Attacks and Eects of Counter Measures . . . . . . . . . . . . . . 95
5.2.1 Test Regular Attacks . . . . . . . . . . . . . . . . . . . . . . . 98
5.2.2 Test Covert Channel Attacks . . . . . . . . . . . . . . . . . . . 108
6 Summary 113
Bibliography 117
A Listings 127
ListofSymbolsandAbbreviations 155
ListofFigures 158
ListofTables 161