Mehr Sicherheit in der Cloud

Die Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) veröffentlichte am 6. September 2023 eine Ausschreibung zur Erforschung bislang noch wenig verbreiteter kryptographischer Techniken. Die vier Forschungsthemen des Projekts „Encrypted Computing“ basieren auf den Erkenntnissen der Vorstudie aus dem letzten Jahr.

Etablierte kryptographische Verfahren ermöglichen üblicherweise den Schutz vor ungewolltem Zugriff auf private oder sensible Daten während der Kommunikation mit anderen Parteien (data in transit) sowie während der Speicherung dieser Daten (data at rest). Mit diesen klassischen Verfahren ist es allerdings nicht möglich, Daten im verschlüsselten Zustand weiterzuverarbeiten.

Die Cyberagentur möchte in der aktuellen Ausschreibung kryptographische Konzepte wie Encrypted Computing (EC) und Privacy-Enhancing Cryptography (PEC) näher erforschen lassen. EC/PEC-Technologien erlauben es, Daten in verschlüsselter Form direkt zu verarbeiten (data in use). Eine Entschlüsselung für Operationen in der Klartextdomäne ist nur im letzten Schritt nötig, wenn die Ergebnisse vom Benutzer eingesehen werden sollen. Für die Berechnungen selbst ist dies nicht nötig, wodurch sensible und sicherheitskritische Daten analysiert und gleichzeitig geheim gehalten werden können. Datenschutz und Datennutzung in der Cloud sind damit diese Konzepte vereinbar.

In der Ausschreibung werden vier Forschungsthemen – Private Set Intersection, Private Data Aggregation, Privacy-Preserving Data Analytics, Privacy-Preserving Machine Learning – gestellt, welche bearbeitet werden sollen. Diese vier Themen greifen die verschiedenen Einsatzbereiche für die neuen kryptographischen Techniken auf.

In der Vorstudie des Projekts wurde festgestellt, dass die benannten kryptographischen Techniken auf diesem Gebiet trotz großer theoretischer Fortschritte und verfügbarer Frameworks in der Praxis oft noch immer nicht effizient genug für realitätsnahe Anwendungen sind. Zusätzliche Anforderungen können die Praxistauglichkeit heutzutage weiter einschränken. Dazu zählen beispielsweise verifizierbare Ergebnisse bei ausgelagerten Berechnungen, oder Robustheit gegen Korrumpierung von Komponenten.

Die neue Ausschreibung „Encrypted Computing“ ist in drei Phasen gegliedert. In der ersten Phase haben Interessenten zwei Monate Zeit, ein Kurzkonzept zu erarbeiten. In dieser Phase sind beliebig viele Bewerber zugelassen. Die Cyberagentur wird von diesen Kurzkonzepten maximal die sechs Besten auswählen. Anschließend haben die ausgewählten Interessenten weitere vier Monate Zeit, ihre Ideen in einem Langkonzept auszuarbeiten. Neben den inhaltlichen Themen wird auch das Projektmanagement des Vorhabens über die Laufzeit auf Nachvollziehbarkeit geprüft. Diese Phase wird bereits mit einem fixen Betrag vergütet. Von diesen maximal sechs Bietern werden wiederum bis zu vier Teilnehmer ausgewählt, welche dann eine vierjährige Förderung erhalten.