Jump directly to page content

Homomorphe Verschlüsselung und Europas Cloud

Ein Baustein für Europas digitale Souveränität

SWP-Aktuell 2021/A 15, 17.02.2021, 4 Pages

doi:10.18449/2021A15

Research Areas

Homomorphe Verschlüsselung stellt einen nächsten Evolutionsschritt der Krypto­grafie dar. Mit dieser Technologie können Datenbanken erstmals verschlüsselt ge­nutzt werden. Auch eröffnen sich mit ihr zahlreiche neue Möglichkeiten im Bereich Multi-Cloud-Computing und Machine Learning. Zudem hat homomorphe Krypto­grafie politische Implikationen. Die Technologie ist zentral für die Sicherheitspolitik, etwa beim Datenaustausch zwischen Sicherheitsbehörden. Neue Multi-Cloud-Geschäfts­modelle könnten zudem neue Abhängigkeiten erzeugen, etwa von den USA, wo bereits an einer Standardisierung gearbeitet wird. Um nicht abgehängt zu werden, sollte die EU die Anwendungsforschung fördern und homomorphe Verschlüsselung bei den Planungen für die eigene Cloud-Initiative Gaia-X frühzeitig miteinbeziehen.

Verschlüsselung wandelt lesbaren Klartext mittels mathematischer Funktionen in un­leserlichen Ciphertext um. Dadurch können nur autorisierte Nutzerinnen und Nutzer mit passendem Schlüssel eine Information dechiffrieren. Bisherige Verschlüsselungs­verfahren haben aber einen zentralen Nachteil: Daten sind entweder im Klartext lesbar oder verschlüsselt. Wer Daten auf einer Festplatte bearbeiten will, muss diese zunächst entschlüsseln. Das erhöht das Risiko, dass unbefugte Dritte diese Daten mitlesen können. Datennutzung bei gleich­zeitiger aktiver Verschlüsselung war lange Zeit praktisch kaum umsetzbar. Neue Ent­wicklungen im Bereich sogenannter voll­ständiger homomorpher Verschlüsselung (HV) lassen hoffen, dass dieses Problem ge­löst werden kann. HV erlaubt die Nutzung von Daten in Datenbanken oder auf Fest­platten, während sie noch verschlüsselt sind. Das ist gewissermaßen der »heilige Gral« der Verschlüsselung: Daten sind auf einmal zeitgleich nutzbar und sicher. Dank wissenschaftlicher Fortschritte und der Initiativen großer US-Firmen ist das mitt­lerweile nicht mehr nur eine Forschungstheorie, sondern wird zunehmend Praxis. HV wird ein zentraler Technologietrend in den nächsten Jahren sein, erlaubt sie doch komplett neue Anwendungsszenarien. Da­her ist HV ein Schlüsselthema der IT-Sicher­heit und der Technologiepolitik.

Was ist Homomorphe Verschlüsselung?

Homomorphe Verschlüsselung ist ein kryp­to­grafisches Verfahren, das insbesondere im Bereich der Datennutzung, etwa bei Daten­bankabfragen oder beim Cloud-Computing, angewendet werden wird. Es ist also kein Verfahren für die Transportverschlüsselung, wie etwa bei Messenger-Kommunika­tion.

Homomorph heißt, dass Klartext und Ciphertext strukturtreu zueinander sind. Daher liefert die statistische Analyse homo­morph verschlüsselter Daten ähnliche Re­sul­tate wie die von unverschlüsseltem Klartext. HV basiert auf bereits bekannten Public-Key-Verfahren der Transport­verschlüs­selung. Nur autorisierte Nutzerinnen und Nutzer können mit einem Mix aus privatem und öffentlichem Schlüssel Daten dechif­frieren. Allerdings erlaubt HV durch die Ver­wendung komplexer Algebra (u.a. »lattice-based« bzw. gitterbasierte Algebra) auch Berechnungen an verschlüsselten Daten. Damit können zum Beispiel verschlüsselte Datenbanken durchsucht werden, ohne dass diese entschlüsselt werden müssen.

Dr. Craig Gentry, einer der Vordenker von HV, beschreibt das Verfahren so: HV ist wie ein Handschuhkasten, mit dem toxische Materialien bearbeitet werden. Man kann die Hände in die Handschuhöffnungen stecken, ohne dass man notwendigerweise sieht, was man darin ergreift (ein Sinnbild für die Verschlüsselung). Man kann die Ob­jekte innerhalb des undurchsichtigen Kas­tens greifen und mit ihnen »arbeiten« (Daten­verarbeitung), aber es ist nicht möglich etwas aus dem Kasten herauszuholen.

Mit HV können Kunden also auf verschlüsselte Daten in einer Cloud zugreifen, ohne dass diese wie bisher an einer Stelle entschlüsselt werden und somit für den Cloud-Betreiber oder Dritte sichtbar wer­den. HV kann so gestaltet werden, dass bei Datenbankabfragen zum Beispiel die Ein­gaben und Ausgaben für Dritte verborgen bleiben, also für den Datenbankbetreiber selbst. Damit könnte nur ein Datenbanknutzer Eingaben und Ausgaben im Klar­text sehen. Gleichzeitig kann eine homomorph verschlüsselte Datenbank sicherstellen, dass weitere Daten vor unbefugtem Zugriff der Nutzerinnen und Nutzer geschützt sind. Damit löst sich ein zentrales Datenschutzproblem, nämlich jenes des Misstrauens gegenüber Cloud-Diensten. Bisher kann man als Kunde nie sicher sein, was ein Cloud-Anbieter mit dort gespeicherten Daten anstellt. HV erlaubt also eine ähn­liche Funktionalität, wie sie unverschlüs­­selte Datenbanken haben, bei gleichzeitig besserer Datensicherheit.

Die genaue Funktionalität hängt aber von dem verwendeten Verfahren ab. Es gibt partielle, einigermaßen vollständige und vollständige homomorphe Kryptografie. Die verschiedenen Systeme erlauben unterschiedliche Arten von Berechnungen an verschlüsselten Daten und haben teils eigene Limitierungen, etwa bei der Anzahl der Abfragen. Der Grad der Datensicherheit ist also eine Frage der Implementierung des gewählten Verfahrens.

Anwendungsszenarien

Die Nutzungsszenarien sind vielfältig. Ein großer Bereich, in dem HV voraussichtlich eine starke Rolle spielen wird, ist Datenbank-Outsourcing. HV-verschlüsselte Daten­banken können an Dritte outgesourct wer­den, ohne dass diese die Datenbankinhalte lesen können. Dennoch können natürlich Berechnungen damit durchgeführt werden. Durch diese Möglichkeit des Outsourcings eröffnen sich vollkommen neue Geschäftsmodelle. So könnten medizinische Daten­banken zur weiteren statistischen Analyse an Dritte weitergegeben werden, ohne dass individuelle Datenpunkte einzelnen Patien­ten zu­geordnet werden können. Damit sind medizinische Studien mit kombinierten Datenbanken machbar, ohne dass die Pri­vat­sphäre Einzelner verletzt wird. Die Kom­bination verschiedener Cloud-Daten­banken, auch Multi-Cloud-Computing genannt, ist ein Trend der kommenden Jahre. Bisher sind damit enorme logistische Herausforderun­gen verknüpft, die durch die Schwierigkeit entstehen, Daten über verschiedene Daten­banken hin­weg sicher zu verschlüsseln.

Das Kombinieren diverser Datenbanken ist auch in der Sicherheitspolitik relevant. HV kann Probleme beim Datenaustausch zwischen Datenbanken verschiedener Sicherheitsbehörden lösen. Mit HV können einzelne Datenpunkte geteilt werden, ohne dass die Gefahr eines unbefugten Zugriffs Dritter auf die gesamte Datenbank besteht. Ein solcher Austausch ist nämlich bisher sowohl bei Fahndungsdatenbanken als auch beim »intelligence sharing« zwischen Nachrichtendiensten ein Problem, was dazu führt, dass darauf verzichtet wird. Auch bei vernetzten militärischen Einsatzführungssystemen kann HV sinnvoll sein. Standard­mäßig mit HV verschlüsselte Datenbanken wären auch in der IT-Sicherheit ein äußerst wirkungsvolles Mittel gegen die zunehmen­den Datenlecks. Auch bei der Digitalisierung demokratischer Prozesse kann HV helfen. Microsoft hat jüngst sein »Election Guard«-Programm vorgestellt. Damit können über elektronische Wahlgeräte abgegebene Wahl­stim­men verifiziert und von Wahl­leitern aggregiert werden, ohne dass die individuelle Wahlpräferenz offengelegt wird. HV ist also eine wichtige Technologie für den Schutz der Privatsphäre. Der größte Nutzen dürfte im Bereich Machine Learning (ML) und Künstliche Intelligenz liegen. Mit­tels HV können ML-Algorithmen Analysen an Datensätzen ausführen, ohne das Trai­ningsmodell oder einzelne Datenpunkte offenlegen zu müs­sen und damit die Privat­sphäre einzelner Nutzerinnen und Nutzer zu gefährden.

Wo stehen wir?

Die Ursprünge von HV reichen bis in die 1970er Jahre zurück. 2009 veröffentlichte Craig Gentry eine Promotion zum Thema, die als Meilenstein gilt. Der Nachteil an Gentrys Verfahren war bis vor kurzem die unpraktische Umsetzbarkeit. Die Berechnungen an verschlüsselten Datenbanken sind bisher noch langsamer als die an Klar­text. Die IT-Firma IBM schätzt, dass Berech­nungen via HV bisher noch zehn- bis hun­dertmal mehr Rechenleistung benötigen als unter Einsatz anderer Kryptoverfahren. Zudem erhöht sich der Speicherverbrauch je nach Verfahren um den Faktor 20. Für Berechnungen an komplexen neuronalen Netzen oder für Echtzeitberechnungen ist das noch unpraktikabel. Zudem sind HV-Algorithmen bisher aufwendig in der Im­plementierung und umständlich in der Nutzbarkeit.

Allerdings wurden seit 2009 enorme Fort­schritte gemacht. Algorithmen wurden verbessert und die Rechenleistung stieg an, so dass diese in Zukunft immer weniger ein limitierender Faktor sein werden. Da HV der nächste logische Entwicklungsschritt nach Cloud-Computing, Big Data, dem Internet der Dinge und Machine Learning ist, wird die Optimierung von HV durch diese Trends befeuert. Dadurch wird sich auch mittelfristig die Nutzbarkeit verbessern und auch die Verbreitung erhöhen.

Das liegt auch daran, dass sich mehrere große Player das Thema auf die Fahne ge­schrieben haben. Die US Defense Advanced Research Projects Agency investiert schon seit 2011 in die Technik. Das DPRIVE-Pro­gramm zielt darauf, HV-Algorithmen zu beschleunigen und die Rechenintensität zu reduzieren.

Microsoft gab 2015 das Projekt SEAL als Open Source frei. SEAL ist eine vollständige Programmbibliothek, die Nutzerinnen und Nutzern HV ermöglicht, ohne komplexe mathematische Modelle zu benötigen.

In die gleiche Kerbe schlägt auch IBM mit seinem 2020 gestarteten HElib-Projekt. Da­bei handelt es sich um einen HV-Werkzeug­kasten samt Testumgebung, mit dem User zum Beispiel eigene Prototyp-Anwendungen erstellen können.

Weitere Player sind die U.S. National Secu­rity Agency und kleinere Startups in den USA, unter anderem Enveil. Zudem werden in der Wissenschaft zahlreiche weitere Varianten und Toolkits entwickelt, um die oben genannten Probleme zu über­winden. Auch in China werden zunehmend For­schungspapiere zum Thema HV ver­öffentlicht. In Deutschland und Europa steckt die Entwicklung noch in den Kinder­schuhen. SAP, die Fraunhofer-Institute und verschiedene universitäre Projekte arbeiten vorwiegend an den theoretischen Aspekten der Tech­nologie.

Die wissenschaftlichen Erkenntnisse in die Praxis umzusetzen, etwa um neue Ge­schäftsfelder frühzeitig zu besetzen, gestal­tet sich in der EU allerdings schwieriger als in den USA. Das 2015 gestartete HEAT-Pro­jekt der EU soll das ändern. Experten und Expertinnen schätzen, dass in ungefähr fünf Jahren die Anwendungsreife dieser Tech­nologie erreicht ist. Ungefähr in dieser Zeitspanne werden auch Multi-Cloud-Archi­tekturen zum Standard werden. Es ist also wichtig, dieses Thema jetzt schon auf dem Schirm zu haben.

Implikationen für die digitale Souveränität Europas

Die groben Umrisse der politischen Implika­tionen dieser Technologie sind heute schon sichtbar. Erstens wird die Einführung von HV ähnliche Auswirkungen haben wie die anderer Verschlüsselungsmethoden: Sicher­heitsbehörden werden versuchen, die Tech­nik zu schwächen, da sie im Widerspruch zu ihren Überwachungsbemühungen steht. Hintertüren in Standard-Software sind zu be­fürchten. Da HV auf Public-Key-Verfahren aufsetzt, ergäben sich ähnliche Grund­proble­me. Die Sicherheit von HV hängt von der Implementierung und der Sicherheit des Gesamtsystems ab. Softwareschwachstellen, ob intentional platziert oder zufällig, kön­nen auch hier die IT-Sicherheit gefährden. Auch das komplexe Schlüsselhandling kann schiefgehen und ein Einfallstor öffnen.

Daraus ergeben sich, zweitens, Fragen für das Spannungsfeld digitaler Autonomie und Abhängigkeit Europas von US-Techno­logie. Diverse wissenschaftliche Arbeitsgruppen und Unternehmen wie Microsoft und IBM arbeiten zusammen mit dem U.S. National Institute of Standards and Tech­nology (NIST) bereits an der Standardisierung homomorpher Verfahren. Zwar hätte ein NIST-Standard für HV keine bindende, durchaus aber eine Signalwirkung für Europa. Wer auch immer den Entwicklungs­schritt zu praktikabler HV frühzeitig meistert, hat einen Vorteil bei der nächsten Generation der Kryptografie. In der Theorie ist es möglich, mit vollständig homo­mor­phen Verfahren quantensichere Ver­schlüs­selung herzustellen. Quantencomputer kön­nen kryptografische Verfahren, die bisher als sicher galten, brechen. Vollständige HV bietet in der Theorie einen Schutz da­vor. Das heißt, der, dem die praktische Um­set­zung dieser Technologie als Erstem ge­lingt, hat einen Startvorteil im bevor­stehenden Quantenzeitalter.

Jetzt ist noch Zeit, um auf diese Entwicklungen zu reagieren. So sollte die EU die Standardisierung beschleunigen. Die Stan­dardisierung von HV für Multi-Cloud-Um­gebungen ist wich­tig, damit Daten zwischen Anbietern sicher aus­getauscht werden kön­nen. So kann ein »vendor lock-in« – die Ab­hängigkeit von amerikanischen Services – frühzeitig vermieden werden.

Um die eigene digitale Souveränität zu stärken, sollte die EU der Wissenschaft und Startups mehr Finanzmittel für die Anwen­dungsforschung über HV bereitstellen. Denn aus der Anwendungsforschung lassen sich frühzeitig die Geschäftsmodelle der Zu­kunft entwickeln. Diese sollten auch durch Venture-Kapital gefördert werden. Datensparsame Cloud-Services, die das grund­sätzliche Misstrauensproblem lösen, stellen eine konkrete Marktlücke dar. Vertrauens­würdige europäische Cloud-Services kön­nen ein Wettbewerbsvorteil gegenüber chinesischen oder amerikanischen Services sein, die im Bereich Cloud-Computing marktführend sind. Mittels HV könnte auch die von Deutschland und Frankreich initi­ierte Prestige-Cloud-Plattform Gaia-X auf­gewertet werden. Bei deren Aufbau sollte HV von Anfang an mitgedacht werden. Bei HV hat Europa die Gelegenheit auf einen Zug aufzuspringen, der zwar bereits rollt, aber noch nicht vollständig abgefahren ist.

Dr. Matthias Schulze ist Stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik.

© Stiftung Wissenschaft und Politik, 2021

SWP

Stiftung Wissenschaft und Politik

ISSN (Print) 1611-6364

ISSN (Online) 2747-5018