CREDENTIAL
Sicheres Identitäts- und Datenmanagement im Cloud-Computing
Mit steigender Mobilität und steigender Internetnutzung, gewinnen digitale Serviceangebote immer mehr an Bedeutung. Bei großen Cloud-Betreibern gehostete Dienste, auf die – unabhängig vom Endgerät – von überall aus zugegriffen werden kann, haben in den vergangenen Jahren bereits einzelne Bereiche der Digitalwirtschaft revolutioniert. Jedoch sind die Bereiche eGovernment und eHealth aufgrund der sehr hohen Anforderungen an Datenschutz und Datensicherheit von dieser Entwicklung noch immer weitgehend entkoppelt.
Ziel des CREDENTIAL-Projekts war die Entwicklung einer Lösung, der sogenannten CREDENTIAL-Wallet , die es Anbietern von Cloud-Services ermöglichen soll, Dienstangebote zu schaffen, die höchsten Ansprüchen an Datenschutz und Datensicherheit gerecht werden. Dieses Ziel wurde im Projekt durch die Kombination einer Reihe von Maßnahmen erreicht:
Starke Mehr-Faktoren-Authentisierung: Der Zugang zu den Funktionen eines Dienstangebots wird mittels starker Authentisierungsmechanismen geschützt, die neben der Authentisierung des Nutzers auch die Identität des verwendeten Geräts verifizieren. Sofern vom Endgerät ermöglicht, wird das in diesem Zusammenhang verwendete Schlüsselmaterial in speziell gesicherten Umgebungen generiert und gespeichert.
Kryptografisch gesicherte Datenhoheit des Nutzers: Sämtliche Daten des Nutzers werden ausschließlich in verschlüsselter Form gespeichert. Die Freigabe von Daten ist nur dann möglich, wenn der Nutzer dies autorisiert und das passende Schlüsselmaterial für eine Umschlüsselung generiert. Mit diesem Verfahren kann eine echte Ende-zu-Ende-Vertraulichkeit der Daten sichergestellt werden. Dieses Prinzip garantiert, dass der Betreiber des Cloud-Service nicht in der Lage ist, die Klartextdaten einzusehen. Zur Realisierung dieser Funktionalität wird die sogenannte »Proxy Re-Encryption« verwendet.
Im Rahmen des Projekts wurden Pilotanwendungen in den Bereichen eHealth, eGovernment und eBusiness realisiert:
Für den eHealth-Bereich wurde eine Anwendung mit speziellem Fokus auf die Behandlung von Diabetes Typ 2 konzipiert und entwickelt, die es dem Patienten ermöglicht, seine Messwerte (Blutzucker, Gewicht) in einer Fallakte sicher zu speichern und mit autorisierten Leistungserbringern zu teilen. Im umgesetzten Szenario werden Blutzuckerwerte von einem Messgerät über Bluetooth an eine spezielle Diabetes-App gesendet, dort verschlüsselt und anschließend an die cloudbasierte Akte übertragen. Entscheidet sich der Patient, die Messwerte seinem behandelnden Arzt zugänglich zu machen, erzeugt die Diabetes-App einen sogenannten Umschlüsselungsschlüssel (Re-Encryption Key), welcher vom Dienst beim Abruf der Daten durch den autorisierten Leistungserbringer zur Umschlüsselung der Messwerte verwendet werden kann. Der Betreiber des Aktensystems erhält bei diesem Verfahren keinen Zugriff auf die freigegebenen Messwerte. In entgegengesetzter Richtung, also vom Arzt zum Patienten, ist ein sicherer Informationsfluss, z. B. für die Übermittlung von Laborwerten (HbA1c) oder Therapieempfehlungen auch möglich.
Für den e-Government-Bereich wurde die Authentifizierung für die Inanspruchnahme von Dienstleistungen öffentlicher Stellen getestet. Dafür wurde das Webportal SIAGE der Region Lombardei (Italien) um ein zusätzliches Authentifizierungsverfahren erweitert, das es dem Nutzer ermöglicht, nur ausgewählte Identitätsinformationen mit dem Webportal zu teilen. Dieses Verfahren lässt sich ebenso als Angebot im e-Business-Bereich realisieren, z. B. dort wo Altersnachweise erforderlich sind oder der Wohnort über die Angebotspalette eines Dienstes entscheidet.
In einem zusätzlichen Anwendungsfall wurde eine Erweiterung des Legalmail-Angebots von InfoCert vorgenommen. Legalmail ermöglicht den rechtlich verbindlichen E-Mail-Austausch zwischen zwei Kommunikationspartnern. Die Erweiterung ermöglicht es, verschlüsselte Mails während einer längerfristigen Abwesenheit des Empfängers auch an vorab definierte Stellvertreter zu senden, welche diese bearbeiten können. Mit dem verwendeten Proxy Re-Encryption Mechanismus konnte dieses Ziel erreicht werden, ohne die Anforderung an eine echte Ende-zu-Ende-Verschlüsselung zu unterlaufen.
CREDENTIAL wurde gefördert im Rahmen des Förderprogramms für Forschung und Innovation Horizon 2020 der Europäischen Union.