Amazon komt met dienst voor opslaan encryptiesleutels - update

Amazon komt met een dienst die organisaties hun encryptiesleutels beveiligd laat opslaan. Daarmee moeten applicaties die leunen op encryptie makkelijker naar Amazon Web Services kunnen worden gemigreerd. De dienst is vrij prijzig.

De dienst, CloudHSM, zorgt ervoor dat encryptiesleutels kunnen worden opgeslagen in een speciale hardwaremodule voor het opslaan van sleutels. Tegelijkertijd kunnen ze door Amazon Web Services worden gebruikt. Daartoe wordt een api gebruikt; uit veiligheidsoverwegingen heeft alleen de gebruiker zelf, en niet de cloud-omgeving van Amazon, rechtstreeks toegang tot de encryptiesleutels. Hierdoor kunnen volgens Amazon applicaties die nu nog in datacentra draaien, worden verplaatst naar Amazons cloud-omgeving.

Volgens Amazon voldoet de opslag van de sleutels aan verschillende richtlijnen van de overheid voor veilige opslag van gegevens. Deze regels schrijven voor dat de HSM zichzelf wist als deze merkt dat er mee wordt gesleuteld, waardoor bijvoorbeeld de Amerikaanse overheid geen toegang tot de sleutels zou kunnen krijgen. Daardoor hoeven bedrijven niet te vrezen voor de Amerikaanse patriot act, die bepaalt dat de overheid data kan vorderen die bij Amerikaanse bedrijven is ondergebracht. Tenzij de fabrikant van de chips dus een backdoor heeft ingebouwd voor de Amerikaanse overheid, kan die de sleutels niet bemachtigen.

Daarnaast is de dienst vrij prijzig, waarschijnlijk doordat er een fysieke hardwaremodule voor de keys moet worden gereserveerd; normaal worden taken bij Amazon dynamisch over servers verdeeld. De gebruiker betaalt per CloudHSM-instance 5000 dollar aan eenmalige kosten en daarnaast het bedrag van 1,88 dollar per uur, wat op bijna 1370 dollar per maand neerkomt.

Update, 19:32: In dit stuk stond aanvankelijk een andere passage over de patriot act en het gevaar daarvan voor de opslag van de sleutels. Een HSM wist zichzelf als ze merkt dat ermee wordt gesleuteld. De tweede alinea is daarom anders geformuleerd en aangevuld.

CloudHSM

IT-banen

Reacties (27)

TDeK 27 maart 2013 15:41

Amazon is met name interessant voor start-ups en bedrijven die niet willen investeren in eigen hardware en/of taken hebben die niet direct berekend hoeven worden (denk aan Amazon Spot Instances). Hele grote bedrijven en overheden zullen niet gauw naar Amazon gaan, zoals gesteld vanwege de Patriot Act, maar ook doordat Amazon best prijzig is bij grote hoeveelheden bandbreedte en system load. In die gevallen is eigen beheer dikwijls goedkoper. En juist die partijen zullen in dit soort systemen (key opslag) geïnteresseerd zijn. Ik ben benieuwd of het gaat lopen, zeker omdat AWS vaak wordt gebruikt ivm kostenbesparing (pay-as-you-go).

David Mulder @TDeK • 27 maart 2013 15:50

Edit: Oops, klikte per ongeluk op verzenden van reactie.

In ieder geval, wat je zegt zou kloppen indien bedrijven niet zo'n zooitje soms maken van in house oplossingen. In theorie is amazon echt veel te duur, maar niettemin merk je vaak dat intern bij bedrijven er door de tijd heen zo'n puinhoop is gemaakt dat het uiteindelijk toch nog goedkoper uit komt, simpelweg vanwege de inefficientie die bij veel bedrijven heerst.

Hoe dan ook, wij hosten zelf ook wel dingen bij amazon en andere cloud diensten, vooral omdat je je relatief minder druk hoeft te maken rondom het hele issue van schalen. Daarnaast heb je een bepaalde zekerheid van uptime die vaak beter is dan die van bedrijven zelf.

[Reactie gewijzigd door David Mulder op 25 juli 2024 00:37]

Verwijderd @TDeK • 27 maart 2013 17:04

Amazon wordt juist vaak gebruikt door de grote jongens. Departementen hebben vaak een eigen IT budget. Als ze snel iets nieuws willen starten gaat dat via amazon vaak sneller dan via de eigen IT afdeling.

Swaptor 27 maart 2013 16:00

Licht verwarrend aan de titel van dit bericht is dat het doel van de genoemde service *niet* is om de encryptiesleutels op te slaan, maar om cryptografische berekeningen via hardware mogelijk te maken in de cloud.

HSM = Hardware Security Module

Toepassingen zijn bijvoorbeeld het supersnel versleutelen van grote hoeveelheden bestanden (mail, tekst, binaries, vingerafdrukken, andere biometrie, etc)
Er zijn softwarematige oplossingen, maar een HSM is in bijna alle gevallen sneller en dus* beter.

*Ja, inderdaad, alleen bij grote hoeveelheden.

De aanschafkosten van een CloudHSM van $5000 zijn logisch, dat is ook ongeveer de prijs van een instap-HSM die je in je eigen rack op zou hangen.

[Reactie gewijzigd door Swaptor op 25 juli 2024 00:37]

jGS @Swaptor • 27 maart 2013 17:00

Hier is men al serieus van teruggekomen. De HSM voor SSL acceleratie en dergelijke meer worden nog weinig toegepast. Een gewone server doet het tegenwoordig sneller en in verhouding veel goedkoper. Nagenoeg altijd gebruikt men ze eigenlijk om root keys en andere belangrijke sleutels op te slaan. Bijvoorbeeld de verisign root keys waar alle certificaten mee gegenereerd worden zitten zeker en vast in een HSM.

Een HSM is op zich tamper proof (zowel fysiek als softwarematig), dus als amazon het correct implementeert, kunnen ze niet eens aan de sleutels!! Zelfs niet op bevel van eender wie. Als ze effectief FIPS 140-2 en EAL4+ zijn gecertificeerd, mag je er van uit gaan dat je echt niet aan de keys zal komen.

Zie ook hier: http://techcrunch.com/201...aging-cryptographic-keys/

Wie de post van Swaptor +2 gegeven heeft weet ik niet, maar hij klopt alleszins niet echt ...

[Reactie gewijzigd door jGS op 25 juli 2024 00:37]

Sticka 27 maart 2013 16:10

Dit moet je nooit doen bij een Amerikaans bedrijf. Een vraag van de overheid en ze leveren meteen je sleutels. Kan je beter in Duitsland doen, daar zijn ze veel strenger met dit soort zaken.

pieterrr @Sticka • 27 maart 2013 16:54

Je hebt het niet helemaal bij het juiste einde.

De sleutels zitten opgeslagen in een box die tamper evident en tamper proof is. Dit is gecertificeerd, FIPS 140-2 Level 3. De box wist zichzelf als je hem niet op de juiste wijze opent.

Om toegang te krijgen tot de HSM om de configuratie aan te passen, sleutels te generen, verwijderen of back-uppen dien je jezelf te authenticeren door middel van een token en een bijbehorende PIN code / password.

Amazon heeft dus geen toegang tot de sleutels in de HSM, want ze hebben de tokens niet en de fysieke box is beveiligd tegen ongeoorloofd openen. Een vraag vanuit de overheid haalt dus niet zoveel uit omdat men niets kan met de HSM en deze in het ergstige geval zichzelf wist.

Zie ook http://www.safenet-inc.co...security-modules/luna-sa/

ArgantosNL 27 maart 2013 15:40

5000 dollar + 1370 dollar per maand om encryptiesleutels op te slaan en de amerikaanse overheid toegang toe te geven, hoe kan dit nou geen succes worden.

Dreamvoid @ArgantosNL • 27 maart 2013 15:42

Als je al een Amerikaans bedrijf bent, maakt dat natuurlijk niet uit.

Wulfklaue @Dreamvoid • 27 maart 2013 16:00

Eens zien als Amerikaanse overheid zegt tegen:

* Amazon: We willen die encryptie sleutels.

* Het bedrijf in kwestie dat ze target, we willen uw encryptie sleutels.

Welke van de 2 zal het snelste de sleutel afgeven? Juist ja, Amazon want zij zijn niet het doelwit van het onderzoek, en willen geen boel met de overheid.

Daartegen, het bedrijf in dat ze als target nemen, zal iedere juridische element inzetten om de overheid het leven zuur te maken.

Nog een leuk detail, in de VS was het tot op heden mogelijk, dat de overheid informatie opvroeg van een verdachte / bedrijf van o.a. telecom bedrijven, en waarbij ze vielen onder strikte geheimhouding, over het het dat de gebruiker / bedrijfs gegevens opgevraagd waren. Men wilt dat ding aanpassen, maar ja, tussen zeggen en doen...

Trek even de situatie door... Amazon kan bij een aanvraag, onmiddellijk de sleutels afgeven, zonder dat de klant het zelf nog maar te weten komt ( want Amazon mag de klant niet waarschuwen ). Lijkt mij een situatie waarbij een encryptie totaal nutteloos word.

Men is al jaren aan het proberen om encryptie strafbaar te maken in heel wat landen ( en in sommige als de VS is het strafbaar als je de sleutel niet afgeeft ).

Noem het mijn aluminium hoed op de kop, maar men begint te ver te gaan, en ieder vorm van privacy te omzeilen, onder de mom van de zoveelste "beschermende" wet. Begint meer & meer in de wereld te klinken, dat het 3de rijk van Hitler of Staling nooit opgehouden zijn. Daar had je ook geen privacy van de overheid. Je ziet ook meer & meer "verklik" programma's dat op been komen, om te politie te kunnen informeren over allerlei verdachtmakingen ( zelf in Nederland ). Engeland is tegenwoordig het Camera land van de wereld. Onder de mom tegen misdaden, en tegelijk zie je constant dat de misdaadcijfers erger & erger worden, zelf met al die Camera's. En dan spreken we nog niet over de tal van wetten, dat encryptie verbieden / Sleutel afgeven, centrale databanken van medische gegevens, van persoonlijke gegevens, enz ... Sommige zaken zijn mogelijk met goede bedoelingen geïntroduceerd, maar al te vaak zien we na een paar jaar, en men doet een analyse van het project, dat die volop misbruikt worden.

In België is men nu met de GAS? boetes bezig. Het idee was om dit in te zetten tegen zaken zoals hang jongeren, en toestanden zoals dat. Wel, men gebruikt ze nu voor alles & nog wat, want er zijn geen vast richtlijnen. Wie is het grote doelpubliek? Juist, de gewone burger.

Ik zeg maar, zou gij je gegeven toe vertrouwen aan een bedrijf, dat zonder boe of ba, direct je gegevens zou afgeven. Als bedrijf of privé persoon, ben je beter je eigen hosting te hebben, en die Cloud toestanden te laten voor wat ze zijn. Idem met diensten om je te "helpen" met je encryptie sleutel te bewaren.

Dreamvoid @Wulfklaue • 27 maart 2013 16:08

Als Amazon de sleutels onrechtmatig afgegeven heeft, kan het bedrijf ze (zeker in de VS) gezellig aanklagen, dus zo enthousiast zal Amazon ook weer niet zijn. Bovendien, als Amerikaans bedrijf kan de FBI altijd binnenvallen.

(edit: dat bedoel ik. Als de overheid onrechtmatig opvraagt, dan mag Amazon de sleutels niet geven. Als ze het wel rechtmatig doen, dan moet je het als willekeurig ander bedrijf ook afgeven.)

Kim Dotcom, The Pirate Bay en de jongens van de Cyberbunker gaan hier natuurlijk nooit gebruik van maken. De grootste reden om je cryptografie bij Amazon te stallen, is als je banger bent voor interne of externe hackers dan voor de Amerikaanse overheid.

[Reactie gewijzigd door Dreamvoid op 25 juli 2024 00:37]

Aikon @Dreamvoid • 27 maart 2013 16:13

Als de Amerikaanse overheid iets opvraagt dan moet Amazon dat gewoon doen toch? Dan kan hooguit de overheid onrechtmatig de aanvraag hebben ingediend, maar treft Amazon geen enkele blaam.

(edit: maar Amazon kan (en mag waarschijnlijk) helemaal niet oordelen of een aanvraag al dan niet rechtmatig is)

[Reactie gewijzigd door Aikon op 25 juli 2024 00:37]

NicoJuicy @Dreamvoid • 27 maart 2013 17:22

Als ik me niet vergis, kan Amerika altijd en overal binnenvallen zodra men Amerikaanse software gebruikt (Windows, Linux, Mac, ...), incl. de hardware die geässocieerd gaat met deze software.

Althans, dat is het verhaal dat ik regelmatig hoor terugkeren (incl. echtgebeurde verhalen, ...)

Verwijderd @Dreamvoid • 27 maart 2013 18:04

Je vergeet alleen dat zo'n bedrijf het absoluut niet toegestaan is om te melden dat zijn een "verzoek" gehad hebben van de overheid tot overhandigen van gegevens. Ook dat was al voorzien met de patriot act. Bedrijf is verplicht tot volledige meedewerking EN absolute geheimhouding om niet zelf aangeklaagt te worden wegens terrorisme onder diezelfde patriot act.

Je moet het die amerikanen meegeven, als ze iets doen om ieders privacy volledig te schenden, doen ze het ook gelijk zeer zorgvuldig.

ocf81 27 maart 2013 15:37

En als je dan verdacht wordt van een strafbaar feit is je encryptie gelijk niks meer waard omdat ze je sleutel op gaan eisen bij amazon. Alleen voor zaken je je bijna publiek wil voltrekken.

Verwijderd @ocf81 • 27 maart 2013 18:27

Dit is precies het geval. Amazon melkt hiermee de boel uit om vervolgens graag mee te werken met autoriteiten.

Als je je sleutels veilig wil opslaan, versleutel ze zelf. Niet zo moeilijk hoor. Snap niet dat hiervoor Amazon nodig is. Wat een valkuil.

mphilipp @Verwijderd • 27 maart 2013 19:05

Dat is een leuk klinkend verhaal, maar schromelijk overdreven.

a)zolang je niet van een strafbaar feit wordt verdacht is er dus niets aan de hand. Je kunt natuurlijk lekker meegaan met die hysterische Amerikanen die in elke overheidsambtenaar een plottend en samenzwerend mens zien, maar laten we reëel blijven.
b)als ik in Nederland de boel versleutel (TrueCrypt oid) en ik wordt verdacht van kinderporno distributie en ze vinden die encrypted disk, kan ik ook gedwongen worden de sleutel af te geven. Als ik dat niet doe, kan ik (wettelijk gezien) gegijzeld worden totdat ik die sleutel geef.

Tuurlijk is het vaag dat de overheid in de VS zich het recht toeëigend om overal in te kunnen neuzen, maar laten we het niet ingewikkelder maken dan het is. En bovendien, als we tóch op de Evil Empire toer gaan: denk je dat een overheid, met de mensen, de resource en de kennis die de VS bezitten, een wet nodig heeft om in jouw supergeheime gegevens te neuzen? Nee toch? Het is een overheid. Ze kunnen een paspoort drukken voor een geheim agent, die daarmee de identiteit aan kan nemen van een willekeurige aardbewoner en infiltreren bij weetikwaar. Ze komen die sleutel desnoods bij jou thuis ophalen als het moet. Als ze denken dat jij atoomgeheimen aan Korea doorgeeft iig wel.

Het is dus allemaal heerlijk zinloos.

ocf81 @mphilipp • 28 maart 2013 13:37

Goed, de werking lijkt enigzins anders te zijn dan toen ik mijn eerste reactie plaatste, maar toch wil ik deze, wat mij betreft ongefundeerde, reactie van repliek dienen.

a)zolang je niet van een strafbaar feit wordt verdacht is er dus niets aan de hand. Je kunt natuurlijk lekker meegaan met die hysterische Amerikanen die in elke overheidsambtenaar een plottend en samenzwerend mens zien, maar laten we reëel blijven.

Daar ging het niet om. Het is een beetje een kromme reactie wat mij betreft. Het gaat mij juist om die situatie waarbij jij op de een of andere manier (wellicht door profiling?) in beeld komt. De patriot act is er en wordt vollop gebruikt. In nederland heb je soortgelijke praktijken, welke gezien de negatieve resultaten aangaande de autits op het CIOT (het centraal informatiepunt onderzoek telecommunicatie) betekenen dat je data in feite vogelvrij is. geen kletskoek dus, maar aantoonbaar in de praktijk aanwezig. Daarmee is het dus ook geen ongegronde zorg dat een dienst als deze, indien verkeerd geconfigureerd, je verdediging niet helpt.

Verder is er nog zoiets als het saunders arrest, welke in de jaren '90 bnnen de EU een precedent heeft geschapen voor het wel of niet geven van je encryptie sleutels. Het princiepe dat je niet aan je eigen veroordeling hoeft mee te werken betekent in veel gevallen dat je je sleutels niet prijs hoeft te geven. Alleen bij bepaalde omstandigheden kan men van een verdachte verlangen dat hij zijn sleutels prijsgeeft. Het EHRM heeft hier duidelijke omlijningen gegeven wanneer er uitzonderingen mogen worden gemaakt, maar in princiepe is encryptie iets dat aan de onderzoekers is om te kraken. De voorgestelde afgifteplicht kan dan juridisch nog heel lastig worden. b) gaat dus alleen op in het geval van ernsige misdrijven die van groot maatschappelijk belang zijn, en niet voor de neuzerige politieagent die even wil spieken, zoals er in Nederland zo veel van rondlopen. Evil empire my ass, het gebeurt aantoonbaar.

[Reactie gewijzigd door ocf81 op 25 juli 2024 00:37]

Mikke8 27 maart 2013 15:37

De gebruiker betaalt per CloudHSM-intance 5000 dollar aan eenmalige kosten en daarnaast het bedrag van 1,88 dollar per uur, wat op bijna 1370 dollar per maand neerkomt.

Dat betekent dat de Amerikaanse overheid dus toegang kan krijgen tot de sleutels, waardoor gebruik van de dienst niet is toegestaan voor veel niet-Amerikaanse overheden.

Wat zou dan hun doelgroep zijn voor deze service? Kunnen meeste bedrijven die toch genoeg kapitaal hebben om in zoiets te investeren dan niet beter een eigen systeem opzetten?

Dennizz @Mikke8 • 27 maart 2013 15:39

Staat in het artikel:

Hierdoor kunnen volgens Amazon applicaties die nu nog in datacentra draaien, worden verplaatst naar Amazons cloud-omgeving.

[Reactie gewijzigd door Dennizz op 25 juli 2024 00:37]

Rafe @Dennizz • 27 maart 2013 17:17

Juistem. Wat mist in het artikel is dat Amazon voor jou een HSM ophangt/aansluit/beschikbaar stelt binnen hun netwerk. Volgens TechCrunch betreft het Luna SA-units van SafeNet.

De tekst over de Patriot-act lijkt me niet van toepassing, volgens de fabrikant zijn ze FIPS 140-2 level 3 gecertificeerd. Het hoofddoel van een HSM is het veilig genereren en opslaan van encryptiesleutels, wat betekent dat die nooit buiten de HSM in plaintext zullen bestaan. Die certificering betekent dat als je fysiek probeert in te breken op dat apparaat dat de sleutels worden gewist en je een zeer waarschijnlijk braaksporen (bewijs dat de HSM compromised is) achterlaat. Dit soort speelgoed wordt ook gebruikt door banken en CA's en het onveilig opslaan van encryptiesleutels betekent het onmiddellijke einde van dergelijke bedrijven.

Dan heb je nog wel de kans dat Amazon HSMs levert die van een NSA-backdoor zijn voorzien, maar ik kan me niet voorstellen dat een respectabele fabrikant in zo'n sector (of Amazon zelf) daar aan mee zou willen werken.

[Reactie gewijzigd door Rafe op 25 juli 2024 00:37]

coolkil 27 maart 2013 15:45

"officeel" mag die patriot act alleen gebruikt worden tegen terroristen. dus "mogen" ze overheden helemaal niet bespioneren.

het is wel erg duur zeg! je betaald per uur. wat is dat voor onzin het lijkt me dat je dit beter per week of maand kan doen.

[Reactie gewijzigd door coolkil op 25 juli 2024 00:37]

Verwijderd 27 maart 2013 16:00

Ik zal dit nooit gaan gebruiken, het is gewoon niet veilig.

Misschien is de vertaling niet juist maar er staat

"uit veiligheidsoverwegingen heeft alleen de gebruiker zelf, en niet de cloud-omgeving van Amazon, rechtstreeks toegang tot de encryptiesleutels"

De vraag is nu wie hebben er allemaal toegang al is dat dan geen rechtstreeks toegang

Verwijderd 27 maart 2013 18:57

En niemand kan erbij, behalve de US Government op basis van de Patriot Act- maar verder niemand hoor...

Doet mij een beetje denken aan een lokale gemeente alhier, die veilig gebruik denkt te kunnen maken van WeTransfer, welke (zonder dat die gemeente dit weet) wederom op haar beurt weer gebruik maakt van Amazon Cloud, met servers gehost in Virginia US.
Is er in de EU een heel verzet geweest tegen het op verzoek overdragen van persoonsgegevens van EU-onderdanen naar de US, nee- maak vooral gebruik van Amazon Cloud en Encrypted services, dan doe je eigenlijk exact hetzelfde, want Homeland kan op verzoek de zaak gewoon in handen krijgen. Ik zou nooit mijn sleutels in de Cloud leggen, maar dan ook nooit.

Verwijderd 27 maart 2013 17:42

Zou er nou echt iemand zijn op deze aardkloot die dit vertrouwd?

Ja ok, politicie uiteraard, maar die hebben echt absoluut geen verstand van zaken, dat blijkt sowieso al uit het feit dat ze met i-phones rondlopen als overheidsfunctionaris.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: