Jakob I. Pagter
janusdamnielsen
Thomas Jakobsen
Alon HazayArkiveret i: Cloud Computing | Tags: anvendt kryptografi, arrangement, cloud, foredrag, risks, security, SMC
We are participating at the yearly developer conference GOTO in Aarhus next week. We will be at booth #12, where we will present some of our projects and products, including our new course on Cloud Security (see alexandra.dk/ccsk). In fact, we will run a lowest unique bid auction where all GOTO-participants can bid, and the winner will get a free CCSK-course!
In addition to the booth and auction, we will be present with to presentations. One in the regular program, and one in the Solutions Track (sponsored talk):
- Monday Oct 10, in the regular program, Jan Neerbek will speak about “Apriori data mining in the cloud”.
- Tuesday Oct 11, in the Solutions Track, I will speak about “Cloud Security or: How I Learned to Stop Worrying and Love the Cloud”.
The latter is one of the four security talks mentioned by Lars Sommer in his blog on Version2. It should be added though that CloudCamp organises an unconference on Tuesday Oct 11, where Janus Dam Nielsen will give a lightning talk on “The Golden Age of Cryptography”. So Lars, if you are in Aarhus anyway, there will be a bit more on security :).
In this post, Derrick Harris from GigaOM, argues that regulators should take great care not to stand in the way of business innovations based on “big data”. In his conclusion he writes.
Don’t get me wrong, consumers deserve more information and the federal government is right to attempt to give it to them, but everyone needs to get educated on the connection between data collection and usage and the benefits they provide.
I think he is right — education is needed, but the question is who needs to be educated. To be honest I think Harris is maybe a bit short-sighted and misses a big innovation opportunity, namely building systems that will allow for all big data innovations while preserving the security and privacy of citizens.
This is exactly the goal of projects such as ABC4Trust and other work that we participate in. People working with modern cryptography have a great responsibility for communicating the technological possibilities. What is fiction, what is fact? What is feasible, what is not? What is a fact and what is feasible, is building solutions which will allow for a lot of data mining whilst still preserving the privacy of users. Technologies such as Microsoft’s U-Prove and IBM’s IdentityMixer are ready for adoption, and policy makers are looking into it.
I firmly believe that strong privacy regulations will in fact foster rather than hamper innovation.
Like this:
Arkiveret i: Pervasive Computing | Tags: analyse, digitale indfødte, foredrag, smartphones
Ifbm. med foredrag hos iKraft producerede jeg denne tabel. Jeg er klar over at visse punkter kan synes uklare, men man kan jo sende en mail hvis man er irriteret/nysgerrig nok :)
| Egenskab |
Android |
iOS |
Phone 7 |
| sandboxing |
Ja |
Ja |
Ja |
| capabilities |
Ja |
Nej |
Ja |
| Walled garden |
Nej |
Ja |
Ja |
| Kill switch |
Ja |
Ja |
Ja |
| Remote wipe |
Ja |
Ja |
Ja |
| Back-up |
Settings |
Ja |
“Nej” |
| Encryption |
Nej |
”Ja” |
Nej |
| Policies |
Ja |
Ja |
Ja |
| Enterprise apps |
Nej |
Ja |
Nej |
| Disabling (e.g. camera) |
Nej |
Ja |
Nej |
Så kan man vel drage sine egne konklusioner (som Simson Garfinkel). Man kan også læse F-Secure berette at der er adskillige eksempler på Android-malware, men ingen iOS (med mindre der er tale om jailbkread’et enheder).
Baseret på aktuelle versioner pr. dags dato.
Stem her på den platform du mener er sikrest:
Arkiveret i: Cloud Computing, Privacy | Tags: anvendt kryptografi, CACE, SIASS, SMC
På Cloud Computing Demystified Day d. 27. august 2010 holdt jeg en “lightning talk” om SMC i skyen. Her er slides i en extended version.
Fredag d. 27. august er Alexandra Instituttet medarrangør på 1-dagskonferencen Cloud Computing Demystified Day.
Konferencen sigter på at skabe dialog og netværk imellem danske og internationale eksperter indenfor Cloud Computing, med fokus på diskussion af de udfordringer danske virksomheder står overfor, som brugere eller leverandører af Cloud Computing services.
Alexandra Instituttet organiserer konferencens deltema om it-sikkerhed, hvor Jim Reavis fra the Cloud Security Alliance vil være keynote speaker. Derudover vil undertegnede præsentere ideer for hvordan Secure Multiparty Computation kan bruges til at håndtere følsomme data i skyen.
Onsdag d. 2. juni var Alexandra Instituttet vært for en workshop med ca. 30 tilmeldte deltagere med fokus på Cloud Computing. Omdrejningspunktet for arrangement var innovation og sikkerhed i skyen. Valget af dette fokus skal findes i to grundlæggende argumenter:
- Det store forretningsmæssige potentiale ligger igennem innovation af tekniske løsninger og forretningsmodeller snarere end i økonomiske besparelser. Jo, der er potentielt store besparelser, men dem vil dine konkurrenter også udnytte. Den store udfordring bliver hvordan man kan innovere i skyen.
- Den største forhindring for effektiv udnyttelse af Cloud Computing er sikkerhed. Hvad er forsvarligt? Hvad kan lade sige gøre?
I forbindelse med workshoppen blev et udkast til en vejledning for innovation og sikkerhed i skyen præsenteret. Ifbm. med workshoppen identificeredes en række interessante cases, og et udvalg af disse vil nu blive studeret med afsæt i denne vejledning. Efterfølgende (til efteråret) vil vejledningen blive revideret og offentliggjort.
Vejledningen indeholder helt konkrete retningslinjer. Eksempelvis for hvor følsomme data der kan places i hhv. en IaaS-, PaaS- og SaaS-løsning.
I onsdags havde jeg fornøjelsen at holde oplæg om cloud computing i Region Sjælland. I spørgerunden efter oplægget blev jeg spurgt hvorvidt en mindre virksomhed ville få bedre sikkerhed ved at flytte deres servere op i skyen. Mit svar var “Ja, det vil de formentlig få”. Det kan dog ikke understreges kraftigt nok, at det – som altid – kommer an på hvilke data det drejer sig om.
Arkiveret i: Cloud Computing, Privacy | Tags: anvendt kryptografi, debat, SMC
Jeg blev idag interviewet til P1 Orientering ifbm. at jeg holder indlæg på IT- og telestyrelsen og KLs konference “Cloud Computing i det offentlige”.
Fokus i interviewet var på hvor anvendelsen af cloud computing i det offentlige er underlagt andre principper end anvendelsen af cloud computing i private virksomheder. Mit indlæg på konferencen er mere løsningsorienteret, med et snævert fokus på “del-og-hersk”-strategier i skyen, så for de nysgerrige er her mit syn på fortrolighed i det offentlige.
Når man bruger cloud computing bør man altid lave en nøje klassifikation af sine data udfra fortrolighed, integritet og tilgængelighed. For mange offentlige instanser vil situationen ifht. fortrolighed sikkert være den at de har hele spektret fra personhenførbare data som er meget følsomme, til allerede offentlige data (fx lovtekster, formularer osv.) som er meget lidt følsomme.
For de meget lidt følsomme data er der ikke tungtvejende sikkerhedsgrunde til ikke at placere dem i skyen (hvis man ser bort fra leverandøruafhængighed).
Det grundlæggende problem for de meget følsomme personhenførbare data er, at der ikke findes perfekt sikkerhed. En gang imellem går det galt, og når først en klump data er offentlig et sted på nettet er det umuligt at fjerne den igen. Bliver personhenførbaredata ved en fejl offentliggjort på nettet er det altså ikke muligt at slette dem igen!
Personhenførbare data kan være i skyen på forskellig vis. Enten 1) lagres data blot skyen, eller 2) også regnes der også på dem.
I tilfælde af 1) er det klart at kryptering kan være en hjælp – hvis man altså har styr på sin nøglehåndtering. Her kan man også forestille sig teknikker fra secret sharing og/eller fejlkorrigerende koder taget i anvendelse i en udmøntning af en del-og-hersk strategi. Selv når man benytter kryptering er der dog også det principielle i at der er åbnet for lagring i skyen; det øger risikoen for at man ved en fejl kommer til at lagre ikke-krypterede data eller ikke har benyttet tilstrækkelig stærk kryptering.
I tilfælde af 2) er problemet med meget følsomme data, at de med traditionelle løsninger vil skulle dekrypteres for at man kan regne på dem. Principielt kan dette løses med Secure Multiparty Computation, men denne teknologi er idag kun anvendelig for meget målrettede beregninger og er derfor ikke generelt anvendelig. Det er dog en teknologi med løfter for fremtiden.
Er man tilhænger af et forsigtighedsprincip vil det være nærlæggende at konkludere at Cloud Computing og personhenførbare data ikke passer sammen. Omvendt vil man formentlig kunne argumentere for det modsatte udfra en ren omkostningssbetragtning. Man kan selvfølgelig også have det standpunkt at lækager af fx elektroniske patientjournaler ikke er noget problem…
Redigeret 12/1-2010: Link til interview tilføjet.
Arkiveret i: Mutual Computing, Pervasive Computing | Tags: anvendt kryptografi, FEM, SMC
Alexandra Instituttet er med i det nye projekt: “Center for Forskning i Elektroniske Markeder”, som netop er bevilget fra Det Strategiske Forskningsråd. Projektet ledes af professor Ivan Damgård fra Aarhus Universitet og er et samarbejde mellem dataloger og økonomer som skal hjælpe dansk industri med at udnytte de ny muligheder i elektroniske markeder optimalt.
Konsortiet bag projektet består af:
- Datalogisk Institut, Aarhus Universitet
- Institut for Økonomi, Aarhus Universitet
- Handelshøjskolen, Aarhus Universitet
- Copenhagen Business School
- Fødevareøkonomisk Institut, Københavns Universitet
- Alexandra Instituttet A/S
- Partisia Market Design ApS
- Energinet.dk
- Konkurrencestyrelsen
- Trade Extensions
- Inno:vasion ApS
- Dong Energy
Læs mere i Børsen og i Alexandras egen artikel om bevillingen.
Redigeret 16/1-10: Link til Alexandra-artikel tilføjet.
Jeg har skrevet et indlæg på IT- og Telestyrelsens debatforum om brugen af Cloud Computing i det offentlige: Cloud computing i det offentlige – Digitaliser.dk.
Hovedpointen er en tese om at man – afhængigt af de typer af data man arbejder med – kan opnå enkel sikkerhed i skyen ved at bruge en del-og-hersk strategi. Til visse formål kan sådan en strategi realiseres vha. Secure Multiparty Computation (SMC).
