Julkaisu seuraavan sukupolven julkisen avaimen salaustekniikoista pääsynvalvonnan toteutuksessa

Puolustusvoimien tutkimuslaitos 14.6.2017 12.19
Tiedote

Mikko Kiviharjun julkaisussa Enforcing Role-Based Access Control with Attribute-Based Cryptography in MLS Environments tarkastellaan roolipohjaisen pääsynhallintamallin toteuttamista attribuuttipohjaisilla salausmenetelmillä monitasotietoturvan vaatimusten mukaisesti.

Roolipohjainen pääsynvalvonta (RBAC) on moderni malli kontrolloida pääsyä erityyppisten tietojärjestelmien tietoihin ja toimintoihin. RBAC toteutetaan tyypillisesti esim. käyttöjärjestelmien turvaytimien avulla, mutta tällaiset toteutukset eivät kuitenkaan hyvin sensitiivisissä tapauksissa skaalaudu riittävällä turvatasolla dynaamisiin ja hajautettuihin ympäristöihin, kuten pilvilaskentaan tai esineiden internetiin. Pääsynvalvonnan toteuttaminen salausteknisin keinoin (salaamalla ja/tai allekirjoittamalla digitaalisesti tietoalkiot yksitellen) on myös mahdollista, mutta toistaiseksi melko alkeellista: ensinnäkin perinteisin salausmenetelmien avulla toteutettuna toteutuksesta tulee liian kömpelö, erityisesti avaintenhallinnan osalta ja toisekseen toteutukset ovat kyenneet kattamaan vain pienen osan pääsynhallintamallin kaikista toiminnoista.

Tässä julkaisussa osoitetaan, että käyttäen seuraavan sukupolven julkisten avainten salausmenetelmien luokkaa, nk. attribuuttipohjaista salausta, voidaan lähes koko RBAC-malli toteuttaa kryptografisesti, esimerkiksi pääsynhallintakäytänteet voidaan koodata suoraan avaimeen ja salakielitekstiin (tai allekirjoitukseen). Merkittävimmät edut seuraavat kryptografisen suojauksen korkeasta luotettavuustasosta, hienojakoisesta kontrollista ja luontaisesta hajautettavuudesta ja ympäristöriippumattomuudesta. Esimerkiksi potilastiedoista olisi mahdollista purkaa ainoastaan käsittelijän sen hetkiseen tehtävään, käyttöaikaan ja rakennukseen liittyvien oikeuksien mukaiset tiedot.