"Het moet gewoon niet kunnen" - Security in de cloud

Security in cloud computing roept twee vragen op:

1) kan de cloud provider betere bescherming bieden tegen aanvallen dan ik zelf, en

2) kan ik de provider (of de overheid waar zij onder valt) wel vertrouwen?

Wat betreft het eerste kan een cloud provider vanwege de grotere omvang betere security-analyses doen dan een gemiddeld bedrijf. Deze analyses moeten echter wel de hele organisatie meenemen, dus ook de fysieke en organisatorische infrastructuur. De Universiteit Twente doet onderzoek naar zulke kwetsbaarheidsmodellen, en de toepassing daarvan in cloud scenario's.

Wat betreft de tweede vraag is het ultieme doel voor security in cloud computing het uitvoeren van willekeurige bewerkingen op versleutelde data. Als de cloud provider nooit meer data in the clear heeft, kan zij deze ook niet misbruiken. Alhoewel er in de wiskundige basis een theoretische doorbraak is bereikt, blijft dit idee vooralsnog praktisch onhaalbaar. Daarom wordt vooral onderzoek gedaan naar beperkte bewerkingen van versleutelde data, zoals het zoeken in versleutelde databases.

In deze presentatie licht ik toe wat er in het onderzoek op deze twee gebieden gebeurt, wat praktische toepassingen zouden zijn, en ga ik ook in op de grote onderzoeksvragen voor de toekomst.