Репортаж от Wedoany，Исследователи из Мюнхенского технического университета (Technical University of Munich) и Лиссабонского университета (University of Lisbon) разработали промежуточную систему под названием GDPRuler, которая располагается между приложением и немодифицированной базой данных типа «ключ-значение», обеспечивая соблюдение правил конфиденциальности и устраняя структурную уязвимость облачных баз данных, связанную с отсутствием средств проверки при обработке запросов на удаление персональных данных.

GDPRuler выполняет свою логику внутри конфиденциальной виртуальной машины (Confidential Virtual Machine). Конфиденциальная виртуальная машина — это аппаратно изолированная среда, поддерживаемая технологиями AMD SEV-SNP, Intel TDX и ARM CCA, которая предотвращает чтение системной памяти или вмешательство в её решения со стороны облачного провайдера и других привилегированных программ. Удалённая аттестация (Remote attestation) позволяет внешним сторонам проверить подлинность развёртывания и ожидаемое состояние кода перед обменом данными.

Система перехватывает каждую операцию с базой данных. Она добавляет к каждой паре «ключ-значение» метаданные соответствия, фиксируя владельца данных, разрешённые цели, права на совместное использование, срок хранения и запрещённые виды использования. Когда обработчик данных запрашивает запись, монитор проверяет заявленную цель обработчика на соответствие политике хранения владельца и его возражениям. Цели, против которых возражает владелец, отклоняются и регистрируются.

Аудиторский след — это часть, специально созданная для проверки. Каждая операция, связанная с соответствием, генерирует запись в журнале. Записи шифруются пакетами и защищаются с помощью кода аутентификации сообщения и счётчика, хранящегося внутри конфиденциальной виртуальной машины. При аудите регулирующий орган, имеющий ключ регистрации, может извлечь журнал, и система проверяет код целостности и последовательность счётчиков. Любое отсутствие или изменение значения свидетельствует о попытке подделки или отката. Исследовательская группа проверила протоколы аттестации и ведения журнала с помощью Tamarin Prover в рамках модели атакующего Dolev-Yao. Анализ подтвердил, что проверенный журнал содержит все необходимые записи и только подлинные записи.

GDPRuler включает язык политик, который компилирует обязательства GDPR в проверки времени выполнения. Владельцы данных и обработчики выражают свои политики в виде предикатов, прикрепляемых к запросам. Язык охватывает ограничение целей и хранения (статья 5 GDPR), право на доступ (статья 15), право на удаление (право на забвение, статья 17), право на возражение (статья 21) и ведение записей об операциях обработки (статья 30). Положения, обрабатываемые на более высоких уровнях стека приложений (например, уведомление о нарушении), выходят за рамки базы данных.

Исследователи создали прототипы для немодифицированных Redis и RocksDB и протестировали их на сервере AMD SEV-SNP с использованием эталонного теста YCSB и рабочих нагрузок, специфичных для GDPR. Средняя пропускная способность GDPRuler составила около 61% от пропускной способности исходной базы данных. Конфиденциальная виртуальная машина была основным фактором этих накладных расходов, внося от 28% до 32%, а остальная часть приходилась на уровень соответствия и шифрование. Защищённое от подделок ведение журнала снизило пропускную способность примерно на 2%, поскольку запись выполнялась пакетами вне основного потока. Хранение метаданных увеличило занимаемое пространство базы данных на 8,9% для Redis и на 19,8% для RocksDB. Наибольшее улучшение было получено для запросов, специфичных для GDPR, например, поиск всех данных определённого лица после индексации метаданных GDPRuler выполнялся в 13–182 раза быстрее.

Система защищает журналы аудита от атак отката с помощью проверки свежести (freshness), однако откат данных базовой базы данных не входит в её область действия. Атаки по побочным каналам (Side-channel) и атаки типа «отказ в обслуживании» (Denial-of-service) также исключены. Прототип опускает запросы диапазона. Те же поля метаданных и интерфейсы выполнения могут быть адаптированы к другим законам о конфиденциальности, включая Калифорнийский закон о защите прав потребителей (California Consumer Privacy Act) и Закон Вирджинии о защите данных потребителей (Virginia’s Consumer Data Protection Act), при этом различия отражаются в выборе правил политики.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com