Mujtaba Idrees, Advanced Software Engineer bei T-Systems MMS

Die verstärkte Nutzung von Cloud-Diensten ermöglicht Unternehmen und Privatpersonen eine flexible Verwaltung ihrer Daten. Die Daten werden auf zentralen Servern der Cloud-Dienste gespeichert, um den Nutzern jederzeit auf Abruf zur Verfügung zu stehen. Der Nachteil dabei ist, dass die zentrale Speicherung von Daten und die Ausführung von cloud-basierten Apps implizites Vertrauen in den Cloud-Anbieter erfordert. Außerdem ist sie anfällig für Sicherheitsangriffe wie z. B. böswillige Root-Admin-Attacken. Mit Hilfe der Blockchain-Technologie kann das Vertrauensmodell in den Cloud-Anbieter durch die dezentrale Ausführung von Anwendungen und dezentrale Datenspeicherung gelockert werden.

Trotz dessen birgt dieses Design noch Herausforderungen – gerade in den Bereichen Datenschutz und Skalierbarkeit. So wird oberflächlich betrachtet die Sicherstellung der Integrität der Anwendung und der Daten gegen Datenschutz getauscht. Um die Anwendungsfelder für Blockchain und ihre Integration in reale Systems weiter ausbauen zu können, muss die Blockchain-Technologie der Zukunft sowohl sicher vor Angriffen sein, als auch den entsprechenden Datenschutz gewährleisten.

Ein Ansatz zur Lösung dieser Probleme im Bereich Hyperledger Avalon stellt meine Masterarbeit dar. Das quelloffene Framework ermöglicht die unabhängige Implementierung von Trusted Compute Specifications. Damit können leicht-gewichtige Blockchain-Ketten ihre schweren Workloads sicher in vertrauenswürdigen Off-Chain-Umgebungen ausführen.

Die Roadmap und Architektur dieses Open-Source-Projektes wurden zwar bereits veröffentlicht, sie befinden sich allerdings erst im Pre-Release. Die grundlegende Infrastruktur ist jedoch bereits entwickelt und einige Demos sind bereits auf Github verfügbar.

In der stabilen Version unterstützt Hyperledger Avalon das Intel SDK und Graphene als Trusted Worker. Die Trusted Worker lassen sich allerdings noch um weitere Arten erweitern.

Intel SDK wird von Intel SGX zur Verfügung gestellt. Intel SGX ermöglicht die Programmierung der Arbeitslast für die Ausführung in einer Intel SGX-basierten vertrauenswürdigen Ausführungsumgebung. Da Intel SGX seine eigenen Hardwareanweisungen einführt, können Legacy-Anwendungen nicht innerhalb von Intel SGX-basierten sicheren Enklaven ohne Code-Anpassung ausgeführt werden. Es gibt allerdings Alternativen, welche die Ausführung von Legacy-Anwendungen in Intel-SGX-Hardware unterstützen, unter anderem Graphene und SCONE.

Ich untersuche in meiner Masterthesis diesen Einsatz von SCONE in Hyperledger Avalon. Legacy-Anwendungen lassen sich in SCONE-basierten sicheren Containern in einem Ökosystem von vertrauenswürdigen Compute Workers, welche Hyperledger Avalon bereitstellt, ausführen.

Dabei bleibt die Hauptarchitektur von Hyperledger Avalon unverändert. Dem Avalon-Knoten werden SCONE Worker-Manager und SCONE Workorder-Prozessoren hinzugefügt. Der Attestierungsmechanismus configuration and attestation service (CAS) bestätigt SCONE-basierte Worker und stellt ihnen den Schlüssel nach dem Hochfahren zur Verfügung. Der Vorteil: Das System ist abwärtskompatibel und kann daher auch andere Worker als von SCONE in der Produktionsumgebung unterstützen. Mit der Hyperleder Avalon-Infrastrukturen können somit von SCONE л Images von Anwendungen auf Dockerhub abgerufen und mit Avalon integriert werden.

Doch wie sieht ein praktischer Anwendungsfall im Blockchain-Umfeld aus, bei dem neben Sicherheit auch Datenschutz bzw. Privatsphäre unabdingbar ist? Ein einfaches Beispiel stellen „Unternehmensrabatte“ dar. So ist es üblich, dass Unternehmen ihren Kunden Rabatte auf der Grundlage von Verhandlungen – im Gegensatz zu fixen Preisen – gewähren. In diesem Fall ist es von Vorteil, den Rabatt, der einem bestimmten Kunden gewährt wird, vor anderen Kunden geheim zu halten.

In der klassischen Blockchain sind solche datenschutzrechtlichen Finanztransaktionen nicht möglich. Durch das „Blockchain Add-on“ von Hyperledger Avalon wird diese Privatsphäre jedoch ermöglicht. In ähnlicher Weise können andere Anwendungsfälle zum Schutz der Privatsphäre (wie die Inferenz intelligenter Kameras) mithilfe meiner Arbeit programmiert und in Blockchains integriert werden.

Durch den Einsatz von SCONE in Hyperledger Avalon habe ich eine Infrastruktur geschaffen, in der Workers Legacy-Anwendungen ausführen können, ohne Code-Änderungen oder -Instrumentalisierungen vornehmen zu müssen. Gleichzeitig unterstützt diese Infrastruktur verschiedene Clients und macht die Blockchain-Technologie somit skalierbar und datenschutzfreundlich. Zusätzlich sei vermerkt, dass Hyperledger Avalon sogenannter „work in progress“ ist und sich die Architektur in viele Richtungen weiterentwickelt.

So muss zum Beispiel Stand jetzt im Infrastruktur-Design zusätzlich auf SCONE KME zurückgegriffen werden, um sichere Keypairs für Scone-Workers zu generieren und diese dann anschließend in CAS zu überführen. Sollten zukünftig die von Avalon notwendigen Keypairs auch direkt von CAS generiert werden, so könnte in manchen Anwendungsfällen auf den SCONE KME Zwischenschritt verzichtet und die Leistung signifikant erhöht werden.

>Für ausführlichere Einblicke kann das Whitepaper zu meiner Arbeit hier abgerufen werden.

Zudem habe ich meine Arbeit der Hyperledger Community vorgestellt.

>Zur Aufnahme der Präsentation

Blockchain garantiert durch Transparenz und Öffentlichkeit Vertrauen sowie Sicherheit. Bisher ging diese Transparenz zu Lasten von Privatsphäre und Datenschutz. Hyperledger Avalon stellt eine Möglichkeit dar, Datenschutz auch in öffentlichen Blockchains zu ermöglichen. Durch die Integration von SCONE in Hyperledger Avalon wird diese Möglichkeit noch praktikabler und skalierbar. Als Anerkennung für meine Arbeit berief die Hyperledger Community mich als Vertreter für T-Systems zum offiziellen Contributer und Maintainer des Hyperledger Avalon Projektes.

Vertrauensvolles Teamwork, das man sehen kann


Mujtaba Idrees, Advanced Software Engineer bei T-Systems MMS

Seit seinem Abschluss als Software Engineer im Jahr 2015 hat Mujtaba sechs Jahre in verschiedenen Funktionen in der IT-Branche Asiens und Europas gearbeitet. Er verfügt über umfangreiche Erfahrung in der Softwareentwicklung, der Leitung von Teams und der Leitung von Projekten von der Gründung bis zur Auslieferung an den Kunden. Mujtaba hat kürzlich sein Masterstudium an der TU Dresden abgeschlossen und ist nun seit 3 ​​Jahren bei der T-Systems Multimedia Solutions. Neben Entwicklung und Projektmanagement hat er auch an einigen Forschungs- und Open-Source-Projekten mitgewirkt.