Take the power back! : : Secrecy, accountability and trust in the Digital Age

Abstract: The introduction of computer technology into modern societies has enabled unprecedented possibilities of communication and data processing. While its applications are always intended for - and generally succeed in - improving the living standards, there can be inherent risks of new technologies that need extra attention and consciousness to be thwarted. In particular, one risk coming with the possibilities of vast data processing is data security. Unlike data in the pre-digital ages that could be tracked and controlled relatively easily due to the tangible nature of its carrying media like paper, data in the digital age appears much more elusive to the human senses. Furthermore, the pace at which data is transmitted and processed has surpassed what anybody could naturally perceive or comprehend. Even experts of computer science can only operate the hardware through several levels of abstraction. This leaves computer laypersons in the situation that they can just as little as the experts perceive what is going on inside the chips and networks, but they are furthermore lacking the expert's intuition and ability to conceptually descend from the higher to lower abstraction levels. They must therefore rely on the expert testimony particularly when it comes to the security of their data within the black box as which a computer system appears to them. If there is a lack of trust in the expert's testimony regarding data security, one could say that laypersons have lost their power of informational self-determination.

This thesis is a step towards re-empowering citizens of modern societies with this sovereignty, by contributing to an increased trust in computer systems. Most of the author's research contributions have been in the specific field of physically unclonable functions (PUFs). However, the author has also been involved in scientific exchange with researchers from other disciplines to see his work in a broader context. A result of this exchange has been the so-called Digital Cloak of Invisibility (DCI). This thesis does therefore not only describe the author's work regarding PUFs but also describes the DCI concept in more detail than published before. A link between these two parts is that PUFs can be one of the components to implement the DCI.

The DCI is the result of an ongoing inter-disciplinary cooperation of the author with not just computer scientists but also philosophers, economists and lawyers. It essentially constitutes a separation of powers for the collection, storage and analysis of personal data. The most vivid example for this would be privacy-preserving video surveillance, in which individual-related data is automatically erased from the recorded images. This erasure, however, is done in a cryptographic manner such that it could later be revoked using a specific key. This key is in possession of a party not suspicious of secretly collaborating with those in possession of the anonymised recordings.

After elaborating on the DCI, this thesis continues to present the author's work on PUFs. With their property to increase trust in devices, PUFs can play a vital role in a DCI implementation. Because even if the hardware of a DCI device (e.g. a surveillance camera) is designed properly, it has to remain trusted for its entire life cycle. A PUF provides an alternative to storing secret keys in the memory of a circuit. Instead, the keys are derived from physical characteristics at runtime that are unique to each individual chip. Such PUF-generated keys are not just harder to extract from a circuit through hardware attacks, they are also sensitive to such tampering attempts. Because malicious changes to the hardware can impact the physical characteristics from which the keys are derived and thereby alter the key in the process of extracting it. In his work, the author focused on the implementation of delay-based PUFs on Intel field programmable gate arrays (FPGAs). Delay-based PUFs take the delays of signal lines as the chip-specific characteristics from which the keys are derived. FPGAs, due to their flexibility and relatively low costs, are both well suited for the implementation of delay based PUFs and a promising technology for DCI implementations. Among the author's main contributions has been the elaboration of how to implement and refine Ring-Oscillator (RO)-PUFs using the Intel FPGA architecture and design tools. Furthermore, he has shown the existence of location-specific biases in the FPGA fabric leading to a lowered uniqueness of the PUF-generated keys and has presented post-processing methods to compensate this. All of this has been done with the help of newly developed metrics and culminated in the creation of a new kind of RO-PUF using programmable delay lines (PDLs) to enable a far superior area efficiency.

Such technologies are capable of implementing a DCI system and make it trustworthy. Future work will have to investigate the social and political requirements for its establishment in society. E.g. how can the hardware's trustworthiness be conveyed to laypersons in a traceable and transparent way? Who can act as the different parties in the separation of powers constituted by a DCI and what makes them trustworthy to the populace? At the end of such a research and development process, the implementation of DCIs could enable citizens of modern societies to reclaim sovereignty over their sensitive data, that is to take the power back!
Abstract: Der Einzug von Computertechnik in moderne Gesellschaften hat nie da gewesene Möglichkeiten in Kommunikation und Datenverarbeitung ermöglicht. Obwohl die Anwendungen immer zum Ziel haben - und dies auch meistens erreichen -, den Lebensstandard zu verbessern, können sie inhärente Risiken mit sich bringen, deren Abwehr besonderer Aufmerksamkeit und Achtsamkeit bedarf. Ein besonderes Risiko, das durch die Möglichkeiten massiver Datenverarbeitung entstanden ist, ist Datensicherheit. Im Gegensatz zu pre-digitalen Zeitaltern, wo die Weitergabe von Daten wegen der materiellen Natur ihrer Trägermedien wie Papier noch relativ leicht zu verfolgen und zu kontrollieren war, zeigen sich Daten im digitalen Zeitalter (Digital Age) den menschlichen Sinnen gegenüber als sehr viel schwerer zu fassen. Darüber hinaus übersteigt die Geschwindigkeit, mit der die Datenübertragung und -verarbeitung stattfindet, bei weitem alles, was man noch auf natürliche Weise wahrnehmen könnte. Auch Computerexperten können die Hardware nur beherrschen, indem etliche Abstraktionsebenen das tatsächliche Geschehen auf fassbare Begriffe herunter brechen. Für Computerlaien bedeutet das, dass sie ebenso wenig wie ein Experte das tatsächliche Geschehen in den Chips und Netzwerken wahrnehmen können, ihnen darüber hinaus aber auch die Intuition des Experten fehlt und dessen Fähigkeit, den Weg von den höheren Abstraktionsebenen zu den niedrigeren nachzuvollziehen. Sie müssen sich also auf die Aussagen der Experten verlassen, insbesondere dann wenn es um die Sicherheit ihrer Daten geht. Man könnte somit sagen, dass sie ein Stück weit die Souveränität über ihre informationelle Selbstbestimmung eingebüßt haben.

Diese Dissertation ist ein Schritt in die Richtung, Bürgern moderner Gesellschaften einen Teil dieser Souveränität zurück zu geben, indem sie zu gesteigertem Vertrauen in Computersysteme beiträgt. Die meisten wissenschaftlichen Beiträge des Autors sind im speziellen Forschungsbereich der Physically Unclonable Functions (PUFs) angesiedelt. Dabei stand der Autor allerdings auch immer in wissenschaftlichem Austausch mit Forschern anderer Disziplinen, um seine Arbeit in einem größeren Kontext zu betrachten. Ein Ergebnis dieses Austauschs ist die sogenannte "Digitale Tarnkappe" (Digital Cloak of Invisibility, DCI). Diese Dissertation stellt daher nicht nur die Arbeiten des Autors zum Thema PUFs vor, sondern beschreibt auch das DCI-Konzept in einem bisher nicht veröffentlichten Detaillierungsgrad. Die Verknüpfung der beiden Teile ist, dass PUFs eine der Komponenten einer DCI-Implementierung sein können.

Die DCI ist das Ergebnis einer andauernden Kooperation mit Philosophen, Wirtschaftswissenschaftlern und Juristen. Im wesentlichen konstituiert sie eine Gewaltenteilung für das Sammeln, Speichern und Analysieren von personenbezogenen Daten. Am besten lässt sich ihr Prinzip am Beispiel digitalisierter Videoüberwachung illustrieren, die um die Funktionalität erweitert wird, dass Personen automatisch aus den aufgezeichneten Bildern entfernt werden. Dieses Entfernen erfolgt allerdings unter Verwendung von Kryptographie, so dass sie später rückgängig gemacht werden kann, wenn ein bestimmter Schlüssel bekannt ist. Dieser Schlüssel befindet sich im Besitz einer Instanz, die nicht im Verdacht steht, heimlich mit den Besitzern der anonymisierten Aufzeichnungen zu kollaborieren.

Nachdem die DCI ausführlich beschrieben wurde, fährt die Dissertation damit fort, die Forschungsergebnisse des Autors zu PUFs zu präsentieren. Durch ihre Eigenschaft, Vertrauen in Geräte zu erhöhen, können PUFs eine wesentliche Rolle bei einer DCI-Implementierung spielen. Denn selbst wenn die Hardware eines DCI-Geräts (z.B. einer Kamera) angemessen entworfen ist, muss sicher gestellt werden, dass ihm über seine gesamte Einsatzzeit vertraut werden kann. Eine PUF bietet eine Alternative zum Speichern von geheimen Schlüsseln im Speicher eines Geräts. Stattdessen werden die Schlüssel aus physikalischen Eigenschaften abgeleitet, die für jeden individuellen Chip einzigartig sind. Solche PUF-generierten Schlüssel sind nicht nur schwieriger durch Angriffe auf die Hardware zu extrahieren, sie sind auch empfindlich gegenüber solchen Manipulationsversuchen. Denn böswillige Änderungen an der Hardware können die physikalischen Eigenschaften beeinflussen, von denen der Schlüssel abgeleitet wird, und somit auch unbeabsichtigt den Schlüssel verfälschen, der extrahiert werden soll. In seiner Arbeit hat sich der Autor auf die Implementierung von delay-basierten PUFs auf Intel Field Programmable Gate Arrays (FPGAs) konzentriert. Delay-basierte PUFs verwenden die Verzögerungszeiten einzelner Leitungen als chip-spezifische Charakteristika, aus denen die Schlüssel abgeleitet werden. FPGAs sind wegen ihrer Flexibilität und relativ niedriger Kosten gut geeignet, um sowohl delay-basierte PUFs auf ihnen zu implementieren als auch in DCI-Implementierungen zum Einsatz zu kommen. Zu den Beiträgen des Autors zählt das Ausarbeiten von Methoden, wie Ring-Oszillator (RO)-PUFs mit der Intel FPGA-Architektur und den zugehörigen Design-Tools implementiert und verfeinert werden können. Darüber hinaus hat er die Existenz von ortsspezifischen Delay-Biases in der FPGA-Chipsubstanz aufgezeigt, die zu verminderter Einzigartigkeit der PUF-generierten Schlüssel führen, und post-processing Methoden präsentiert, um diese zu kompensieren. Sämtliche Arbeiten wurde unter Verwendung von neu entwickelten Metriken durchgeführt und kulminierten schließlich in der Entwicklung einer neuen Art von RO-PUF, bei der programmable delay lines (PDLs) zum Einsatz kommen, um eine weit überlegene Flächeneffizienz zu erreichen.

Solche Technologien ermöglichen es, ein DCI-System zu implementieren und dieses vertrauenswürdig zu machen. Zukünftige Arbeiten werden zu untersuchen haben, welche sozialen und politischen Voraussetzungen nötig sind, um DCI-Systeme in der Gesellschaft zu etablieren. Z.B. wie kann die Vertrauenswürdigkeit der Hardware auf nachvollziehbare und transparente Weise an Laien vermittelt werden? Wer agiert als die verschiedenen Instanzen in der durch die DCI konstituierten Gewaltenteilung, und was macht sie gegenüber der Öffentlichkeit vertrauenswürdig? Am Ende eines solchen Forschungs- und Entwicklungsprozesses könnte die Implementierung von DCIs es den Bürgern moderner Gesellschaften ermöglichen, einen Teil der Souveränität über ihre sensiblen Daten zurück zu erlangen. Daher rührt auch der Titel dieser Dissertation: Take the power back!