Z szacunkiem dla prywatności
-
- Paweł Krawczyk,
- 16.03.2010
Mechanizm ten uniezależnia klienta od łączności z wystawcą, co ułatwia pracę z urządzeń przenośnych lub w sieciach zamkniętych. Ponadto, ogranicza obciążenie wystawcy legitymacji w okresach szczytu. Jest to pomysł nieco zbliżony do uwierzytelnienia offline w RSA SecureID.
Korzystanie z "portfela" zawierającego pulę legitymacji chroni prywatność ich dysponenta. Klient, chcąc zakupić alkohol, nie musi się każdorazowo łączyć z serwisem potwierdzającym jego wiek, więc serwis ten ma ograniczone możliwości profilowania jego zachowania. W U-Prove, prywatność realizowana jest przez selektywne ujawnianie informacji. Jest jednym z głównych założeń projektowych, a nie stanowi uzupełnienia dodawanego do istniejącej architektury, jak w SAML (Yang, 2008).
Ochrona przed kradzieżą
W system wbudowana jest również ochrona przed "kradzieżą" legitymacji, gdyż zawiera ona klucz publiczny posiadacza, przekazany przez niego w momencie rejestracji. Przedstawienie legitymacji dostawcy usługi wymaga od posiadacza udowodnienia posiadania odpowiedniego klucza prywatnego. Jest to realizowane za pomocą znanego z PKI mechanizmu podpisania losowej liczby. Microsoft udostępnił specyfikację U-Prove na licencji Open Specification Promise. Udostępnił także realizujące mechanizmy U-Prove dodatki do Active Directory Federation Services (ADFS), Windows Identity Framework oraz CardSpace. Na licencji BSD opublikowane zostały także dwie implementacje SDK U-Prove - jedna, napisana w C# i druga, w Javie.
Zasada wiedzy koniecznej jest powszechnie stosowana w ochronie informacji niejawnej i wyłącza dostęp do informacji "na wszelki wypadek", z ciekawości lub po prostu dlatego, że jest ona dostępna. W ochronie informacji o szczególnym znaczeniu zasada ta sprawdza się doskonale, ale jak to się ma do ochrony prywatności?
Wytyczne OECD odnośnie prywatności (1980) zalecają, by dane prywatne były przetwarzane wyłącznie dla realizacji celu, dla którego zostały udostępnione ("purpose binding"), co stanowi przeniesienie zasady wiedzy koniecznej na podmiot przetwarzający dane osobowe. Podejmuje się próby formalizacji tych wymagań w kontekście znanych modeli kontroli dostępu (PA-RBAC, 2007).
W praktyce współczesnych aplikacji webowych zasada ta jest notorycznie łamana ze względu na ścisłe powiązanie uprawnień z tożsamością. Innymi słowy, w większości przypadków zaczyna się od potwierdzenia tożsamości petenta, by dopiero na jej podstawie odnaleźć w macierzy uprawnień, jakie konkretne dane może czytać dana osoba.
Niekiedy potrzebny jest jeszcze bardziej skomplikowany model - w celu uzyskania dostępu do danych podmiotu Y trzeba uzyskać zgodę podmiotu X, co ma miejsce w regulacjach dotyczących danych medycznych ("Verifiable Parent Consent" - VPC).
Przy zakupie online usługi zastrzeżonej dla osób pełnoletnich, prawdopodobnie będziemy musieli zweryfikować swój wiek. Wiele serwisów potwierdza wiek za pomocą karty kredytowej. Równocześnie jednak serwis uzyskuje dostęp do szeregu dodatkowych informacji - numeru karty, imienia i nazwiska, nazwy banku. Informacje te nie zawsze są potrzebne do udostępnienia danej usługi, ale skoro zostały niejako "przy okazji" pozyskane, to mogą być wykorzystane np. do profilowania użytkownika. Dzięki temu nie tylko możemy się dowiedzieć w księgarni internetowej, że "klienci, którzy kupili X, byli także zainteresowani Y". Statystyk Ian Ayres, autor książki "Super crunchers", poświęconej w całości temu zagadnieniu, podaje trudny do uwierzenia przykład: "operatorzy kart kredytowych mogą przewidzieć z dwuletnim wyprzedzeniem i prawdopodobieństwem 98%, czy dana para się rozwiedzie".
Celem U-Prove jest przywrócenie światu elektronicznemu koncepcji "uprawnień na okaziciela". W życiu codziennym taka koncepcja dotyczy kontroli zwykłego biletu tramwajowego, która nie wiąże się z żadnym potwierdzeniem tożsamości. Nawet pokazując dowód osobisty w sklepie monopolowym, w gruncie rzeczy w nikłym stopniu narażamy się na profilowanie - etap uwierzytelnienia jest tutaj dość ulotny i nie pozostawia trwałych śladów.
