Od dłuższego czasu Netflix, który jest jednym z droższych serwisów streamingowych, „rozprawia” się z osobami współdzielącymi swoje konta (tak naprawdę prawdopodobnie użyczają oni dostępu za „drobną opłatą”). Choć takie działanie nie jest złamaniem prawa, to oznacza ogromne straty finansowe dla firm udostępniających te treści, a jak wiadomo, koszty prowadzenia biznesu nie są małe. Według szacunków Citygroup, Netflix miałby tracić aż 6 miliardów dolarów rocznie przez użytkowników, którzy dzielą się dostępem do niego z osobami spoza kręgu domowników.

O ile uporanie się z tym problemem pozwoli gigantowi przemysłu rozrywkowego zmaksymalizować zyski (i w ostatnich miesiącach poczynił on w tym kierunku spore postępy), to dla wielu mniejszych wydawców prasowych czy startupów takie działania użytkowników mogą podkopywać rentowność ich biznesów. Rozwiązaniem może być indywidualna kryptografia, koncepcja opracowana przez polskich naukowców.

Zespół naukowców związanych z IDEAS NCBR zakwalifikował się na międzynarodową konferencję Crypto 2023 dzięki pracy naukowej opisującej autorską metodę „indywidualnej kryptografii”. Metoda ta ma pomóc dostawcom cyfrowych treści i narzędzi, którzy regularnie tracą na trudno wykrywalnym procederze nieregulaminowego współdzielenia się hasłem dostępu pomiędzy użytkownikami z odrębnych gospodarstw domowych.

Koncepcję indywidualnej kryptogragii opisali w artykule naukowym „Individual Cryptography” prof. Stefan Dziembowski i mgr Tomasz Lizurej (obaj pracujący na UW oraz IDEAS NCBR) oraz prof. Sebastian Faust (Technische Universität Darmstadt). Artykuł został zakwalifikowany na tegoroczną edycję Międzynarodowej Konferencji Kryptograficznej Crypto 2023 w Santa Barbara w USA, która odbędzie się od 19 do24 sierpnia. Polscy badacze opowiedzą tam, jak za pomocą metod indywidualnej kryptografii neutralizować ataki typu MPC i TEE pozwalające na symulowanie działania protokołów kryptograficznych bez fizycznego dostępu do sekretnej informacji, która powinna identyfikować tych użytkowników.

„Ataki wykorzystujące techniki

Multiparty Computation (MPC) czy Trusted Execution Environment (TEE) polegają na tym, że część użytkowników, poprzez rozproszenie wiedzy o jakimś sekrecie, jest w stanie odpowiadać na pytania kontrolne dotyczące sekretu bez rzeczywistej jego znajomości”, wyjaśnia Tomasz Lizurej, doktorant w IDEAS NCBR. Przykładem może być wykorzystanie technologii SGX firmy Intel do sprzedawania własnej tożsamości (identity lease) w internecie, zaproponowane w 2019 roku przez grupę naukowców z ETH Zurich. To technologia, która pozwala na korzystanie z cudzego konta w danym serwisie nawet bez znajomości hasła i loginu. Jeśli usługodawca będzie w stanie uchronić się przed atakami tego typu, będzie mógł oczekiwać, że właściwy użytkownik będzie narażony na straty finansowe w przypadku przekazania sekretnej informacji nieuprawnionemu użytkownikowi.

Protokoły kryptograficzne to specjalne instrukcje, według których użytkownicy mogą komunikować się ze sobą oraz uzyskiwać dostęp do określonych danych w bezpieczny sposób. Wysoki poziom bezpieczeństwa zostaje osiągnięty, gdy tylko autoryzowane osoby mają dostęp do tajnych informacji wykorzystywanych w tych protokołach, a także gdy protokoły wymagają, aby te osoby miały rzeczywisty dostęp do tych informacji. Niestety, jeśli dany użytkownik posiadający tajne informacje, takie jak hasło dostępowe, przekaże je wielu nieautoryzowanym użytkownikom, protokół przestanie być efektywnym zabezpieczeniem. „Aby zmusić uczestników protokołu do posiadania pełnej wiedzy na temat tajnych informacji wykorzystywanych w protokołach kryptograficznych, wprowadziliśmy nowy paradygmat kryptografii indywidualnej i podjęliśmy próbę formalnego modelowania funkcji, które są trudne do ominięcia za pomocą technik MPC i TEE. Po zastosowaniu naszej metody protokoły kryptograficzne wymuszają, aby uczestnicy przetwarzali swoje informacje indywidualnie i nie mogli polegać na informacji współdzielonej z innymi użytkownikami”, opowiada Tomasz Lizurej.

Obecnie skorzystanie z rozwiązań prezentowanych w artykule wymagałoby od przeciętnego użytkownika użycia specjalistycznego narzędzia typu Bitcoin Miner, więc byłoby stosunkowo trudne. Docelowo dalsze prace nad indywidualną kryptografią mają doprowadzić do tworzenia protokołów prostych, które mogłyby być wykorzystywane masowo, np. przez użytkowników platform z dostępem subskrypcyjnym.