Det er langt fra sikkert at alle tjenestene på nettet avhenger av alle de personopplysningene du gir dem. (Bilde: IBM Research Zurich)

Persondata

Vi legger igjen unødvendig mye persondata

Det vil IBM løse med Identity Mixer.

Den sveitsiske kryptoeksperten Jan Camenisch besøkte Oslo i forrige uke for å holde et foredrag under et seminar i regi av EEMA (European association for e-identity and security) og Norstella. Camenisch er forsker ved IBM Research Zurich og fortalte i foredraget om en løsning han har vært med på å utvikle, som skal kunne sørge for sikker autentisering av brukeren, samtidig som at personvernet til brukeren blir bevart.

Identity Mixer

Løsningen, som kalles for Identity Mixer, tar i bruk kryptografiske algoritmer for å kryptere identifiserende brukerdata på en måte som gjør det mulig for brukeren å avsløre bare utvalgte deler av dataene til tredjeparter. Slike data kan være alder, nasjonalitet, adresse og kredittkortnummer.

Etter foredraget demonstrerte Camenisch for digi.no hvordan Identity Mixer kan brukes av en filmstrømmetjeneste. Det eneste filmtjenesten strengt tatt har behov for av informasjon om brukere, er å vite om brukeren har et gyldig abonnement på tjenesten og alderen på brukeren. Dersom det er et barn som ønsker å se en film, kan barnet i denne demotjenesten bare velge filmer med aldersgrense lavere enn barnets alder. All annen informasjon om denne ene brukeren er uvedkommende for valget og avspillingen av filmen. Brukerens alder kan være oppgitt på et elektronisk ID-kort utstedt av for eksempel landets myndigheter, mens bestillingen og betalingen av abonnementet kan gjøres i separate systemer, hvor brukeren får et ikke-identifiserende bevis på at abonnementet er gyldig. Dette vil typisk være en krypteringsnøkkel som oppbevares i brukerens digitale lommebok. Denne demoen kan forøvrig testet på denne siden.

Personopplysninger som gis til en filmtjeneste.
Trenger en filmavspillingstjeneste egentlig å vite hvor du bor, når du er født eller engang navnet ditt? Nei, mener IBM. Bilde: IBM Research Zurich
 

Sporene forsvinner ikke

Det er ifølge Camenisch to hovedproblemer med dagens autentiseringsløsninger. For det første legger vi igjen spor overalt, og i likhet med Neil Armstrongs fotavtrykk på Månen, så blir ikke sporene borte. Datasystemer glemmer ikke med mindre noen aktivt går inn for at de skal gjøre det. Samtidig blir lagring av data stadig billigere, og mulighetene for å utvinne dataene blir stadig bedre.

Selv om dataene ikke slettes så lett, så er det ifølge Camenisch fort gjort å miste dem. Stadig hører man om stjålne passord, kredittkortnummer og identiteter. Det sistnevnte har nå blitt så vanlig at markedsprisen per identitet falt fra 150 dollar stykket i 2005 til 5 dollar i 2013.

Jan Camenisch ved IBM Research Zurich
digi.no møtte IBM-forsker Jan Camenisch på spisested på Grønland i Oslo. Bilde: H.Brombach
 

De nye pengene

– Data er de nye pengene, så de må beskyttes, sier Camenisch. Så når man deler en masse unødvendig informasjon med ulike aktører på nettet, for eksempel ved å bruke Facebook-kontoen ved innlogging, så øker faren for at denne informasjonen blir stjålet og misbrukt, for eksempel av utro tjenere hos tjenesteleverandøren eller av hackere.

Les også: Twitter flytter brukerkontoer til Europa 

Bruken av Identity Mixer i forbindelse med filmtjenesten kan minne litt opplevelsen av å gå på kino med billetter kjøpt for kontanter. Har man gyldige billetter til en forestilling, vet ikke kinoen noe annet om deg enn at du trolig er gammel nok til å se forestillingen. En rask kontroll av alderen på et id-bevis kan selvfølgelig innebære identifisering, men normalt er det alderen og bildet, og ikke navnet, som betjeningen er opptatt av.

PKI-lignende

Identity Mixer fungerer på en tilsvarende måte som klientsertifikater i klassisk PKI (Public-Key Infrastructure). Men det er to viktige forskjeller.

For det første er ikke brukerne nødvendigvis knyttet til én eneste offentlig nøkkel, men kan ha mange uavhengige, offentlige nøkler for den samme private nøkkelen. Dette kalles for pseudonymer og man kan ha ulike pseudonymer ved hvert brukersted, ja til og med for hver brukerøkt.

Personvern: Kamp mot Facebook kan få store konsekvenser 

Dessuten kan akkreditivene som sertifiserer brukerens attributter gjøres om til gyldige bevis for ethvert av brukerens pseudonymer, og som bare inneholder et utvalg av attributtene i de originale akkreditivene.

Akkreditivene kan gjøres ugyldige dersom attributtverdier har blitt endret, for eksempel ved flytting, eller dersom akkreditivene har blitt kompromittert.

Fordelene?

Hvorfor personvernbevisste brukere skulle ønske å benytte en slik løsning, er ganske innlysende. Mange opplever det allerede som ubehagelig at mulighetene for å bruke mange tjenester ikke kan gjøres relativt anonymt, uten avsløring av identifiserende persondata.

Fordelene for brukerstedene er kanskje ikke like selvfølgelige, for den ekstra informasjonen om brukerne kan være verdifull også for disse, blant annet for å kunne tilby mer tilpassede tjenester.

Camenisch mener likevel at det vil kunne værer attraktivt for tjenestetilbydere fordi de da kan helt kan unngå risikoen ved at persondata blir stjålet og lekket, noe som kan bety en kraftig svekkelse av omdømmet. Andre faktorer som Camenisch nevner, inkluderer krav fra myndigheter og ønsker fra brukerstedet selv om sterk autentisering.

Programvare og tjeneste

Identity Mixer tilbys allerede for relativt fri bruk med en proprietær lisens, i form en Java. Den kan brukes som en krypteringsmotor for Privacy-Preserving Attribute-Based Credential Engine (p2abcengine), som er utgitt med Apache-lisens.

IBM planlegger også å tilby Identity Mixer som en tjeneste i Bluemix, selskapets PaaS-baserte (Platform as a Service) nettskytjeneste, senere denne våren.

Til toppen