Tecnologies de Privadesa en la Societat de la Informacio
Josep Domingo Ferrer
Universitat Rovira i Virgili
http://unescoprivadesa.urv.cat
25 de juny de 2007
0
Introduccio
Introduccio
♦ Estan apareixent nous serveis centrats en la seguretat per a la Societat de la Informacio
a una velocitat cada vegada mes rapida.
♦ Els beneficis corporatius son sovint el motiu principal per a aquests serveis.
=⇒ La seguretat corporativa sempre es la prioritat, pero la seguretat dels consumidors i,
especialment, la privadesa dels consumidors tendeixen a ser desateses.
1
Introduccio
Objectiu i estructura d’aquesta xerrada
Es donara una visio de conjunt dels problemes de privadesa i de les seves solucions, per a
les seguents tecnologies:
• Proteccio d’infraestructures crıtiques
• Computacio ubiqua
• Transaccions electroniques
• Gestio dels drets digitals
• Mineria de dades, emmagatzematge de dades i motors de cerca
2
Infraestructures crıtiques
Proteccio d’infraestructures crıtiques
• La proteccio d’infraestructures crıtiques (aeroports, centrals electriques, instal·lacions
financeres, hospitals, sistemes de defensa, etc.) es una prioritat per als paısos i per a la
seguretat corporativa.
• La proteccio de tals infraestructures depen cada vegada mes del funcionament segur
dels sistemes d’informacio que els controlen (infraestructures d’informacio crıtiques o
CIIs).
=⇒ Les CIIs haurien de ser fiables.
3
Infraestructures crıtiques
Fiabilitat de les CIIs
• La fiabilitat davant les fallades accidentals es una questio de confianca, i es pot resoldre
sense atacar la privadesa dels ciutadans.
• La fiabilitat davant les fallades intencionades es tıpicament enemiga de la privadesa.
– Els sistemes de deteccio d’intrusions (IDS) en son un exemple: creen un perfil dels
individus per a detectar si es desvien de llur conducta estandard.
– Com recollir IDSs sense posar en perill la privadesa individual es un repte tecnologic.
4
Infraestructures crıtiques
Reptes de privadesa en les CIIs
• Les dades s’haurien de recollir en el nivell de granularitat mes baix possible que sigui al
mateix temps compatible amb la seguretat de la infraestructura crıtica (per exemple,
la localitzacio dels passatgers en un aeroport es pot fer per cel·les si no se’n necessita
la posicio exacta).
• S’haurien de reforcar les polıtiques de control d’acces a dades personals. Per exemple,
idear esquemes en els quals els empleats puguin treballar amb la CII accedint a la
mınima informacio confidencial1.
• Si les dades dels individus es treuen fora de la CII, cal utilitzar els procediments
d’anonimitzacio adequats. 2.
1 Sebe, Domingo-Ferrer, Martinez, Deswarte i Quisquater (2007), “Efficient remote data possession checking in criticalinformation infrastructures”, IEEE Transactions on Knowledge and Data Engineering, en premsa, mostra com la integritat de lesdades pot ser comprovada per un operador amb acreditacio de seguretat baixa
2Hundepool, Domingo-Ferrer et al. (2006), Handbook on Statistical Disclosure Control, Eurostat.
5
Computacio ubiqua
Computacio ubiqua
• La computacio ubiqua ha esdevingut una realitat amb l’expansio de les comunicacions
sense fils i dels aparells mobils (telefons mobils, aparells GPS, dispositius RFID, aparells
portatils, ordinadors als vehicles, etc).
• Els serveis basats en la localitzacio son una possibilitat atractiva oberta per la
computacio ubiqua, tot i que posen de relleu el problema de la privadesa de la
localitzacio.
• Fins i tot les etiquetes de radiofrequencia (RFID) barates es poden fer servir per a
seguir individus sense llur consentiment.
6
Computacio ubiqua
Escenaris d’exemple en computacio ubiqua
Baix cost Una cadena de botigues pot relacionar una samarreta etiquetada amb un RFID
amb la identitat del seu comprador, per tal d’enviar-li anuncis indesitjats via SMS cada
vegada que la seva samarreta es localitzes aprop d’una botiga de la cadena.
Alt cost La comunicacio cotxe a cotxe3 es una aplicacio on l’autenticacio i la
confidencialitat no han de deteriorar la privadesa (localitzacio, habits de conduccio,
etc.), perque un cotxe duu molta informacio sobre el seu conductor.
=⇒ La computacio ubiqua s’ha de fer compatible amb la preservacio de la privadesa.
3Berg (2007), “Standards for car talk”, The Institute, IEEE, March 2007
7
Computacio ubiqua
Reptes de privadesa en la computacio ubiqua: privadesa delocalitzacio
♠ Seguir la localitzacio d’usuaris mobils de serveis basats en la localitzacio provoca la
perdua d’informacio confidencial: els llocs visitats informen sobre les vides de la gent,
els habits de conduccio poden informar de l’estat emocional del conductor, etc.
=⇒ Cal preservar la privadesa en serveis basats en la localitzacio.
Algunes aproximacions per aconseguir-ho son:
• Suprimir els identificadors dels usuaris (feble perque les consultes en elles mateixes
ja son identificadores).
• Dissimular les localitzacions per mantenir-les confidencials4
• La recuperacio d’informacio privada (PIR)5 es una aproximacio mes general per
mantenir privada la localitzacio i les consultes dels usuaris.4Domingo-Ferrer (2006) “Microaggregation for database and location privacy”, LNCS 4032, pp. 106-116.5Chor et al. (1995), “Private information retrieval”, IEEE FOCS, pp. 41-50.
8
Computacio ubiqua
Reptes de privadesa en la computacio ubiqua: MANETs i VANETs
♠ En una xarxa ad hoc mobil (MANET), nodes no fiables actuen com a encaminadors, i
cal garantir la privadesa de la informacio encaminada.
♠ En una xarxa ad hoc vehicular (VANET), pot ser necessari que un cotxe emeti un vot
per a confirmar una notificacio d’alarma (glac a la carretera, embus, etc.) enviada per
un altre cotxe per filtrar falses alarmes. Aquest vot hauria de ser anonim i s’hauria de
preservar la privadesa de la seva localitzacio.
9
Transaccions electroniques
Transaccions electroniques
♦ Les transaccions electroniques normalment suposen una perdua de privadesa per al
comprador
♦ A diferencia de les operacions en metal·lic, la informacio de qui compra que es recull
automaticament
♦ Existeixen sistemes de pagament electronic anonims 6 7 per emular l’anonimat dels
pagaments al comptat, pero s’utilitzen rarament en part a causa de:
• La falta de conscienciacio pel que fa a la privadesa del consumidor
• El cost d’implementacio
• El desig de les empreses de realitzar analisis de mercat
• La reticencia governamental (blanquejament de diners, etc.).
=⇒ Els bancs i les companyies recullen automaticament quantitats enormes d’informacio
sobre els consumidors i llurs habits de consum.
6http://www.ecash.net7Chaum (1989) “Privacy protected payments: unconditional payer and/or payee untraceability”, in Smart Card 2000,
North-Holland, pp. 69-93.
10
Transaccions electroniques
Reptes de privadesa en les transaccions electroniques: pagaments
La tecnologia de pagament electronic anonim es relativament madura, pero hi ha espai
per a la millora en:
• Pagament anonims de baix cost i/o revocables.
• Solucions amb un desplegament barat (aprofitant, per exemple, el desplegament de
targetes d’identificacio electroniques).
11
Transaccions electroniques
Reptes de privadesa en les transaccions electroniques: registres detransaccio
• Les dades de transaccio s’exploten en magatzems de dades, sovint per tercers
participants, aixı que els registres de transaccio s’han d’anonimitzar.
• Mes enlla de la supressio d’identificadors directes, els registres s’haurien d’emmascarar
de manera que els compradors a qui corresponen no es puguin reidentificar (per
exemple, si s’enregistren l’estat civil i l’edat, un registre corresponent a una vıdua de
18 anys es facil d’identificar).
• Els metodes d’emmascarament per anonimitzacio es basen en el Control de Revelacio
Estadıstica o SDC 8
• Per a bases de dades en lınia i motors de cerca, la intimitat de les consultes presentades
pels usuaris tambe ha de ser tinguda en compte 9.
• La privadesa de les consultes es pot tractar amb els protocols PIR 10.
8Hundepool, Domingo-Ferrer et al. (2006), op. cit.9Cohen (2005), “Google needs a privacy upgrade”, International Herald Tribune, 29 nov. 2005
10L’agost del 2006, el motor de cerca d’AOL ”es va prendre la llibertat”de revelar ”per a la investigacio”36 milions de consultesde 657000 usuaris, moltes de les quals eren molt identificadores.
12
Gestio dels drets digitals
Gestio dels drets digitals
• La gestio dels drets digitals o DRM te l’objectiu legıtim de protegir la propietat
intel·lectual (IP) del contingut digital.
• Les marques d’aigua imperceptibles incrustades en el contingut son una tecnica habitual
per detectar copies il.legals.
• Si cada copia venuda porta una marxa d’aigua unica per localitzar possibles
redistribuıdors il·legals, la marca d’aigua s’anomena empremta digital.
• Una empremta digital es com un numero de serie que el venedor pot relacionar amb la
identitat del comprador de la copia.
13
Gestio dels drets digitals
La IP del propietari i la privadesa del comprador
♣ En benefici del propietari del contingut, el venedor desitja identificar el comprador per
relacionar la identitat de l’ultim amb l’empremta digital incrustada en la copia venuda.
=⇒ El venedor sap qui esta comprant quin contingut, cosa que representa una violacio
de la privadesa del comprador
♣ Si el pagament electronic pot ser anonim, es inacceptable per al comprador sacrificar
la seva privadesa per mor de la proteccio de la IP del propietari.
♣ La perdua de privadesa s’hauria de limitar als compradors deshonestos que il·legalment
redistribueixen el contingut que han adquirit.
14
Gestio dels drets digitals
Reptes de privadesa en DRM: empremta digital anonima
• L’empremta digital anonima es una solucio teorica per combinar DRM (gestio de drets
digitals) i privadesa dels compradors honestos11.
• El comerciant posa l’empremta digital al contingut venut a un comprador sense saber
la identitat del comprador ni veure la copia marcada.
• Trobar una copia (redistribuıda) amb l’empremta digital permet al comerciant d’esbrinar
i demostrar a terceres persones de qui era la copia.
• Tanmateix, els protocols basats en empremtes anonimes proposats fins ara depenen del
calcul segur multipart, i no son practics.
• Aconseguir protocols practics basats en empremtes digitals anonimes es un gran
desafiament.
11Pfitzmann and Waidner (1997) “Anonymous fingerprinting”, LNCS 1233, 88-102.
15
Mineria de dades i emmagatzematge
Mineria de dades, emmagatzematge i motors de cerca
♠ Segons el que s’ha observat anteriorment, la privadesa en les bases de dades
suporta moltes aplicacions (infraestructures d’informacio crıtica, computacio ubiqua,
transaccions electroniques, etc.).
♠ La privadesa de les bases de dades te tres dimensions:
1. Privadesa del responent. Impedir la reidentificacio dels individus/empreses a qui
corresponen els registres publicats en la base de dades.
2. Privadesa del propietari de la base de dades. Permetre a dues o mes entitats
autonomes de formular consultes a les seves bases de dades de tal manera que
nomes es revelin les respostes de la consulta.
3. Privadesa de l’usuari de la base de dades. Garantir la privadesa de les consultes per
impedir la creacio de perfils dels usuaris i la reidentificacio per part del propietari de
la base de dades.
16
Mineria de dades i emmagatzematge
Tecnologies de privadesa en bases de dades
• La privadesa del responent es perseguida pel control de revelacio estadıstica (SDC)12
• La privadesa del propietari de la base de dades es perseguida pel privacy preserving
data mining (PPDM)1314
• La privadesa de l’usuari de la base de dades es perseguida pels protocol de recuperacio
de la informacio privada (PIR) 15
12Hundepool, Domingo-Ferrer et al. (2006), op. cit13Aggrawal and Srikant (2000) “Privacy-preserving data mining”, Proc. of ACM SIGMOD, pp. 439-450.14Agrawal, Grandison, Johnson and Kiernan (2007) “Enabling the 21st century healthcare information technology revolution”,
Communications of the ACM, 50(2), pp. 35-42.15Chor et al. (1995), op. cit
17
Mineria de dades i emmagatzematge
Reptes de privadesa en l’SDC
• Progressar cap a la quantificacio del risc d’acces inherent a la publicacio d’una base de
dades emmascarada.
• Intentar averiguar quines bases de dades publiques estaran disponibles perque un intrus
les aparelli amb els registres de transaccio anonimitzats.
• Desenvolupar l’SDC per a les bases de dades en lınia, es a dir, per protegir el responent
quan els usuaris poden fer consultes dinamiques (atacs de rastreig).
• Millorar la compensacio entre la proteccio de l’acces i la validesa analıtica de les dades
emmascarades.
18
Mineria de dades i emmagatzematge
Reptes de privadesa en PPDM i PIR
• Les tecniques de PPDM actuals nomes permeten l’analisi d’un grup de dades restringit
a traves d’unes quantes bases de dades els propietaris de les quals estan poc disposats
a compartir-les plenament.
• Proposar tecniques de PPDM que permetin una gamma mes ampla d’analisis conjunta.
• Fer compatibles els protocols PIR i SDC: les tecniques SDC que s’utilitzen actualment
per protegir la privadesa de respondent sovint necessiten que la base de dades sapiga
quines consultres precises realitza l’usuari. 16.
16Aguilar and Deswarte (2006) “Single database private information retrieval schemes”, LNCS 4302, pp. 257-265
19
Conclusions
Conclusions
♣ La societat de la informacio ha de mantenir-se segura per sobreviure...
♣ ... pero ha de respectar la privadesa per mantenir-se humana
♣ Les tecnologies de seguretat progressaran indubtablement fins i tot sense suport
public...
♣ ... pero les tecnologies de privadesa tenen menys atractiu comercial i llur desplegament
s’ha de promoure, reforcar, i patrocinar en part per les administracions.
♣ Aquest es el nostre dret com a ciutadans!
20