Tænk over hvor mange digitale tjenester, som har adgang til vores personlige oplysninger. Netflix kender i hvert fald vores navn, fødselsdag, email og kreditkortoplysninger. Det samme gør HBO og en lang række andre tjenester, der også ved, hvor vi bor, hvor vi er født osv.
Sådan er tjenesterne skruet sammen, fordi det er bekvemt og giver adgang til store datamængder, som virksomhederne kan bruge til at skræddersy deres produkter.
Men sådan behøver det ikke nødvendigvis at være, hvis man spørger forsker Jan Camenisch hos IBM Research i Zurich.
Han har netop udviklet en ny type certifikat, som gør det muligt at autentificere sig som bruger over for en digital tjeneste uden at give personlige oplysninger videre.
Filmtjenester som Netflix har fra brugerens synspunkt ikke brug for at kende ens fødselsdato. De har blot brug for at vide, om man eksempelvis er fyldt 18 år og derfor må se en given film.
Med det nye type certifikat behøver man således ikke længere opgive de personlige oplysninger.
I stedet kan tjenesten blot spørge: ‘Er brugeren fyldt 18 år?’, hvorefter certifikatet kan nøjes med at returnere en positiv eller negativ værdi alt efter resultatet.
Alle brugerens oplysninger er gemt krypteret i certifikatet, der ligger tilgængeligt open source.
Betalingskortoplysninger er krypteret
Det kan også bruges, når man skal købe et abonnement og afgive nummeret på betalingskortet. I stedet vil man have nummeret liggende krypteret i certifikatet, og kun afgive den krypterede værdi til f.eks. Netflix.
Tjenesten vil efterfølgende kunne opkræve betalingen hos betalingskort-indløseren, fordi indløseren har nøglen og kan se, at brugeren har certificeret tjenesten til at opkræve det månedlige gebyr.
Bliver tjenesten hacket - som det eksempelvis skete for utroskabssitet Ashley Madison sidste efterår - vil gerningsmændene kun have adgang til krypterede og dermed ubrugelige kreditkortoplysninger.
»Når du beder en tjeneste om at bekræfte din identitet, så sender du normalt hele certifikatet (som fx offentlig digital signatur, red.). Det afslører alt for meget information om dig,« siger Jan Camenisch og sammenligner det med, at vi viser vores kørekort med cpr-nummer, når vi blot har brug for at bevise, at vi er fyldt 18 år.
Digitale tjenester kan ved at benytte andre metoder, som certifikatet fra IBM Research, beskytte brugernes identitet, fortæller Jan Camenisch, som vil præsentere hvordan til it-sikkerhedsmessen Infosecurity i København den 4. maj.
»Problemet i dag er, at vi altid identificerer os selv og afgiver for meget personlig information på nettet,« siger Jan Camenisch og fortsætter:
»Det nedbryder privatlivet.«
Kom gratis med til Danmarks største IT-sikkerhedsevent!
Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.
