10 Lat Prawa Nowych Technologii we Wrocławiu Wrocław, 13 – 14 listopada 2012 r. Nowe perspektywy ochrony prawa do prywatności Mirosław Kutyłowski, Politechnika.

Slides:



Advertisements
Podobne prezentacje
Infrastruktura kluczy publicznych
Advertisements

I część 1.
IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET
Procesory sieciowe w realizacji bezpieczeństwa danych
Systemy Single Sign On Praca magisterska Opiekun:
Odwoływalna Anonimowość w schematach podpisu grupowego Seminarium Doktoranckie Krystian Baniak 12.Maj.2009.
Kompleksowe zarządzanie bezpieczeństwem informacji
Platforma A2A PA2A.
PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA
Ochrona danych osobowych
PKI, OPIE Auth Mateusz Jasiak.
Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski
Koncepcje i rozwiązania praktyczne stosowania e-faktur
Artur Szmigiel Paweł Zarębski Kl. III i
Projektowanie i programowanie obiektowe II - Wykład IV
Aspekty prawne i techniczne
Aktualne zagadnienia prawne.
Ochrona danych wykład 2.
Bezpieczeństwo baz danych
Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych Michał Jankowski Paweł Wolniewicz
Wady i zalety Microsoft Word –a
Wykonawcy:Magdalena Bęczkowska Łukasz Maliszewski Piotr Kwiatek Piotr Litwiniuk Paweł Głębocki.

Środki bezpieczeństwa
Twoje narzędzie do pracy grupowej
Mobilny ePodpis już w Plusie Polkomtel i MobiTrust Warszawa, 7 stycznia 2009 – w ofercie Plus dla Firm od 9 stycznia 2009 roku.
1. 2 Elektroniczna Dystrybucja Informacji EDI, format XML Wydział Prawa i Administracji Pracownia Komputerowa.
Wanda Klenczon Biblioteka Narodowa
SSI FONS Enterprise Nowy i kompleksowy szpitalny system informatyczny.
Bezpieczny Mobilny Podpis Elektroniczny
SYSTEM REJESTRACJI UŻYTKOWNIKÓW W SERWISIE INTERNETOWYM Bezpieczny i scentralizowany system uwierzytelniania, autoryzacji oraz zarządzania użytkownikami.
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Prezentacja i szkolenie
Bezpieczeństwo wielkoskalowych imprez masowych oraz ruchu dużych mas ludności z zachowaniem pełnej prywatności danych osobowych cyfrowo zabezpieczona biometryczna.
Piotr Girdwoyń, Magdalena Tomaszewska
Wybrane zagadnienia relacyjnych baz danych
Pod kierownictwem dr hab. inż. Piotra Zaskórskiego prof. WWSI
Faktura elektroniczna, podpis elektroniczny – aspekty prawne Witold Chomiczewski, LL.M. radca prawny
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Bezpieczeństwo fizyczne i techniczne systemów i sieci komputerowych
Podpis elektroniczny Przesyłanie i składowanie faktur elektronicznych
Czym jest Internet Security for Android? To program oparty na nowoczesnych technologiach, zabezpieczających dowolne urządzenie z systemem Android™ przed.
OFERTA SYSTEMU IDENTYFIKACYJNEGO BOS BEZPIECZNY OBIEKT SPORTOWY Schematy zastosowania Karty Kibica i Micro Biletu.
2/13 Portal Podatkowy e-Deklaracje 2.
Pracownicze dane osobowe
Ochrona danych osobowych i informacji niejawnych
System Zarządzania Bazą Danych
Podpis elektroniczny i jego zastosowanie
Treści multimedialne - kodowanie, przetwarzanie, prezentacja Odtwarzanie treści multimedialnych Andrzej Majkowski informatyka +
SZYFROWANIE Kacper Nowak.
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
System międzybibliotecznych wypożyczeń elektronicznych Academica i jego rola w bibliotekach publicznych Academica System międzybibliotecznych wypożyczeń.
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
Czy komputery zabiją genomikę?. Problemy Ogromne ilości danych do przechowywania Zbyt słabe komputery aby „łączyć” sekwencje Nieoptymalne formaty danych.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Zagrożenia komputera w sieci
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
Dokumenty jako dowód w postępowaniu administracyjnym
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
GENERATOR WNIOSKÓW O DOFINANSOWANIE. Generator wniosków o dofinansowanie umożliwia przygotowywanie i edycję wniosków o dofinansowanie. Jest to pierwszy.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
STEROWANIE MONITORING ARCHIWIZACJA ROZWIĄZANIA INFORMATYCZNE W GALWANIZERNI – APLIKACJA KOMPUTEROWA DO ZARZĄDZANIA PROCESEM PRODUKCYJNYM.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Odpowiedzialność za naruszenie przepisów o ochronie informacji niejawnych Ustawa o ochronie informacji niejawnych, mimo uregulowania wielu najistotniejszych.
KRYPTOGRAFIA KLUCZA PUBLICZNEGO WIKTOR BOGUSZ. KRYPTOGRAFIA KLUCZA PUBLICZNEGO Stosując metody kryptograficzne można zapewnić pełną poufność danych przechowywanych.
Przestępstwa internetowe
Modele baz danych - spojrzenie na poziom fizyczny
Zapis prezentacji:

10 Lat Prawa Nowych Technologii we Wrocławiu Wrocław, 13 – 14 listopada 2012 r. Nowe perspektywy ochrony prawa do prywatności Mirosław Kutyłowski, Politechnika Wrocławska

2 Podejście do ochrony danych Tradycyjne kategorie: dane opublikowane dane nieopublikowane Teraz: łatwość zwielokrotniania łatwość zmiany zakresu udostępniania zakres udostępnienia danych może być pośredni: opublikowany/nieopublikowany jest zbyt uproszczony i odpowiada technice 1 połowy 20 wieku

3 Podejście do ochrony danych Problemy brak koncepcji prawnych dla realizacji prawa do zarządzania danymi łatwość outsorcingu czynów zabronionych do krajów trzecich wykorzystanie danych opublikowanych w sposób nieuprawniony przez osoby trzecie

4 Podejście do ochrony danych ochrona oparta na wystąpieniu nieuprawnionego przełamania zabezpieczeń zakazie przełamywania zabezpieczeń sytuacja jest bardziej skomplikowana sama ocena uprawnień jest bardzo problematyczna granica między przełamywaniem a normalnym wykorzystaniem może być nieostra

5 Podejście do ochrony danych Scenariusze nieuprawnionego dostępu odpowiadające szczegółowym sytuacjom z dawnych czasów: § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega … § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. Przykład: nieuprawniona analiza ruchu

6 Transgraniczność obrót w ramach EU jest tylko fragmentem, wyszukiwarki: Google i nie tylko cloud computing odmiejscowienie czynności, tradycyjne koncepcje związane z miejscem porządkowanie sytuacji wymaga bardzo jasnych koncepcji w ramach systemów narodowych

7 Dostępność danych rekonstrukcja danych z wielu źródeł, żadne z nich nie są danymi osobowymi: utworzenie danych osobowych z danych które nie są danymi osobowymi wykorzystane dane były opublikowane

8 Nie tylko dane statyczne nie tylko klasyczne dokumenty ale również dane tworzone w trakcie interakcji elektronicznej dane takie mogą mieć ogromne znaczenie i mogą być zbierane w sposób automatyczny zbyt silna kryptografia mająca zabezpieczać dane może być źródłem bardzo poważnych zagrożeń danych

9 Uwierzytelnianie – z zachowaniem prywatności problem komunikacji bezprzewodowej – potencjalna możliwość podsłuchiwania przez osoby trzecie, w klasycznych metodach uwierzytelniania określenie tożsamości (ewentualnie anonimowej) następuje przed sprawdzeniem możliwość udowodnienia osobom trzecim obecności w określonym miejscu elektroniczny Wielki Brat : urządzenia nasłuchujące

10 Uwierzytelnianie – z zachowaniem prywatności Protokoły z własnością Zero Knowledge Proof: zapis protokołu nie ma żadnej wartości dowodowej w sensie matematycznym zapis protokołu można sfabrykować bez konieczności użycia kluczy prywatnych uwierzytelniającej się strony sfałszowane zapisy są nierozróżnialne od oryginalnych: mają ten sam rozkład prawdopodobieństwa, lub mają rozkład obliczeniowo nierozróżnialny

11 Nowoczesne protokoły identyfikacyjne dokument identyfikacyjny ujawnia swą tożsamość dopiero po uwierzytelnieniu terminala niemożność odpytania dokumentów przez Wielkiego Brata, ale: niestety nie jest tak w przypadku paszportu biometrycznego

12 Nowoczesne protokoły identyfikacyjne uzgadnianie klucza sesyjnego i przesyłanie danych bezpiecznym kanałem: przesyłanie danych dopiero po utworzeniu bezpiecznego kanału uzgodnienie klucza sesyjnego jest możliwe w taki sposób, że osoba podsłuchująca nie może odtworzyć klucza sesyjnego

13 Nowoczesne protokoły identyfikacyjne Możliwość skonstruowania protokołu tak, aby uwierzytelnianie terminala również nie stanowiło żadnego dowodu wobec trzecich stron.

14 Anonymous credentials główni producenci: IBM Zurich, Microsoft Strony protokołu: Wystawca Użytkownik Ufający Przebieg: Użytkownik składa wniosek o AC, otrzymuje go od Wystawcy Użytkownik przedstawia AC Ufającemu

15 Anonymous credentials Własności anonimowości: AC to: atrybuty użytkownika określające uprawnienia anonimowa tożsamość prywatne klucze kryptograficzne umożliwiają aktywne uwierzytelnianie AC to silne narzędzie określające uprawnienia – uwierzytelnienie na okaziciela

16 Anonymous credentials Własności anonimowości: wystawca nie wie jakie atrybuty zawarte w wystawionym AC jedynie gwarancja, że są to atrybuty spełnione przez użytkownika Możliwości: odwołanie AC odtworzenie tożsamości użytkownika tylko w wyjątkowych sytuacjach w kontrolowany sposób

17 Dojrzałość technologiczna Stosunkowo ciężka technologia: trudności z zastosowaniem na dzisiejszych kartach chipowych.. ale nie na PC głównym problemem interoperacyjność, włączenie w praktykę

18 Ograniczona identyfikacja pojedynczy klucz kryptograficzny do zastosowania w różnych sektorach każdy sektor jest wyodrębnionym obszarem przetwarzania danych, w każdym sektorze inna anonimowa tożsamość w odróżnieniu od anonymous credentials - jedna tożsamość w sektorze na zawsze niemożność (matematyczna) powiązania danych z jednego sektora z danymi z drugiego sektora zamiast zakazów – niemożność nieuprawnionego wykorzystania danych

19 Zastosowania ograniczonej identyfikacji Niemcy: zaimplementowane w dowodzie osobistym protokół pozwala na wygenerowanie hasła odrębnego dla każdego sektora – wygoda i bezpieczeństwo dla użytkownika dominujące wykorzystanie: dostęp do indywidulanego konta z punktami karnymi kierowców sektor ubezpieczeniowy – sprzedaż online

20 Możliwości wykorzystania wymaga nieco zmienionego algorytmu, niż w przypadku Niemiec: dostęp do danych medycznych na indywidualnym koncie zwalczanie przestępczości (anonimowe składanie zeznań,…) ochrona nieletnich i zastosowania o mniejszej wadze: ocena wykładowców na uczelni oceny na serwisach typu Alegro …

21 Dojrzałość technologiczna niewielkie wymagania (realizowalne na tanich kartach chipowych, ale również może być na PC) dojrzałe protokoły matematyczne gwarancje anonimowości podobna realizacja możliwa dla sektorowego podpisu elektronicznego (Bundesamt fuer Sicherheit in der Informationstechnik, MK & Jun Shao) BIOPKI - projekt NCBiR na zamówienie ABW

22 Znakowanie dokumentów Dokumenty elektroniczne uwierzytelniane np. za pomocą podpisu elektronicznego. Każda kopia dokumentu elektronicznego może zawierać podpis dedykowany dla konkretnego odbiorcy dokumentu.

23 Znakowanie dokumentów Metody: łatwe w przypadku dokumentów skanowanych w przypadku dokumentów tekstowych: znaki wodne ze zmian formatowania podpisy dedykowane konkretnemu weryfikującemu weryfikujący musi przetworzyć otrzymane dane do podpisu weryfikowalnego musi użyć własnego klucza prywatnego przekazanie podpisu osobie trzeciej zdradza klucz użyty do przetworzenia technika analogiczna do znakowania dokumentów papierowych podlegających kontroli obrotu

24 Dziękuję za uwagę