Zestaw technologii zwiększających ochronę prywatności
W Unii Europejskiej prawo do prywatności wchodzi z zbiór praw podstawowych, zawartych w Karcie Praw Podstawowych Unii Europejskiej(odnośnik otworzy się w nowym oknie). Jednak w świecie, w którym usługi internetowe, takie jak poczta elektroniczna i komunikatory, są nieodłącznym elementem naszego życia, prawo to często jest ignorowane. „Takie usługi często wymagają, aby dane były przetwarzane w sposób jawny i na serwerach zarządzanych przez jednego dostawcę usług”, wyjaśnia Thomas Schneider, profesor informatyki i szef Grupy ds. kryptografii i inżynierii prywatności(odnośnik otworzy się w nowym oknie) (ENCRYPTO) na Uniwersytecie Technicznym w Darmstadt(odnośnik otworzy się w nowym oknie). Problem polega na tym, że niezaszyfrowane przetwarzanie tych danych może prowadzić do naruszenia prywatności właściciela danych – czyli użytkownika usługi. Co więcej, posiadanie jednego dostawcy usług wprowadza do systemu pojedynczy punkt awarii, w którym udany atak na dostawcę może narazić prywatne dane wielu użytkowników. „Chociaż podjęto kroki w celu prawnego ograniczenia uprawnień usługodawców do kontroli danych użytkownika, takie jak unijne ogólne rozporządzenie o ochronie danych(odnośnik otworzy się w nowym oknie) (RODO), równoważenie potrzeby w zakresie usług chroniących prywatność z potrzebą bogatej oferty funkcjonalności okazało się ogromnym wyzwaniem”, dodaje Schneider. W osiągnięciu takiej równowagi pomaga finansowany ze środków UE projekt PSOTI(odnośnik otworzy się w nowym oknie).
Nowe sposoby ochrony danych użytkowników
Sercem projektu jest szereg innowacyjnych technologii i protokołów zwiększających ochronę prywatności. „Opracowane przez nas rozwiązania pomagają chronić dane użytkowników, jednocześnie umożliwiając wielu niezależnym dostawcom usług bezpieczne i wspólne ich przetwarzanie”, wyjaśnia Schneider. Jednym z tych rozwiązań jest platforma programistyczna umożliwiająca bezpieczne obliczenia dwustronne w protokole mieszanym. Protokół ten znacząco usprawnia komunikację powszechnych komponentów, takich jak funkcja mnożenia i iloczyn skalarny, co ma szerokie zastosowanie w uczeniu maszynowym z zachowaniem prywatności. Dwie kolejne platformy programistyczne opracowane przez grupę ENCRYPTO zostały wymienione jako przykłady najlepszych praktyk dla projektów typu open source w Przewodniku ONZ po technologiach zwiększających ochronę prywatności w oficjalnych statystykach(odnośnik otworzy się w nowym oknie) (United Nations Guide on Privacy-Enhancing Technologies for Official Statistics). W ramach projektu PSOTI, wspieranego przez Europejską Radę ds. Badań Naukowych(odnośnik otworzy się w nowym oknie), opracowano również narzędzie internetowe o nazwie Encrypted Multi-Channel Communication(odnośnik otworzy się w nowym oknie) (EMC2). Użytkownicy mogą korzystać z narzędzia do komunikacji za pośrednictwem dwóch niezależnych kanałów komunikacji, takich jak poczta elektroniczna i WhatsApp. „Dzięki temu narzędziu wiadomość jest chroniona, nawet jeśli jeden z kanałów zostanie zhakowany lub dojdzie do naruszenia”, zauważa Schneider.
Identyfikacja konkretnych naruszeń prywatności w sieci
W trakcie projektu naukowcy zidentyfikowali konkretne ataki na prywatność w ramach istniejących usług internetowych. Wśród nich znalazło się ujawnienie danych kontaktowych użytkowników w popularnych komunikatorach, takich jak WhatsApp, Signal czy Telegram(odnośnik otworzy się w nowym oknie). Ponadto zespołowi udało się namierzyć lukę w zabezpieczeniach prywatności w protokole AirDrop firmy Apple służącym do udostępniania plików(odnośnik otworzy się w nowym oknie). „Na podstawie tych ustaleń zaproponowaliśmy alternatywne rozwiązania chroniące prywatność, które wykorzystują niektóre z rozwiązań PSOTI”, zaznacza Schneider. Za przeprowadzone w ramach projektu badania dotyczące odkrywania prywatnych kontaktów naukowcy zdobyli drugą nagrodę w konkursie German IT Security Award 2020.
Nowy projekt dotyczący automatyzacji rozwiązań wspierających prywatność
Zespół projektu PSOTI pokazał, że niektóre usługi internetowe można rozszerzyć o ochronę prywatności, bez uszczerbku dla ich zdolności do przetwarzania danych użytkowników. Ponadto projekt otworzył nowe możliwości w zakresie badań naukowych. „Kolejnym znaczącym krokiem będzie opracowanie narzędzi, które mogą w sposób automatyczny generować rozwiązania sprzyjające zachowaniu prywatności na podstawie specyfikacji wysokiego poziomu”, podsumowuje Schneider. Schneider wraz ze swoim zespołem będą mogli zrobić ten krok w ramach finansowanego ze środków UE projektu PRIVTOOLS, który otrzymał grant ERBN dla naukowców u progu samodzielności badawczej(odnośnik otworzy się w nowym oknie).