Esistono approcci di front-running sull'uso degli hash generati dal server per incapsulare le condizioni del paziente in maniera concisa mentre si massimizza la sicurezza?
Ad esempio, un sistema per rappresentare il profilo med corrente in un hash che può essere usato per verificare le controindicazioni senza rivelare le specifiche prescrizioni dei componenti?
Nessuno che io conosca. E credo che sia perché .. Non credo che la soluzione (sottintesa dalla domanda) sia una buona soluzione / proposta.
Non solo perché la funzione di hashing può avere collisioni (anche se ha una probabilità molto bassa, l'impatto sarebbe maggiore, quindi perché dovremmo aggiungere un tale rischio?) ma anche perché hai un altro problema prima dell'hashing: a meno che tu risolvere qualcosa che non è stato ancora completamente risolto (cioè interoperabilità semantica ), in un profilo medico è possibile, ad esempio, trovare / formulare lo stesso concetto medico in diversi modi (ad esempio, sequenze di testo diverse possono significa la stessa cosa / concetto medico) così in quei casi si otterrebbero diversi hash riferendosi allo stesso concetto (!). Come lo gestiresti? Sarai in grado di mappare tutti questi diversi hash allo stesso concetto medico? (tipo di allergia o qualsiasi altra cosa). Come diresti che due hash significano veramente due cose diverse ... e quali cose dovrebbero essere? Credo che non sarà in grado di prevedere tutti i possibili modi diversi nella nostra lingua, potremmo esprimere lo stesso concetto e i valori di hashing risultanti saranno gravemente fluiti in termini semantici.
Anche se scegli di utilizzare le migliori terminologie e vocabolari controllati o informazioni codificate da utilizzare nel profilo medico, avranno comunque bisogno di manutenzione e revisione continue nel tempo (a causa della versione ecc., ad esempio alias, nuovo concetto in, deprecato concetti ecc.) tutte le cose che avranno un impatto negativo sull'efficacia e l'affidabilità del "sistema di supporto decisionale" basato su concetti nascosti da valori di hash. Quindi non penso che sia una buona idea nascondere un concetto medico dietro gli hash e prendere decisioni basate solo sui valori hash.
Inoltre, se autorizzo il mio dottore ad accedere alla mia cartella clinica, voglio che lui veda molto chiaramente ciò che la mia allergia è in termini che può capire. Riesci a immaginare il tuo dottore guardando i valori di hashing che dovrebbero essere mappati rispetto ad alcune informazioni mediche codificate che non hanno assolutamente alcun modo per verificare realmente il vero concetto che potrebbe essere dietro? Non è una buona idea. Vuoi compressione? Usa gli algoritmi di compressione. Vuoi sicurezza? Crittografia utente con funzioni a due vie e infrastruttura di autenticazione, ecc. (Tenere presente che l'hashing è una funzione "a senso unico"). Continuate a usare l'hashing per quelle cose che oggi usiamo (per indicizzare, recuperare gli oggetti in modo più efficiente, per le firme digitali, ecc.) NON per nascondere / memorizzare concetti medici. Non innoverei in questo modo. Ma potrebbe essere che ho torto. C'è una risposta migliore a questo?
L'hashing non sarebbe molto pratico in questo caso. Non a causa di collisioni, dal momento che un buon hash crittograficamente sicuro (es. SHA-2 ) non avrà alcuna collisione che può verificarsi in natura con ogni ragionevole probabilità. Il problema è che gli hash sono a senso unico, quindi per dedurre le tue condizioni tutte le possibili combinazioni devono essere sottoposte a hash e confrontate con il tuo hash.
Un approccio più interessante sarebbe utilizzare la crittografia omomorfica . La crittografia omomorfica ti consente di creare alcune classi di calcoli su dati crittografati, ad es. calcolo delle medie e simili. Microsoft Research ha sviluppato un approccio molto promettente in questo documento di.
C'è un difetto fondamentale nel tipo di impostazione che suggerisci, ovvero che è intrinsecamente vulnerabile a congettura informata . Inviando richieste mirate, sarebbe possibile restringere il numero di possibili condizioni abbastanza rapidamente; questo è lo stesso processo che si cela dietro la diagnosi medica stessa.
Esiste un'area di ricerca attiva su come lavorare con i database crittografati, in modo da poter ottenere alcune informazioni parziali sui dati senza poterle decodificare. Tuttavia, le informazioni parziali possono essere molto rivelatrici. Ad esempio, se hai un numero crittografato x e puoi porre domande come "è x maggiore di 1000?" quindi una ricerca dicotomica rivelerà x con una precisione elevata in poche dozzine di richieste.
Ciò significa che il modello di sicurezza che è qui previsto (il medico è il potenziale aggressore) è una configurazione piuttosto disperata. (Inoltre, ha relativamente poco senso pratico: i medici devono conoscere tutta la storia medica dei loro pazienti per fare il loro lavoro correttamente.)
Un modello distinto è ciò che crittografia omomorfica riguarda: la capacità di calcolare le cose dati crittografati, in modo da ottenere un risultato crittografato . Questo è utile per scaricare la maggior parte del lavoro di calcolo su un sistema potente ma non affidabile. Ma chiunque riesca a ottenere il risultato decrittografato ha il potere di decifrare tutti i dati memorizzati, per costruzione; quindi questo non è lo stesso modello.
Leggi altre domande sui tag privacy hash anonymity confidentiality