Utilizzo dell'infrastruttura a chiave pubblica o hashing per la privacy di identificazione personale?

3

Recentemente ho letto di furto d'identità e mi sto interrogando su alcune possibili soluzioni utilizzando le tecniche di asimmetria / simmetria / hashing nella crittografia. La mia idea attraverserà queste 3 aree tematiche, quindi seguimi mentre cerco di spiegare la mia domanda.

Mi chiedo se sia / non sia fattibile avere qualcosa di analogo a un'infrastruttura a chiave pubblica / privata, in modo tale che la chiave privata sia i dati personali che vengono tenuti segreti. Questo sarebbe anche analogo al crypto simmetrico in quanto solo l'emittente (governo / azienda) e l'individuo hanno gli originali che non vengono mai effettivamente utilizzati da nessuna parte ma sono tenuti segreti. Poiché il numero deve solo identificare l'individuo (e non sta inviando un messaggio che deve essere decrittografato), deve essere verificato solo da una delle 2 parti che lo detengono. Si potrebbe anche aggiungere qualcosa di analogo a un'autorità di certificazione, anche se questo probabilmente verrebbe attribuito a impianti di qualche tipo che sarebbero impopolari e non penso che siano comunque necessari poiché le informazioni private (SSN, DOB, ecc.) Possono essere tenuto segreto.

L'obiettivo è minimizzare il furto di identità, anche se l'eradicazione probabilmente non si verificherà mai. In questo sistema, invece di scrivere il tuo DOB, SSN, i numeri delle carte di credito, o qualunque dato sia esclusivo per qualche entità, sarebbero invece noti solo i 2 soggetti emittenti e singoli. Tutti gli altri, quando utilizzano tali dati, otterrebbero una versione pubblica di esso, che può essere sostituita utilizzando un altro pin / password per crittografarla in modo diverso se viene compromessa. Potrebbe anche essere utilizzata una qualche forma di hash, poiché è sufficiente identificare qualcuno come autentico. Quindi, andando al negozio di alimentari o facendo domanda per il college, qualcuno metterebbe giù i loro dati hash e questo potrebbe essere verificato all'interno di un sistema nazionale come autentico, e usato per identificare l'individuo. Questo potrebbe essere un enorme miglioramento rispetto all'attuale sistema semplicemente usando un numero direttamente correlato a te come SSN, DOB o numero di carta di credito, e che non può (senza serie difficoltà e con scarsa propagazione attraverso il sistema) essere cambiato.

Forse qualcuno potrebbe evidenziare i problemi logici e / o logistici che renderebbero questo poco pratico.

    
posta stackuser 09.12.2013 - 18:22
fonte

2 risposte

1

Qualcosa di molto simile a quello che dici già: per esempio patenti di guida. Provo la mia identità attraverso il possesso di un certificato di nascita / passaporto, che è convalidato su un database governativo (certificato di livello superiore?), E sono quindi dotato di una [possibilmente provvisoria] patente di guida.

Da questo momento in poi, quasi in qualsiasi momento in cui ho bisogno di convalidare la mia identità, posso farlo mostrando una patente di guida.

Per uno schema ancora più generale (anche se al momento non riesco a pensare a tanto che un passaporto non sia sufficiente per?), il problema principale sembra essere trovare un emittente che tutti siano felice con - molte persone qui nel Regno Unito hanno un problema con la quantità di dati che il governo detiene già su di loro. L'idea di un'unica autorità di certificazione con accesso a un numero ancora maggiore di dettagli rispetto a quelli attualmente detenuti preoccuperebbe davvero le organizzazioni delle libertà civili.

In alternativa, forse stai discutendo di uno schema generale meno di una patente di guida, nel qual caso ti suggerisco di indicare una "carta d'identità dell'azienda / studente"? Per fare questo, si utilizza un'autorità superiore (passaporto e patente di guida) per convalidare la propria identità alla società, che rilascia quindi un sub-certificato (carta d'identità aziendale) che d'ora in poi viene utilizzato come prova adeguata che la persona è effettivamente un membro di personale.

    
risposta data 09.12.2013 - 20:02
fonte
0

Risulta che PKI nel senso classico (PKIX) è piuttosto difficile da implementare a meno che non sia possibile controllare l'ambiente client che di solito è solo un'opzione in un'azienda. Per gli utenti regolari (privati cittadini) questo diventa complicato perché l'interfaccia utente nella maggior parte dei browser per fare certificati client per TLS fa schifo regalmente.

Invece alcune alternative stanno iniziando a spuntare mirate alle persone. C'è l'alleanza fido ad esempio con alcune idee interessanti. Sfortunatamente sono un gruppo molto chiuso. Fido cerca di creare una serie di protocolli di tipo PKI per l'utilizzo di token hw per l'autenticazione dei siti Web. Fido è essenzialmente un tentativo di rendere "smartcard" utilizzabile come tecnologia consumer cambiando radicalmente le interfacce e spostando l'interfaccia (usb) nel browser.

    
risposta data 16.03.2014 - 21:50
fonte

Leggi altre domande sui tag