Mehr Datenschutz für den Einzelnen mit ABC4Trust

Menschen vergessen - Systeme nicht

Menschen vergessen - Systeme nicht

Mehr Datenschutz für den Einzelnen mit ABC4Trust

Menschen vergessen - Systeme nicht


Gemäß einer von comScore veröffentlichten Statistik surfen europäische und US-amerikanische Nutzer monatlich im Schnitt 25–32 Stunden im Internet [1]. Während dieser Zeit greifen sie auf tausende verschiedener Seiten und Dienste wie Online-Banking und E-Shopping oder soziale Netzwerke zu. Die meisten Dienste verlangen die Erstellung eines personalisierten Profils, die Zugangskontrolle erfolgt durch Eingabe von Nutzername und Passwort. Eine Datenschutzfalle?

Bei verstärkten Sicherheitsanforderungen sind kryptografische Zertifikate notwendig. Zwar bieten solche Zertifikate für viele Einsatzzwecke eine hinreichende Sicherheit, jedoch bleibt die Privatsphäre der Nutzer ungeschützt. Nutzer geben ihre Identität daher oftmals unbewusst gegenüber den Dienstanbietern preis, obwohl dies zur Erbringung der Leistung oder des Dienstes nicht erforderlich wäre. Mehr als die erforderlichen Informationen zu offenbaren, gefährdet es nicht nur die Privatsphäre der Nutzer, sondern erhöht es auch die Gefahr des Identitätsmissbrauchs und -betrugs, wenn personenbezogene Informationen in die falschen Hände fallen. Ein Ziel von ABC4Trust [2], einem im November 2010 gestarteten europäischen Forschungsprojekt, ist es, aufzuzeigen, dass Systeme mit attributbasierten Zertifikaten sowohl eine sichere Authentifizierung unterstützen als auch die Privatsphäre des Einzelnen schützen. Dies unterstützt dabei unmittelbar die von der Europäischen Union mit der Digitalen Agenda verfolgten Ziele [3]. In dem vierjährigen Projekt wird die datenschutzfördernde Technik so genannter attributbasierter Zertifikate (in Englisch Attribute-based Credentials, ABCs) in Pilotversuchen erprobt. Diese ermöglichen es, genau die notwendigen Eigenschaften und Angaben nachzuweisen, ohne dabei die vollständige Identität zu offenbaren. So kann ohne die Weitergabe des Geburtsdatums oder der Adresse, wie bei einer Authentifizierung mittels Ausweises bisher üblich, trotzdem ein Nachweis erbracht werden; beispielsweise älter als 18 Jahre, Student einer bestimmten Universität oder Bürger einer bestimmten Gemeinde, Stadt oder Land zu sein.

Privacy-ABCs basieren auf kryptografischen Tools, die über die letzten Jahre entwickelt wurden. Zwei heute verfügbare, prominente Beispiele für solche Privacy-ABC-Systeme sind IBMs Idemix und Microsofts U-Prove. In den letzten paar Jahren haben auch von der EU finanzierte Projekte wie Prime oder PrimeLife viel zur Reife der Privacy-ABCs beigetragen. ABC4Trust ist dazu da, eine einheitliche Architektur bereitzustellen, die technologieunabhängig ist und Interoperabilität gewährleistet. Das Projekt setzt Privacy-ABCs auch erstmals in echten Umgebungen ein, und zwar durch zwei Pilotszenarien: eines an einer griechischen Universität und eines an einer Grundschule in Schweden. Im Folgenden gehen wir näher auf diese Pilotprojekte ein und stellen so auch die Merkmale und Möglichkeiten dieser neuen Technologie vor.

Datenschutz in Onlinebewertungen und Feedbacksystemen

Die Durchführung von Kursevaluationen ist an den meisten Universitäten der Welt zur Standardpraxis geworden. Dabei wird die Bewertung meist ohne Computerunterstützung durchgeführt, um die Privatsphäre und Interessen der Studierenden zu schützen. In Fällen, in denen sie auf Computern durchgeführt werden, müssen sich die Studenten auf den gerechten und datenschutzfreundlichen Umgang der Schule mit ihren privaten Daten verlassen können, da ihre Privatsphäre nicht durch das System geschützt ist. Damit die wichtigen und maßgebenden Ergebnisse dieser elektronischen Kursevaluation auch korrekt und glaubhaft sind, muss die Anonymität derer, die ihre Meinung preisgeben, bewahrt werden. Der erste ABC4Trust-Pilot, der an der Patras-Universität in Griechenland umgesetzt wird, ist genau auf solch ein Szenario ausgerichtet. Er wird es den Studierenden ermöglichen, durch den Einsatz von Privacy-ABCs anonym die Kurse zu evaluieren, die sie während des Semesters besucht haben.

Abbildung 1 ist eine abstrahierte Darstellung der beteiligten Parteien und der Informationen, die sie austauschen, basierend auf Privacy-ABCs. Die Hauptbeteiligten sind: der Issuer, der User und der Verifier. Allgemein stellt der Issuer den Usern ein Zertifikat aus und bürgt damit für die Korrektheit der in der Beglaubigung enthaltenen Information seitens des Users. Der Verifier bietet einen Dienst an, dessen Zugang auf die User beschränkt ist, die diese speziellen Attribute auf- und entsprechende Credentials oder Zertifikate vorweisen können.

krontiris_abc4trust_abb_1.tif_fmt1.jpgAbb. 1: Beispiel Kursevaluation: Der Studierende weist nach, dass er für den Kurs angemeldet ist und mehr als die Hälfte der Vorlesungen besucht hat

Privacy-ABCs werden wie gewöhnliche kryptografische Zertifikate (z. B. X.509-Zertifikate) unter Verwendung...