Privacy in SURFconext met polymorfe pseudoniemen

Via SURFconext kunnen studenten en medewerkers van de aangesloten instellingen inloggen bij allerlei diensten, met hun account bij de eigen instelling. Dat is erg handig, maar brengt ook privacybezwaren met zich mee. Ik schrijf mijn scriptie bij SURFnet, en doe daarvoor onderzoek naar polymorfe pseudoniemen. Dit is een technologie die een deel van de privacyproblemen op kan lossen.

Opzet van SURFconext

Instellingen hebben een koppeling gelegd met SURFconext. SURFconext is vervolgens weer gekoppeld aan allerlei dienstaanbieders. Zo kan er via SURFconext ingelogd worden bij die diensten met een account van de eigen instelling.

Surfconext voorbeeld
De opzet van SURFconext, met instellingen die aan de ene kant zijn gekoppeld aan SURFconext, en dienstaanbieders aan de andere kant.

Als een gebruiker inlogt, stuurt de instelling attributen over deze persoon naar SURFconext, bijvoorbeeld naam, e-mailadres, geboortedatum of geslacht. Bij SURFconext worden de attributen vervolgens gefilterd, zodat de dienstaanbieder alleen die attributen ontvangt die hij nodig heeft. Voor sommige attributen is dit afhankelijk van de inhoud, voor andere alleen van welk attribuut het is.

Privacy

De verstuurde attributen bevatten persoonlijke gegevens van de gebruikers. Dit betekent dat privacy een rol gaat spelen. Om de gebruikers te beschermen willen we niet dat dienstaanbieders meer informatie krijgen dan nodig. Dit wordt al voor een groot deel bereikt door attributen te filteren. Maar het is ook niet goed als verschillende diensten het profiel dat ze van een gebruiker hebben kunnen koppelen. Als meerdere diensten allemaal een beetje informatie over een gebruiker hebben, en ze kunnen dit aan elkaar koppelen, hebben ze samen een heleboel informatie over de gebruiker.

Ook de metadata van het gebruik van SURFconext is privacygevoelig. Welke diensten iemand gebruikt kan al veel informatie over die persoon onthullen.

Al deze privacygevoelige informatie wordt verstuurd via SURFconext. Dit maakt SURFconext een grote privacyhotspot.

Pseudoniemen

We willen dus de informatie die gedeeld wordt met diensten beperken, maar tegelijkertijd wil die dienst het wel weten als dezelfde gebruiker terugkomt bij een dienst. Hiervoor worden pseudoniemen gebruikt. Een pseudoniem kun je beschouwen als een willekeurige, lange reeks tekens. Bij SURFconext wordt een tabel bijgehouden met de pseudoniemen van de gebruikers. Voor elke dienst krijgt de gebruiker een ander pseudoniem, zodat diensten de profielen van één gebruiker niet kunnen koppelen. Die tabel ziet er ongeveer zo uit:

Gebruiker Dienst Pseudoniem
Hans@ru.nl Google 99034717d9c98fe392c3311a99f3fc061b48ac143d
Hans@ru.nl Elsevier 6bc669057d23823b2b10e1cefe752e84e3a57bee3
Joost@uu.nl Blackboard 95f017e176be767b2966df2357123c5e9e0178d33
Joost@uu.nl Google 5afb3592e5d8f9f9a088648d91c3a6ead2d7fc343b

SURFconext krijgt van de instelling de gebruikersnaam door. In plaats van deze direct door te sturen naar de dienstaanbieder wordt het pseudoniem opgezocht in de database, en die wordt doorgestuurd.

Polymorfe pseudoniemen

Dit systeem kan verbeterd worden met polymorfe pseudoniemen. Deze zijn gebaseerd op een cryptografische bewerking, wat als gevolg heeft dat er geen database nodig is. Maar er zitten ook privacyvoordelen aan. Polymorfe pseudoniemen zien er namelijk voor SURFconext elke keer anders uit, waardoor niet meer te zien is welke gebruiker er gebruik maakt van een dienst. Onderstaande afbeeldingen vergelijken de huidige situatie met de situatie met polymorfe pseudoniemen.

De huidige situatie met pseudoniemen uit een tabel
De huidige situatie met pseudoniemen uit een tabel
De nieuwe situatie met polymorfe pseudoniemen
De nieuwe situatie met polymorfe pseudoniemen

De instelling genereert een polymorf pseudoniem voor de studenten en medewerkers van die instelling. Als iemand in wil loggen wordt zo’n polymorf pseudoniem naar SURFconext gestuurd. Daar wordt het polymorf pseudoniem gespecialiseerd voor een specifieke dienst. Het resultaat is een encrypted pseudoniem, dat alleen bruikbaar is bij die specifieke dienstaanbieder. De dienstaanbieder pakt vervolgens het encrypted pseudoniem uit, en krijgt zo het uiteindelijke pseudoniem van de gebruiker. Zowel polymorfe als encrypted pseudoniemen zien er van buiten elke keer anders uit, en toch is het uiteindelijke pseudoniem van een gebruiker bij een dienst wel elke keer hetzelfde. Dit zorgt ervoor dat SURFconext niet ziet wie er inlogt. Ook als iemand later opnieuw ergens inlogt, kan SURFconext niet achterhalen of dit dezelfde gebruiker is of niet.

Polymorfe attributen

De attributen die SURFconext van de instellingen binnenkrijgt zijn nog wel leesbaar. Sommige van deze attributen zijn minstens zo identificerend als de gebruikersnaam die we hadden vervangen door polymorfe pseudoniemen. Zonder daar iets aan te doen zijn we dus nog niets opgeschoten. Door ook attributen polymorf te maken kan dat. De instelling stuurt dan een polymorf attribuut naar SURFconext. SURFconext kan de inhoud hiervan niet lezen, maar kan dit attribuut wel omvormen tot een encrypted attribuut wat alleen door een specifieke dienstaanbieder gebruikt kan worden. De dienstaanbieder kan het encrypted attribuut uitpakken en ontvangt zo de juiste waarde van het attribuut. Het blijft mogelijk om te filteren welke attributen er doorgestuurd worden naar een dienst, maar de inhoud van het attribuut kan daarvoor niet meer gebruikt worden.

In Control

Met polymorfe pseudoniemen houdt de instelling zelf controle over de gegevens die ze van hun studenten en medewerkers hebben. Op hoe meer plaatsen deze gegevens zich bevinden, hoe groter de kans dat er ergens iets fout gaat waardoor de gegevens in verkeerde handen komen. In de huidige situatie wordt er behoorlijk wat vertrouwen in SURFconext gesteld. Het vertrouwen dat SURFconext geen kwade opzet heeft om gegevens te misbruiken is niet zo gek, maar er wordt ook op vertrouwd dat SURFconext niet gehackt wordt, en dat er geen fouten gemaakt worden met de persoonlijke gegevens van de gebruikers. Het blijft nodig erop te vertrouwen dat er bij SURFconext geen behoefte is om persoonlijke gegevens te misbruiken, maar met polymorfe pseudoniemen worden de overige risico’s sterk verkleind.

Pilot

We zijn nu aan het kijken wat het concreet betekent om polymorfe pseudoniemen te gaan gebruiken. Kennisnet heeft voor het basis- en voortgezet onderwijs de Entree-federatie, een systeem dat vergelijkbaar is met SURFconext. We zijn met hen in overleg om een pilot uit te voeren in die Entree-federatie. Maar we willen ook graag een pilot doen met SURFconext. Daarbij kunnen we uw hulp hard gebruiken, zodat we dit bij daadwerkelijke instellingen en diensten kunnen testen. Bent u geïnteresseerd in polymorfe pseudoniemen? Dan horen we graag van u! U kunt contact opnemen met hans.harmannij@surfnet.nl.

Auteur

Reacties

Dit artikel heeft 0 reacties