Bescherming van persoonsgegevens met geavanceerde cryptografie

Posted on: 17/09/2019 by: Kristof Verslype

De bescherming van persoonsgegevens is cruciaal voor overheidsinstellingen. Toch blijkt het vaak moeilijk om een evenwicht te vinden tussen veiligheid, kost, functionele vereisten en gebruiksgemak. Daar waar traditionele benaderingen geen bevredigende oplossingen bieden, kunnen geavanceerde cryptografische tools mogelijks een uitweg bieden.

Dit heeft enkele jaren terug onder meer geleid tot het gebruik van Threshold encryption in Vitalink. Deze blogpost licht kort een vijftal andere geavanceerde cryptografische tools toe met als doel de lezer een feeling te geven van het wellicht ongekende en dus onbeminde cryptografisch potentieel.  

Oblivious join

Er wordt regelmatig vanuit justitie onderzoek gevoerd naar specifieke burgers, bijvoorbeeld in het kader van terrorismebestrijding. Persoonsgegevens die beheerd worden door derden moeten daarbij opgevraagd kunnen worden. Denk daarbij bijvoorbeeld aan metagegevens over telefoongesprekken gekend door telecomoperatoren of aan de verschillende officiële verblijfplaatsen doorheen de tijd, wat gekend is door het Rijksregister. In een traditionele benadering vraagt justitie aan een organisatie om gegevens x, y en z over een specifieke burger aan te leveren. Er zijn echter twee bezwaren tegen een dergelijk naïeve benadering. Ten eerste is de privacy van de burger geschaad. Elke organisatie die informatie over hem of haar moet aanleveren komt immers te weten dat er een onderzoek loopt naar deze persoon. Dit kan risico's inhouden. Een tweede bezwaar dat daaruit voortvloeit is dat dit de confidentialiteit van het onderzoek kan schaden. Er zijn dus goede redenen voor een andere benadering.

Oblivious transfer werd reeds in een afzonderlijke blogpost besproken en biedt hier een antwoord op. Er zijn in dit verhaal twee betrokkenen: zender en een ontvanger. De technologie laat toe dat de ontvanger (justitie)  toegang krijgt tot een zelf gekozen record uit een set van records die door de zender (telco) gekend zijn. De ontvanger krijgt slechts toegang tot dit ene record. De zender weet niet hetwelke. Oblivious transfer beschermt aldus de privacy van de burger, alsook de confidentialiteit van het onderzoek.

Attribute-based credentials

Stel dat je als burger vuurwerk of alcohol wil aankopen. Wettelijk is dit enkel toegelaten vanaf een bepaalde minimumleeftijd. De burger kan m.b.v. haar elektronische identiteitskaart wel bewijzen dat daaraan voldaan is. Helaas geeft ze daarmee veel meer informatie prijs dan strikt noodzakelijk: haar geslacht, exacte geboortedatum, rijksregisternummer, etc. Attribute-based credentials kunnen exact dezelfde informatie bevatten, maar laten wel toe dat de burger zelf kiest welke informatie ze selectief prijsgeeft. In feite geeft de burger nooit zijn attribute-based credentials zelf prijs, maar genereert ze op basis daarvan een bewijs met daarin enkel de minimum noodzakelijke informatie. Dit bewijs wordt vervolgens getoond. In ons voorbeeld bewijst de burger dus dat ze ouder is dan 16 jaar, terwijl haar exacte geboortedatum en andere attributen verborgen blijven. Bovendien kan de burger vermijden dat verschillende aankopen van haar aan elkaar gelinkt kunnen worden. Attribute-based credentials zijn een krachtige technologie die past in de filosofie van self-sovereign identity, waarbij de burger eigenaar is van en de controle heeft over haar gegevens.

Format-preserving encryption

Encryptie laat toe data te verbergen voor partijen die niet beschikken over de juiste geheime sleutel. Het is dan ook een basisbouwsteen bij het beschermen van gegevens. Toch heeft een nadeel. Vercijferde data behoudt niet de structuur van de oorspronkelijke data. Het rijksregisternummer ‘84.04.21-154.44’ vercijferen zal met AES resulteren in iets dat niet te onderscheiden is van, typisch 32 of 64, willekeurige gekozen bytes en ziet er dus (hexadecimaal) uit als ‘3b 03 fc 37 5f 3e ea 2c 64 92 8b 3c 43 e0 33 b8 08 2b fa b8 9d f1 28 1e d5 a6 76 73 4e 74 2e a7’. Dit kan erg vervelend zijn. Indien een overheidsinstelling namelijk zou beslissen om voortaan rijksregisternummers enkel geëncrypteerd op te slaan, moet ze dus van elke database de structuur aanpassen. Format-preserving encryption onderscheidt zich van klassieke symmetrische encryptie doordat het die structuur bewaart. Het vercijferen van het rijksregisternummer van daarnet zal dus resulteren in iets er opnieuw uitzien als een rijksregisternummer. De database structuur hoeft dus niet aangepast te worden indien. Eigenlijk maakt het voor de database niet uit of de rijksregisternummers wel of niet geëncrypteerd zijn. FPE kan hier dus gezien worden als schil rond de database die de gevolgen bij een data breach sterk beperkt. Er kan voor geopteerd worden bepaalde informatie in het rijksregisternummer ongewijzigd te laten. Zo zou het rijksregisternummer van een vrouw er geëncrypteerd nog steeds uit kunnen zien als een rijksregisternummer van een vrouw, wat wil zeggen dat het negende decimale cijfer even blijft.

Ringhandtekeningen

Stel dat een ethisch bestuurslid, genaamd Aristoteles, in een onethisch geworden bedrijf, genaamd Evil Corp, confidentiële informatie aan de pers wil lekken, maar toch wil garanderen dat de informatie wel degelijk afkomstig is van één van de bestuursleden. Een klassieke elektronische handtekening, waarbij Aristoteles ondertekent met zijn private sleutel en de pers de handtekening verifieert met de overeenkomstige publieke sleutel, volstaat hier niet, gezien dit Aristoteles zou identificeren. Aristoteles genereert dus een ringhandtekening in naam van het bestuur. De pers komt enkel te weten dat iemand uit het bestuur de gelekte data ondertekend heeft, maar kan onmogelijk achterhalen wie. Om zo’n handtekening te creëren gebruikt Aristoteles zijn eigen private sleutel en de publieke sleutels van de andere bestuursleden. Om de handtekening te verifiëren zijn de publieke sleutels vereist van alle bestuursleden. Niemand kan uit de handtekening achterhalen dat Aristoteles achter het lek zat, maar de verifieerder weet wel dat het een bestuurslid was.

Homomorphic encryption

Kunnen we een externe partij, zoals een cloud aanbieder, operaties laten uitvoeren op gegevens zonder dat die externe partij toegang krijgt tot die gegevens? Dit lijkt misschien onmogelijk, maar is het niet dankzij homomorfe encryptie.  Laat ons even kijken naar één specifieke operatie, namelijk de optelling. Homomorfe encryptie laat, ietwat vereenvoudigd, toe dat de optelling van twee vercijferde waardes resulteert in de vercijfering van de optelling van die twee waardes: encryptie(10) + encryptie (5) = encryptie (15). De externe partij die deze operatie uitvoert komt noch de twee input waardes noch de outputwaarde te weten. Dit komt enkel de entiteit te weten de beschikt over de decryptiesleutel. Die waardes kunnen natuurlijk ook gevoelige persoonsgegevens zijn en de berekeningen kunnen veel complexer zijn. Zo zou met homomorfe encryptie berekend kunnen worden op hoeveel pensioen u recht heeft en of u een erfelijke aandoening heeft. Dit alles zonder dat de exterene partij die dit berekent ook maar iets te weten komt over u. Uw privacy wordt aldus veel beter beschermd.

Er wordt een onderscheid gemaakt tussen partiële homomorfe encryptie en volledige homomorfe encryptie. De eerste is maar homomorf over één operatie (vb. de optelling), terwijl de laatste elke mogelijke operatie ondersteund. Volledige homomorfe encryptie lijkt dus aangewezen, ware het niet dat ze heel wat rekenkracht vereist. Daardoor is ze in de praktijk in vele gevallen vandaag nog onbruikbaar. Het is voorlopig wachten op nieuwe doorbraken in dit veelbelovende domein. Partiële encryptie is nuttige, maar dan eerder indirect, namelijk voor het bouwen van cryptografische protocols die dan op hun beurt weer een businessbehoefte afdekken.

Conclusie

Zoals bovenstaande voorbeelden aantonen, laat cryptografie zaken toe die voor velen op het eerste zicht intuïtief onmogelijk lijken. Daardoor worden haar krachtige mogelijkheden helaas al te vaak zelfs niet eens in overweging genomen. Het doel van deze en andere blogposts rond cryptografie is dan ook om een zeker bewustzijn te creëren rond het potentieel van geavanceerde cryptografische tools.

Toch zitten er mogelijks addertjes onder het gras. Ten eerste kan sleutelbeheer lastig worden. Ten tweede vereisen cryptografische protocols meer resources (zoals rekenkracht en bandbreedte), wat dus de efficiëntie aantast. Ten derde kan cryptografie, doordat het soms weinig intuïtief is, met argwaan bekeken worden. Hoewel het een rigoureuze wetenschap is, lijkt het door zijn complexiteit wat op zwarte magie waar je beter niet op vertrouwt.

Het zou het jammer zijn ons daardoor al bij voorbaat te laten afschrikken. Niet zelden zijn verbazend elegante oplossingen mogelijk dankzij cryptografie en worden zelfs nieuwe mogelijkheden gecreëerd. Momenteel werkt Smals Research in samenwerking met anderen binnen de sector aan een aantal innovatieve toepassingen waar we te gepasten tijde over zullen communiceren.

Ziet u ondertussen zelf mogelijke toepassingen van cryptografie dan horen of lezen we dit graag en bekijken we samen met uw organisatie de mogelijkheden.

Noteer alvast in uw agenda 28 november 2019 of 5 december, telkens vanaf 13:30 voor onze infosessie die uitgebreider ingaat over de mogelijkheden van geavanceerde cryptografie ter bescherming van persoonsgegevens. 

 

Dit is een ingezonden bijdrage van Kristof Verslype, cryptograaf bij Smals Research.  Dit artikel werd geschreven in eigen naam en neemt geen standpunt in namens Smals.