Durchsetzung von Privacy Policies in Dienstenetzen
Prof. Dr. Günter MüllerDr. Sven Wohlgemuth
Institut für Informatik und Gesellschaft (Telematik)Albert-Ludwigs-Universität Freiburg
inSel-Auftakttreffen in Saarbrücken22. Dezember 2008
2Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Agenda
• I. Szenario: Medizinische Dienstleistungen– Probleme der Privatsphäre– Schutzmechanismen
• II. Freiburger Beitrag zur Durchsetzung der Nutzungskontrolle– Evidenz durch Monitoring– Delegation von Rechten
• III. Zu besprechen– inSel-Sicherheitsablauf– Positionierung und Schnittstellen
3Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Privatheitsmodell
Dienstleister
Daten-anbieter
Daten-anbieter
Daten-konsument
Daten-konsument
d d,d’
Patient WeitererDienstleister
Pretschner, Hilty, Basin, 2006.
• Zugriffs-kontrolle
NutzungskontrolleinSel: Policyeinhaltung zur- Weitergabe und- Nutzung persönlicher Daten
4Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
I. Szenario: Medizinische Dienstleistungen
Beziehung zu der Identität
MedizinischeDienstleistungen
Infrastruktur derel. Gesundheitskarte
Das Versprechen zur PrivatsphäreAlle personenbezogenen Daten werden nach den rechtlichen Anforderungen undentsprechend der Einwilligung des Patienten erhoben, weitergegeben und verarbeitet.
5
Grundproblem
- Which data items make up the patient record?
- Where have they been propagated (copied, forwarded, used, …)?
6Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Optionen für Mechanismen
DienstleisterDienstleister Dienstleister
d,d’d
Daten-konsument
Daten-konsument
Daten-anbieter
Persönliche Daten
Nutzung Weitergabe
• Zugriffskontrolle (DRM)• Evidenz durch Monitoring (ExaMINA)
• Sticky Policies (Adaptive Privacy Management)• Delegation von Rechten (DREISAM)
7Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Agenda
• I. Szenario: Medizinische Dienstleistungen– gematik und Probleme der Privatsphäre– Schutzkonzepte
• II. Freiburger Beitrag zur Durchsetzung der Nutzungskontrolle– Evidenz durch Monitoring– Delegation von Rechten
• III. Zu besprechen– inSel-Architektur– Positionierung und Schnittstellen
8Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Sicheres Logging: BBox
• LogView: Nutzerbezogene Sicht auf Logeinträge
• Anforderungen• Genauigkeit:
Einträge wurden nicht verändert• Vollständigkeit:
Es wurden keine Einträge gelöscht• Eindeutigkeit:
Logdatei spiegelt die Wirklichkeit wider• Vertraulichkeit:
Logeinträge dürfen nicht von unbefugtengelesen werden
• Krypto-Bausteine• Prüfsumme• „Evolving“ Krypto-Schlüssel• Signierte Hash-Ketten
Eintrag
Eintrag’
Accorsi, 2008
9Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
II. Evidenz durch Monitoring: ExaMINA
Log View Vorlage zuGegenbeispielen
Policy
Audit Algorithmus
Evidenz
Menge von Regeln
Situationen derRegelverletzungen
MengevonEinträgen
Suche Einträge,die Vorlage instanzieren
Menge von Gegenbeispielen
Input
Output
Ablauf:
Accorsi, 2008
10Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Evidenz: Screenshot
VerletzteRegel
Vorbedingungfür
Zugriff wurdeverletzt
Accorsi, 2008
11Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Delegation von Rechten: DREISAM
Daten-konsument
Daten-konsument
Daten-anbieter
Daten-anbieter
Policy 1
Vor Datenanfrage: Delegation von Regeln für Datenweitergabe
Wohlgemuth, 2008
Patient Dienstleister
Durchsetzung einer Policy durch TTP Kontrollierte Delegation
Nicht-VerkettbarkeitPseudonymisierte Delegation von Zugriffsrechten
Policy 2
d
d’
12Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
DREISAM: Protokolle
PKI-basierte Protokolle:
1. Delegation von Rechten 2. Widerruf von delegierten Rechten
• Ausstellung von Credentials durch CA• Kombination von Proxy Credential und anonymisierte Credentials
Wohlgemuth, 2008
13Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
DREISAM: Implementierung
A: Nachfrage nach persönlichen Daten
B: Ausstellung eines Proxy Credentials
C: Ausstellung eines anonymisierten Credentials
D: Zugriff auf persönlichen Daten
Für inSel: Kryptograpische Bibliothek von FlexSecure Wohlgemuth, 2008
14Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Agenda
• I. Szenario: Medizinische Dienstleistungen– gematik und Probleme der Privatsphäre– Schutzkonzepte
• II. Freiburger Beitrag zur Durchsetzung der Nutzungskontrolle– Evidenz durch Monitoring– Delegation von Rechten
• III. Zu besprechen– inSel-Sicherheitsablauf– Positionierung und Schnittstellen
15Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
III. inSel-Sicherheitsablauf
Dienstleister
Patient WeitererDienstleister
CA
Policy
d
Policy* d
ErweiteteriManager
Zertifizierung
Authentifizierung
Autorisierung
Log View
16Durchsetzung von Privacy Policies in Dienstenetzen Prof. Dr. Günter Müller, Universität Freiburg
Positionierung und Schnittstellen
• Positionierung: Entwicklung Delegation von Rechten
• Schnittstellen– Benutzungsschnittstelle (mit Lohmann & Birkner)– Zugriffsregeln (mit Lohmann & Birkner und Universität Passau)– Delegationsprotokoll (mit FlexSecure)– Loggingprotokoll (mit Sirrix)