Revocable privacy

Over de auteur

dr. Jaap-Henk Hoepman is senior onderzoeker op het gebied van security en cryptografie bij TNO en de Radboud Universiteit Nijmegen. Zijn onderzoek richt zich op identity management, RFID en de privacy aspecten daarvan.

Inleiding

Veiligheid en privacy worden ten onrechte als elkaars tegenpolen gezien. Privacybeschermers en hoeders van de (maatschappelijke) veiligheid zijn blijven steken in vastgeroeste standpunten en voeren een loopgravenoorlog. Hierdoor gaan oplossingen voor veiligheid ten onrechte ten koste van de privacy. En wordt bij de ontwikkeling van privacy-enhancing technologien te weinig rekening gehouden met redelijke veiligheidswensen.

In dit artikel wordt het revocable privacy concept uitgelegd. Dat concept is bedoeld om systemen te ontwikkelen die zowel veilig als privacyvriendelijk zijn. Technieken voor revocable privacy bestaan, en kunnen worden ingezet voor zaken als rekeningrijden en DigiD. Revocable privacy brengt veiligheid n privacy samen, in een poging de loopgravenoorlog te slechten.

Security versus privacy: een loopgravenoorlog

Maatschappelijke veiligheid staat hoog op de politieke agenda. Of het nu gaat om criminaliteitsbestrijding, terrorismebestrijding of crisisbeheersing, burgers verwachten een daadkrachtige overheid.

Het is moeilijk aan het publiek uit te leggen dat producenten van kinderporno zonder belemmeringen hun gang kunnen gaan op internet. Dat de politie met tenminste n hand op de rug gebonden de criminaliteit moet bestrijden terwijl de criminelen alle wetten wel aan hun laars kunnen lappen. Als uitwisseling van gegevens tussen de gezinsvoogd, de teamleider van het Bureau Jeugdzorg, de Raad voor de Kinderbescherming en het Advies- en Meldpunt Kindermishandeling een drama als de dood van de kleuter Savanna had kunnen voorkomen, dan moeten we dat toch gewoon doen?

Het belang van privacy wordt in deze discussie stelselmatig ter zijde geschoven. En dat heeft misschien ook te maken met het soms extreme standpunt van privacybeschermers die legitieme veiligheidswensen ter discussie stellen. Die in feite dezelfde fout maken als de securityadepten: namelijk dat privacy boven security te prevaleren zou zijn. Dit heeft geresulteerd in een loopgravenoorlog tussen het privacy- en securitykamp, die in ieder geval de privacy geen goed heeft gedaan.

In dit artikel wil ik een brug slaan tussen beide kampen, middels het revocable privacy concept. Maar eerst wil ik kort het belang van zowel security als privacy beschrijven, als een eerste blik in de loopgraaf van de tegenstander.

Privacy: een andere metafoor

De opkomst van de computer in de jaren zestig, en later de opkomst van de computernetwerken hebben ervoor gezorgd dat informatie alomtegenwoordig is, onvergankelijk is, en eenvoudig te doorzoeken en te combineren is. Maar betekent dit dan ook dat de privacy van de burger door deze ontwikkelingen is geschaad? En hoe erg is dat dan? Hiervoor moeten we op zoek naar de juiste betekenis van privacy en het gebruik van persoonlijke gegevens.

Privacy betreft de bescherming van de persoonlijke levenssfeer. Deze is onder te verdelen in informationele privacy (persoonlijke gegevens), relationele privacy (welke relaties heb ik ten opzichte van andere individuen), ruimtelijke privacy (waar bevind ik mij op dit moment) en lichamelijke privacy (lichamelijke integriteit).

Zonder adequate privacybescherming wordt allerlei persoonlijke informatie gebruikt om een profiel over ons op te bouwen. Dit profiel wordt vervolgens gebruikt om beslissingen voor of over ons te nemen: "u mag tot maximaal x euro geld lenen", "u bent genteresseerd in erotiek en wilt hierover wekelijks reclame ontvangen", "u mag geen lid worden van y", "we hebben een kandidaat voor de functie gevonden die toch geschikter is", "nee, het spijt ons, maar uw naam komt voor op een lijst met potentile terroristen dus u mag niet meer vliegen". Het leidt tot uitsluiting, willekeur en dergelijke. En aangezien de profielen niet openbaar zijn, kan niemand controleren of ze wel kloppen. Vaak is dit niet het geval (veel databases bevatten verouderde of simpelweg foute gegevens), wat betekent dat er beslissingen genomen worden op basis van onjuistheden!

Een pakkende metafoor is gebaseerd op het boek "Het Proces" van Franz Kafka [Solove]. In dit verhaal wordt de hoofdpersoon op een dag op de hoogte gebracht van het feit dat hij een overtreding heeft begaan. Verder verandert er niets. Hij wordt niet gevangen gezet. Hij weet niet eens welke overtreding hij heeft begaan. De rest van het boek beschrijft de eindeloze en vruchteloze zoektocht van de hoofdpersoon naar het hoe en waarom ervan.

De metafoor van het proces van Kafka geeft, veel beter dan de afschrikwekkende "Big brother" metafoor, weer waar het probleem van een gebrek aan privacy ligt. En het laat ook goed zien dat dit iedereen raakt. Niet alleen de celebrity's (maar die worden tenminste nog redelijk gecompenseerd voor hun gebrek aan privacy), de allochtonen, of de onderkant van de samenleving: nee, iedereen heeft of krijgt hiermee te maken.

Security: een redelijke wens

De samenleving verwacht een steeds hogere mate van maatschappelijke veiligheid (in dit artikel security genoemd om het te onderscheiden van het in het Engels safety genoemde begrip). Hiervoor zijn een aantal goede argumenten aan te wijzen.

Ten eerste zijn er steeds meer technologische mogelijkheden (bijvoorbeeld DNA technieken, of camera toezicht) om daders van misdrijven op te sporen. Als daders zo eenvoudig te achterhalen zijn, dan is het niet meer dan logisch dat hiervan gebruik wordt gemaakt [DvD].

Ten tweede is door de opkomst van het Internet een voor burgers vrij ongrijpbare en soms bedreigende vorm van misdaad ontstaan: cybercrime. Denk aan identiteitsfraude, credit card misbruik, of 419 fraude (genoemd naar de van oorsprong Nigeriaanse zwendel door middel van email spam). Om het Internet voor iedereen toegankelijk te houden moet het gebruik daarvan wel veilig zijn.

En in de laatste plaats is er de continue dreiging van terroristische aanslagen, die een ontwrichtend effect op de samenleving kunnen hebben. Deze moeten te allen tijde voorkomen worden.

Alle voorgestelde maatregelen voor het verhogen van de maatschappelijke veiligheid (cameratoezicht, justitieel tappen, biometrische paspoorten, koppelen van databestanden en uitwisseling van gegevens) verzamelen of gebruiken grote hoeveelheden informatie, zonder aanziens des persoons.

Naar een oplossing: Architectuur is politiek

Naar onze mening ligt de sleutel tot het opheffen van de schijnbare tegenstelling tussen security en privacy in de keuze van de juiste systeemarchitectuur. Met andere woorden: de oplossing is van technologische en niet van procedurele aard. De reden hiervoor is de volgende.

De architectuur van een systeem bepaalt niet alleen hoe een systeem op dit moment functioneert, maar ook hoe het zich in de toekomst kan ontwikkelen (en ook hoe het zich niet kan ontwikkelen). Architectuur schept mogelijkheden, maar kadert ook in. Het is in zekere zin een abstracte filosofie over hoe de wereld (in ieder geval de wereld waarin het systeem opereert) in elkaar zit. Niet alleen in prescriptieve zin, maar zeker ook in normatieve zin. Een goede systeemarchitectuur garandeert een hoog securitynivo dat niet op n of andere manier te omzeilen is. Op diezelfde manier garandeert een goede systeemarchitectuur dat ook in de toekomst de privacy van haar gebruikers niet in gevaar kan komen, simpelweg omdat die informatie binnen de architectuur niet beschikbaar is.

Architectuur is in die zin vergelijkbaar met wet- en regelgeving. Niet voor niets noemde Lawrence Lessig het boek, waarin hij vergelijkbare ideen uitwerkte "Code, and other laws of cyberspace" [Lessig].

Het belang van de keuze voor een juiste architectuur ligt besloten in het cruciale verschil tussen architectuur en wetgeving. Wetten kunnen zomaar veranderen. Voor architectuur geldt dit niet. Die is min of meer onveranderbaar. De crux is om in de architectuur van het systeem zowel de security als de privacy eisen mee te nemen. De security en privacy eigenschappen zijn dan in het systeem gebakken en later niet meer te veranderen. Function creep (het toepassen van een systeem voor andere doeleinden dan waarvoor het oorspronkelijk ontworpen is) wordt zo een stuk lastiger. Maar dit maakt in feite de architectuur van een systeem (net als de keuze voor bepaalde wet- en regelgeving) een politieke keuze. Met andere woorden: "architectuur is politiek". Deze keuze moet derhalve op basis van politieke argumenten genomen worden. De consequenties van de architectuur moeten bij het nemen van de beslissing dan wel bekend en onderkend worden.

Security n privacy

De vraag is of een verhoging van de veiligheid altijd, per definitie, een aantasting van de privacy moet betekenen. En andersom, of iedere verbetering van de privacy altijd leidt tot een aantasting van de veiligheid. Kunnen security n privacy niet tegelijkertijd verbeterd worden? Naar onze mening is dat zeker mogelijk. Dit doel kan namelijk bereikt worden door middel van zogenaamde revocable privacy technieken.

Revocable privacy

Als we in technische zin over privacy spreken, dan hebben we het over de eigenschappen als anonimiteit/pseudonimiteit, onlinkbaarheid en ontraceerbaarhied [Pfitzmann]. Waar bij onlinkbaarheid de eis is dat twee zaken niet met elkaar in verband kunnen worden gebracht (bijvoorbeeld een gebruiker als afzender van een bepaald email bericht), is bij ontarceerbaarheid de eis dat niet eens vastgesteld kan worden f er een email verstuurd is. Elk van deze eigenschappen zorgt ervoor dat een systeem de privacy van haar gebruikers tot op een bepaald niveau beschermt. Privacy-enhancing technologies (PET) implementeren n of meer van bovenstaande eigenschappen.

Het probleem (voor security) is dat dergelijke privacy-enhancing technologies de privacy ongelimiteerd en onconditioneel aanbieden. Wat er ook gebeurt, de privacy van de gebruiker blijft gewaarborgd. Zoals hierboven al uitvoerig is geschetst is dat vanuit security-oogpunt onaanvaardbaar.

Revocable privacy is een concept dat voor dat probleem een oplossing biedt. Een systeem implementeert revocable privacy als de architectuur van het systeem garandeert dat persoonlijke gegevens slechts dan beschikbaar komen als aan een aantal vooraf gedefinieerde voorwaarden is voldaan. Welke voorwaarden dat zijn hangt af van de toepassing van het systeem. Bij rekeningrijden kan men er bijvoorbeeld voor kiezen om de privacy op te heffen voor automobilisten die doorrijden na een dodelijk ongeluk, maar niet voor alle automobilisten die te hard rijden op de snelweg. Merk op dat degarantie door de architectuur afgedwongen moet worden, en niet enkel vastgelegd is door regels of procedures. Er kunnen ook nog een aantal extra eisen gesteld worden

Een andere, iets abstractere, formulering wordt bereikt door gebruik te maken van privacy policies. In dat geval implementeert een systeem revocable privacy als de architectuur van het systeem een stricte privacy policy S garandeert, tenzij het gedrag van gebruiker g aan een bepaalde voorwaarde X voldoet. Dan treedt, alleen voor gebruiker g, de zwakke (privacy) policy Z in werking. De zwakke policy Z beschrijft welke gegevens aan wie worden doorgegeven (ten einde het misbruik te bestrijden).

Er zijn hierbij een aantal mogelijke varianten.

In de eerste, zogenaamde self-enforcing, variant is het systeem zo ingericht dat persoonsgegevens alleen vrij kunnen komen als aan de voorwaarden voor vrijkomen voldaan is. Het is dus een technische beperking (vergelijkbaar met de beperking dat men niet sneller kan reizen dan het licht) en niet een procedurele. Echter, self-enforcing systemen blijken lastig te maken te zijn.

De tweede variant is algemeen toepasbaar, maar geeft duidelijk minder garanties. Hierin wordt de toegang tot de gegevens bewaakt door een onafhankelijke derde partij, de zogenaamde trusted third party. Deze controleert (middels een vooraf opgestelde en vastgelegede procedure) of aan de voorwaarden voor het opheffen van de privacy is voldaan. Hierbij moet dus wel vertrouwd kunnen worden op de integriteit van deze derde partij. Ook mogen er geen situaties ontstaan waardoor de procedures of de voorwaarden later veranderd kunnen worden. Dit is echter moeilijk te garanderen. Desondanks is zo'n systeem wel degelijk beter dan enkel te vertrouwen op wet- en regelgeving. De systeemeigenaar noch de trusted third party kan namelijk op eigen houtje de persoonlijke gegevens van de betrokkenen boven tafel krijgen. Ze zullen daarbij moeten samenspannen. Het is daarbij zelfs mogelijk om het systeem zo in te richten dat de rol van trusted third party over verschillende partijen verdeeld wordt. Het idee is dan dat toegang tot de persoonlijke gegevens alleen verkregen kan worden als een meerderheid van de trusted third parties daarvoor toestemming geeft.

Welke variant er ook gekozen wordt, de eis is dat geen van de partijen eigenhandig persoonlijke gegevens uit het systeem kan halen. Daar is altijd medewerking van een andere partij voor nodig (in het geval van self-enforcement door het feit dat de gebruiker de regels overtreden heeft).

Voorbeelden

DigiD

Het eerste voorbeeld betreft DigiD, een eigen inlogcode voor de burger die toegang geeft tot alle persoonlijke internetdiensten die de overheid aanbiedt. DigiD is dus een soort identitymanagementsysteem, dat hiervoor het burgerservicenummer (BSN) van de inloggende gebruiker doorgeeft aan de desbetreffende overheidsdienst.

Er is sprake van om DigiD ook open te stellen voor het gebruik door commercile diensten. Op het eerste gezicht lijkt dat wel handig. Men hoeft als burger niet wr een nieuwe inlogcode te onthouden. Bovendien kan men adresgegevens en dergelijke automatisch laten overnemen door de dienst. Probleem is echter wel dat DigiD het BSN doorgeeft aan de commercile dienst. En dat betekent dat niet alleen alle transacties met overheidsdiensten gekoppeld kunnen worden via het BSN, maar ook alle transacties met commercile diensten. Dat is zeer interessante en ook privacygevoelige informatie. Denk DoubleClick - maar dan nog veelomvattender.

Dat kan ook anders. Sterker nog, dat kan op een revocable privacy manier. Als een gebruiker zich inlogt voor dienst D, geeft DigiD niet zomaar het BSN door. In plaats daarvan versleutelt hij het BSN samen met de naam van de dienst, D dus, en stuurt het resultaat door naar de dienst. Hiervoor gebruikt hij de publieke sleutel van een trusted third party. Het resultaat is eigenlijk een soort BSN-pseudoniem (dat kan worden "ontmaskerd" door de TTP.

Voor DigiD bestaat dus de mogelijkheid om, door middel van revocable privacy op basis van een TTP, gebruik door commercile partijen op een veilige en privacyvriendelijke manier mogelijk te maken.

Digitaal geld

Zoals gezegd bestaan er ook self-enforcing vormen van revocable privacy. En daarvan is specifiek bedoeld om het twee keer uitgeven van digitaal geld onmogelijk te maken. Deze methode is in de jaren 80 bedacht door David Chaum [Chaum], en werkt als volgt.

Grofweg komt het idee op het volgende neer. In de munt wordt een tabel opgenomen van twee kolommen en zeg een twintigtal rijen. Ieder rij bestaat dus uit twee velden. In het linkerveld staat een sleutel. In het tweede veld staat de naam van de eigenaar, versleuteld met die sleutel. De sleutels in iedere rij zijn willekeurig gekozen. Ieder veld afzonderlijk bevat dus geen bruikbare informatie. Echter, een linker- en een rechterveld uit n en dezelfde rij maken het mogelijk om de naam van de eigenaar te ontcijferen.

Bij het uitgeven van de munt geeft men niet de hele tabel aan de verkoper. Men geeft per rij of het linker- of het rechterveld. De verkoper vraagt hierom, per rij, en wel willekeurig. Zo verkrijgt de verkoper een 'halve' munt, die hij (voor de volledige waarde) inlevert bij de bank. Als de munt nog een keer wordt uitgegeven, vraagt de tweede verkoper op dezelfde manier om het linker- dan wel het rechterveld van iedere rij in de tabel. En krijgt zo ook een 'halve' munt. Als vervolgens deze munt ook wordt ingeleverd bij de bank, ziet de bank dat deze twee keer is uitgegeven. De bank pakt nu beide halve tabellen uit beide munten. Omdat beide verkopers onafhankelijk van elkaar kiezen, is er met grote kans een rij waar de ene verkoper links koos waar de andere rechts koos. En zo wordt dan de naam van de oorspronkelijke eigenaar achterhaald. Zonder een tweede 'halve' munt heeft de bank niet genoeg informatie en is de privacy gewaarborgd.

We zien dat de privacy dan en slechts dan wordt opgeheven als de regel ("je mag een munt maar n keer uitgeven") wordt overtreden.

Conclusies

Door technologische veranderingen (computerisering, en de opkomst van het wereldwijde internet) is privacy steeds verder onder druk komen te staan. In de politiek staat de veiligheid van de samenleving hoog op de agenda, en wordt privacybescherming als een belemmering gezien. De metafoor van "Het proces" van Kafka laat zien hoe gevaarlijk het is om ongelimiteerd gegevens over personen te verzamelen en te gebruiken om buiten hen om beslissingen over hen te nemen.

Revocable privacy is een techniek waarbij de privacy van de gebruikers blijft gewaarborgd, tenzij vooraf opgelegde regels zijn overtreden. Revocable privacy slaat een brug tussen security en privacy en laat zien dat veilige n privacyvriendelijke systemen te bouwen zijn.

In specifieke gevallen zijn er technische oplossingen voor revocable privacy. Meer onderzoek naar meer bredere toepassingen en algemenere technieken is zeker nodig. Naast anonimiteit zou ook ontraceerbaarheid en onlinkbaarheid op een revocable manier ingezet moeten kunnen worden. Hoe dit moet is nog niet duidelijk. Self-enforcing vormen van revocable privacy zijn aanmerkelijk lastiger te realiseren. Ook hier is meer onderzoek nodig.

Het voorbeeld van DigiD laat zien hoe anonimiteit (en deels pseudonimiteit) op een revocable manier kan worden ingericht met behulp van een TTP. Dit is een eerste, algemeen toepasbare, stap in de goede richting. Boven alles is revocable privacy een filosofische benadering, een manier van kijken naar mogelijke oplossingen voor het inrichten van een systeem dat zowel de veiligheid als de privacy respecteert. En wie kan daar nou tegen zijn?

Bibliografie

[Lessig] Lawrence Lessig: "Code and other laws of Cyberspace", Basic Books, 1999.

[Solove] Daniel J. Solove: "I've Got Nothing to Hide" and Other Misunderstandings of Privacy, San Diego Law Review, 44: 745, 2007.

[DvD] Data voor daadkracht. Gegevensbestanden voor veiligheid: observaties en analyse. Rapport van de Adviescommissie Informatiestromen Veiligheid, april 2007.

[Pfitzmann] Andreas Pfitzmann, Marit Hansen: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management A Consolidated Proposal for Terminology (Version v0.31 Feb. 15, 2008) See http://dud.inf.tu-dresden.de/Anon_Terminology.shtml