Månedsarkiv: marts 2010

mar 30 2010

Forskning i biometrisk kryptering viser lovende resultater

Formålet med biometrisk kryptering er at optimere privacy så meget som muligt. Forskningen er relativ ny og der findes forskellige metoder til biometrisk kryptering, men grundprincippet i forskningen går ud på at udvikle metoder til

  • at beskytte den digitale biometriske værdi på en sådan måde, at den ikke kan føres tilbage til en bestemt person
  • at en fikseret ‘erstatningsværdi’ for den biometriske værdi ikke kan bruges til at genskabe den originale biometriske værdi og
  • at flere ‘erstatningsværdier’ af den samme biometriske værdi ikke kan genkendes op mod hinanden

Det eneste og for tiden største EU FP7 forskningsprojekt om biometrisk kryptering og biometrisk innovation i det hele taget er the Turbine Project, der løber fra 2008-2011 og som har et budget på knap 75 mill. kr. Turbine er et akronym for Trusted Revocable Biometric Identities. Konsortiet har ti medlemmer, herunder Gjøvik University College, Philips Research Europe, Precise Biometrics, Sagem Sécurité og University of Twente. Konsortiet har oprettet to rådgivende komiteer, der skal facilitere samarbejdet med hensyn til kompetencer og viden om databeskyttelse, privacy og øvrige brugerinteresser. Jeg har selv fornøjelsen at repræsentere European Privacy Institute i den ene af de to rådgivende komiteer med særlig fokus på privacy evaluering. Derudover er der deltagelse af bl.a. Berliner Beauftragter für Datenschutz und Informationsfreiheit, Commission Nationale de Informatique et Libertiés, ENISA, NIST, SWIFT og Unafhängiges Landeszentrum für Datenschutz. Man kan roligt konstatere, at konsortiet består af nogle af de fremmeste teknologileverandører, forskere og eksperter i biometri, privacy og databeskyttelse på internationalt plan i dag.

Projekideen går ud på, at

  1. transformere et fingeraftryk til såkaldte “pseudo-identiteter”
    1. parametre danner uafhængige identiteter: ID1, ID2,…IDn
    2. ingen mulighed for at linke forskellige ”pseudo-identiteter”
  2. uden mulighed for “reverse-engineering”

Det er hensigten at skabe et ID management-koncept, der indbefatter biometri og certifikater samt databeskyttelsesmekanismer ved hjælp af forskellige identiteter (pseudo, som vælger, som skattebetaler osv.) deriveret af en betroet identitet. Dette opnås ved at skabe tillid til tokenindehaveren med hans fingeraftryk, der er transformeret og substitueret i stedet for at blive krypteret. Revokation kan gennemføres uden indvirkning på det originale fingeraftryk.

Det årlige plenummøde med deltagelse af de to rådgivende komiteer fandt i år sted 18.-19. marts i smukke gamle arkitektoniske rammer i universitets- og ølbyen Leuven i Belgien og var denne gang organiseret af Katholieke Universiteit Leuven, et andet medlem af Tubine konsortiet.

Et af hovedpunkterne på mødedagsordenen er projektstatus. Projektet kan siges at have to udfordringer, dels samfundsmæssige, dels teknologiske.

De væsentligste samfundsmæssige udfordringer er:
1. biometri til brug for ID management
- hvornår er det nødvendigt at supplere login/password med en sikker token?
- skaber det mere tillid eller mere bekvemmelighed?
2. privacy: indvirkning på revokation af den beskyttede template
- et biometrisk eksemplar er persondata: specifikke management karakteristika.
- en Turbine Pseudo-identitet (PI) er deriveret af et biometrisk eksemplar: dermed er det persondata
- TURBINE faciliterer måden at håndtere persondata på: revokation, reusability, brugerkontrol, verifikation versus identifikation osv.

Forskningsprojektets teknologiske udfordringer er:
1. systemets performance
- kan resultaterne af biometrisk kryptering sammenlignes med en state-of-the-art fingeraftryksløsning?
- har forskellige leverandører en procesorienteret interoperabel løsning?
2. security ≈ irreversibilitet af pseudo-identiteten
- denne egenskab åbner døren til nye fordele: revokation, privacy-beskyttelse, multi pseudo-identiteter
- men såfremt mekanismen bliver hacket, så er “kuren værre end sygdommen”
- mulige sårbarheder: FAR angreb (false acceptance rate) osv.

Turbine har designet en komplet referenceramme for biometrisk template beskyttelse baseret på digitale pseudo-identiteter. Enrolment består af en feature extractor (biometrisk sensor) og en pseudo identity encoder (supplerende data), der henholdsvis kreerer en pseudoidentitet (PI) og såkaldt hjælpedata (AD). Feature extractoren kan enten slette eller gemme den biometriske reference. PI og AD kan gemmes på forskellig måde, enten på et smart card, en stregkode eller en central database og skal tilføre yderligere identitetsbeskyttelse til applikationen. PI sendes videre til applikationen til match (pseudo identity comparator). AD sendes videre til selve verifikationsprocessen,hvor den indgår i en pseudo identity recoder sammen med PI* (en regeneration af PI, der samtidig sendes tilbage til applikationen) og hermed udgør supplerende data sammen med et fra en biometrisk sensor frisk indfanget eksemplar, der efter brug øjeblikkelig slettes igen.

Projektet er struktureret i 4 delprojekter og forskellige scenarier bliver i samarbejde med de relevante konsortiedeltagere evalueret både teoretisk med hensyn til privacy og security og praktisk med hensyn til en flerhed af fingeraftryks-sensorer/algoritmer. Feltanalyserne, der er væsentlige for projektets succes, er komplicerede, fordi de skal tage højde for en række relationelle og variable forhold, så som sensortype, algoritme, brugeren samt miljøet. Til trods herfor så overholder den indtil dato foreløbige benchmarking, der er baseret på en række kontrollerede og ukontrollerede sessioner, de minimumstestkrav (bl.a. i henhold til ISO/IEC 19795-1), der er opstillet.

Det er min opfattelse, at the Turbine Project er det hidtil mest visionære biometriske forskningsprojekt overhovedet,idet der sættes en helt ny målestok for teknologianvendelsen. At de foreløbige testresultater har vist sig at svare til forventningerne, er for mig at se meget opmuntrende og vil derfor kunne få stor indflydelse på hvorledes f.eks. især fremtidige udgaver af EU-passet og et kommende dansk borgerservicekort skal designes.

Biometri kan betragtes i sammenhæng med de såkaldte privacy enhancing technologies (PETs) eller på dansk privatlivsfremmende teknologier. PETs er forholdsregler i et sammenhængende system af informations- og kommunikations teknologier (IKT), der beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket behandling af persondata; uden samtidig at miste datasystemets funktionalitet. PET princippet relaterer sig til biometri ud fra to synspunkter. For det første ved at betragte biometri som princippets objekt, således at implementering og anvendelse af biometri skal følge et omfattende og korrekt privacy-system med henblik på at sikre privacy-beskyttelsen. Men man kan også betragte biometri som et egentligt PET-værktøj, idet biometri kan være en del af en privacy-beskyttende metode i sig selv. Og det er netop det som er scopet for Turbine projektet, eftersom biometri anvendes til at sikre de forskellige identiteter. Man gør brug af den egenskab som er helt unik for biometri i modsætning til passwords og standard tokens, nemlig at linke den menneskelige krop til brugerens psudo-identiteter (personlige nøgler).

De af konsortiet opstillede privacy-principper og metodologi i henhold til krav og retningslinjer i ISO/IEC JTC1 (struktur og arkitektur for ID management og privacy) kan meget vel sætte en ny banebrydende standard for ID verifikation med biometri som den bærende teknologi.

Man har længe kunnet iagttage, at markedet for biometri udvikler sig alt andet end forudsigeligt og at den ikke følger den gængse adaption for såkaldt disruptiv innovation (ingen tornado effekt), uagtet at biometri teoretisk set kan betegnes som en disruptiv teknologi. Men Turbine projektet og konceptet for biometrisk kryptering kan uden tvivl fremskynde en positiv vækst.

Det er derfor vigtigt at fremhæve perspektivet i forskningen, fordi modellen tager udgangspunkt i at sikre brugerens persondata og privacy samtidig med at den effektivt eliminerer de klassiske sårbarheder ved biometri (spoofing, public domain biometrics). Hermed vil løsningerne uden tvivl bidrage til at skabe øget tillid til selve teknologien og imødegå den skepsis, der nogen steder hersker med hensyn til troværdigheden ved biometri.

mar 2 2010

Ajourføring af artikel 29-arbejdsgruppens dokument om biometri

EU´s artikel 29-arbejdsgruppe vedrørende databeskyttelse og privacy har netop offentliggjort sit arbejdsprogram for 2010 og 2011.

Arbejdsgruppen er nedsat i henhold til artikel 29 i direktiv 95/46/EF (EU´s persondatadirektiv). Det er et uafhængigt EU-rådgivningsorgan for databeskyttelse og privacy og består af de 27 EU-landes respektive datatilsyn samt Den Europæiske Tilsynsførende for Databeskyttelse. Dets opgave er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF.

I arbejdsprogrammet fremhæves det, at WG29 har til hensigt at opdatere WP80 on biometrics, som blev vedtaget 1. august 2003 og som har haft til formål at bidrage til en effektiv og ensartet anvendelse af de nationale regler om persondatabeskyttelse i henhold til Direktiv 95/46/EF for så vidt angår biometriske systemer.

Selvom dokumentet har mere end 6 år på bagen indeholder det alligevel en lang række almengyldige grundholdninger. Et af de vigtigste pointer, der støttes af adskillige datatilsynsmyndigheder er, at biometri “helst ikke bør gemmes i en database, men kun i en enhed, som udelukkende er til rådighed for brugeren, som f.eks. et mikrochipkort, en mobiltelefon eller et bankkort. Med andre ord, programmer til autentifikation/verifikation, der kan gennemføres uden en central lagring af biometriske data bør ikke omfatte overdreven brug af identifikationsteknikker”.

Synspunktet baseres på en fortolkning af direktivets formålsprincip, herunder især en evaluering af, at det samme formål ikke må kunne opnås med et mindre indgribende middel. WG29 anfører endvidere at den centraliserede lagring øger risikoen for brug af de biometriske data som nøgle til at forbinde forskellige databaser (function creep).

WG29 pointerer endvidere, at det bør undgås at systemer indsamler biometriske data uden datasubjektets (brugerens) viden og dette legitimitetsprincip indgår således også i evalueringen af behandlingen af biometriske data. Et samtykke defineres, således også i overensstemmelse med persondataloven, som en enhver frivillig, specifik og informeret tilkendegivelse, hvorved datasubjektet indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling (videregivelse).

Det noteres i dokumentet, at det såkaldte proportionalitetsprincip imidlertid har været hovedkriteriet i næsten alle afgørelser truffet af de respektive datatilsynsmyndigheder til dato vedrørende behandling af biometriske data.

WG29 konkluderer, at de fleste biometriske data indebærer behandling af persondata og at det derfor er nødvendigt fuldt ud at respektere principperne om databeskyttelse. selvom arbejdsgruppen nævner, at det fortsat påhviler industrien, at udvikle biometriske systemer, der er i overensstemmelse med databeskyttelsesregelsættet, så fremhæves det afslutningsvis, at en adfærdskodeks baseret på en dialog med alle involverede parter, vil være en perspektivrig måde at fremme databeskyttelse på.

Så vidt WG29´s dokument.

Selvom mange af de principielle synspunkter stadig er valide i dag og vil være det i en rum tid fremover, så udelukker det imidlertid ikke at der kunne være behov for en justering af artikel 29-arbejdsgruppens anbefalinger fra 2003. Man kan sige meget godt om det såkaldte proportionalitetsprincip, der som et knæsat juridisk begreb i EU-retten kræver, at et indgreb ikke er mere vidtgående end hvad formålet tilsiger. Problemet er imidlertid, at hele regimet hviler på en skønsmæssig vurdering af ukonkrete principper i forhold til meget konkrete sager. Det skaber usikkerhed for brugeren, såfremt forvaltningspraksis opleves som inkonsekvent ikke alene på nationalt plan, men også at eksempelvis det spanske datatilsyn vurderes til at have en mere lempelig fortolkning end det franske datatilsyn. Det er også uomtvisteligt, at branchen foretrækker ensartede konkurrence- og markedsvilkår på europæisk plan. Man kan fremføre, at sådan må det nødvendigvis være, især når der er tale om anvendelse af teknologi, der er i en rivende udvikling. Men det udelukker ikke, at det kan overvejes at indføre visse minimumsgarantier for brugeren, som også branchen herefter kan indrette sig efter.

I et tidligere blogindlæg har jeg stillet spørgsmålet om der er behov for en Lex Biometricus? og har fremført en række af de problemstillinger om biometri, som også fremgår af WG29´s dokument. Et af de punkter jeg her vil fremhæve, er det – efter min opfattelse – indlysende behov for at opstille ufravigelige specifikke privacy principper om f.eks. dataminimering, gennemsigtighed, optimal bruger kontrol og forbedret sikkerhed. Et sådant regelsæt på EU niveau vil have den helt afgørende konsekvens, at centrale databaser med biometriske data ikke vil kunne oprettes og hermed vil en af artikel 29-arbejdsgruppens væsentligste anbefalinger blive ophøjet til lov og der vil i manges øjne blive skabt en tiltrængt retssikerhedsmæssig klarhed.

Den opdatering af WP80, som WG29 selv lægger op til vil efter alt at dømme indgå i den igangværende revision af persondatadirektivet og der vil helt sikkert blive lejlighed til en konstruktiv dialog med WP29 og Datatilsynet om de berørte emner.