Blockchain Technologia Blockchain jest nowatorskim rozwiązaniem w zakresie ochrony prywatności i ryzyka związanego z przechowywaniem i utrzymywaniem danych. danych biometrycznych. Blockchain jest formą technologii rozproszonego rejestru, która współdzieli infrastrukturę między kilkoma podmiotami. cyberbezpieczeństwo zastosowań. Leży ona u podstaw kryptowalut takich jak Bitcoin i ma potencjalną rolę do odegrania w weryfikacji tożsamości, integralności łańcucha dostaw i zapewnieniu pochodzenia danych. Zasadniczo umożliwia on dystrybucję informacji cyfrowych, ale nie ich kopiowanie. Dane są organizowane w bloki, a następnie łączone w łańcuchy, co oznacza, że są bezpieczne dzięki swojej konstrukcji i trwałości. Kluczowe różnice między blockchainem a tradycyjnym przechowywania danych metody są takie, że dane są zdecentralizowane i są odporne na manipulacje – lub, w niektórych zastosowaniach, skutecznie odporne na manipulacje. Ponadto, ponieważ każdy blok zawiera znacznik czasu i odniesienie do poprzedniego bloku, informacje są przechowywane w sposób liniowy, co ułatwia dostęp do danych i ich utrzymanie. Cechy te sprawiają, że blockchain jest atrakcyjną propozycją dla każdego systemu, który zarządza i przechowuje poufne informacje.
Prywatność użytkownika jest główną kwestią w rozwijającej się dziedzinie uwierzytelniania biometrycznego. Przed pojawieniem się biometrii prywatność w domenie cyfrowej koncentrowała się na obszarze zapobiegania nieautoryzowanemu gromadzeniu danych osobowych i ich niewłaściwemu wykorzystaniu. Jednak w kontekście uwierzytelniania biometrycznego pobranie próbki biometrycznej, takiej jak odcisk palca, to dopiero początek procesu. Po przechwyceniu tych danych są one przekształcane w szablon, matematyczną reprezentację próbki, i to właśnie te dane są faktycznie wykorzystywane przez system. W związku z tym konieczne jest jedynie uzyskanie dostępu do danych szablonu w celu naruszenia danych biometrycznych danej osoby. Ponadto dane biometryczne, raz skradzione lub uzyskane w inny sposób, nie mogą zostać zastąpione, a osoby są zmuszone żyć ze zwiększonym ryzykiem kradzieży tożsamości do końca życia. Z tych i wielu innych powodów prawnych, społecznych i etycznych, zapobieganie nieautoryzowanemu dostępowi do osobistych danych biometrycznych stało się głównym celem badań i rozwoju w tej dziedzinie.
Uwierzytelnianie biometryczne to nowoczesne podejście do bezpieczeństwa. Wykorzystuje ono unikalne cechy biologiczne, takie jak odciski palców, wzory tęczówki i rozpoznawanie głosu w celu ustalenia i potwierdzenia tożsamości danej osoby. Technologia biometryczna istnieje od wielu lat i szybko się rozwija, szczególnie w obszarach takich jak egzekwowanie prawa, ale do niedawna jej zastosowanie było ograniczone do zastosowań o wysokim poziomie bezpieczeństwa, finansowych lub związanych z wymiarem sprawiedliwości w sprawach karnych. Jednak komercyjna dostępność urządzeń takich jak smartfony i tablety, które umożliwiają uwierzytelnianie biometryczne, sprawia, że technologia ta staje się dostępna dla każdego. Wraz z rozwojem smartwatchów i innych urządzeń do noszenia, które mogą monitorować puls i inne czynności, oczywiste jest, że wykorzystanie biometrii będzie nadal rosło.
1.1 Przegląd uwierzytelniania biometrycznego
Uwierzytelnianie biometryczne wykorzystuje cechy fizjologiczne danej osoby do weryfikacji jej tożsamości. Ten rodzaj uwierzytelniania zazwyczaj wymaga użycia skanera biometrycznego, który jest urządzeniem odczytującym i tłumaczącym dane biometryczne na informacje cyfrowe. Wykorzystywane mogą być różne rodzaje danych biometrycznych, takie jak obrazy twarzy, odciski głosu i odciski palców. Po przetłumaczeniu danych na informacje cyfrowe są one przechowywane i wykorzystywane do weryfikacji tożsamości danej osoby. Na przykład, gdy dana osoba używa swojego odcisku palca do odblokowania smartfona, dane odcisku palca przechowywane w telefonie są porównywane z prezentowanym odciskiem palca. Telefon zostanie odblokowany tylko wtedy, gdy przedstawiony odcisk palca pasuje do zapisanego odcisku palca. Wykorzystanie danych biometrycznych do uwierzytelniania staje się coraz bardziej popularne, a wiele organizacji i firm oferuje obecnie usługi uwierzytelniania biometrycznego, takie jak wykorzystanie odcisków palców i rozpoznawania twarzy w urządzeniach inteligentnych, takich jak telefony komórkowe. Pojawiły się jednak obawy dotyczące wpływu uwierzytelniania biometrycznego na prywatność użytkowników.
1.2 Znaczenie prywatności użytkownika w uwierzytelnianiu biometrycznym
W związku z tym esej przejdzie do omówienia obecnych nastrojów panujących w branży cyberbezpieczeństwa, jeśli chodzi o zarządzanie i zabezpieczanie danych biometrycznych, zanim przejdziemy do zbadania blockchain jako sposobu zabezpieczenia takich danych.
Doskonale ilustruje to powagę sytuacji: jeśli dane biometryczne i ich prywatność nie są traktowane poważnie przez tych, którzy z nich korzystają, potencjalny wpływ, jaki mogą odczuć konsumenci i ofiary nadużyć, jest niezmierzony. Z tego powodu potencjał blockchain jako rozwiązania jest szczególnie ekscytujący. Takie gruntowne przeprojektowanie przetwarzania i przechowywania danych szablonów biometrycznych i metod biometrycznych może w końcu ominąć problemy napotykane w naszych obecnych, bardziej tradycyjnych metodach cyberbezpieczeństwa, wykorzystując właśnie tę zaletę, którą zapewniają te podstawowe elementy cyberbezpieczeństwa: decentralizację i otwarty, publicznie dostępny, ale całkowicie bezpieczny zestaw danych.
Przepisy nie uniemożliwiają jednak interesom komercyjnym i państwowym ingerowania w prywatność użytkownika, a jest to coś, co staje się coraz większym zmartwieniem w naszym coraz bardziej inwigilowanym społeczeństwie. Dzięki uczeniu maszynowemu i analityce predykcyjnej, które odkrywają bardziej zaawansowane metody profilowania, nasze dane biometryczne mogą być teraz wykorzystywane do ustalenia czegoś więcej niż tylko naszej indywidualnej tożsamości. Nie jest to tylko kwestia ochrony przed kradzieżą tożsamości lub oszustwem; ktoś mógłby teoretycznie wziąć przechowywany szablon danych biometrycznych i ekstrapolować wystarczającą wiedzę, aby dokonać szczegółowej, rzeczywistej ingerencji społecznej, budując wieloaspektowy profil życia i interakcji danej osoby poprzez połączenie konstruktora danych biograficznych.
W związku z tym znaczna część technologii związanych z tworzeniem, analizą i wdrażaniem metod biometrycznych działa zgodnie z szeregiem wymogów operacyjnych i zasad ochrony danych, takich jak te określone w brytyjskiej ustawie o ochronie danych z 2018 r. (RODO). RODO wymaga, aby użytkownicy byli informowani o tym, jakie dane są gromadzone i wykorzystywane, a dane osobowe i dane biometryczne są objęte definicją danych szczególnej kategorii, które podlegają bardziej rygorystycznym warunkom przetwarzania. Rozciąga się to na dane biometryczne w art. 9 RODO, który określa ograniczenia w wykorzystywaniu takich danych.
Nowoczesna technologia umożliwiła ogromny postęp w dziedzinie uwierzytelniania biometrycznego. Nie można jednak pominąć kluczowego charakteru prywatności w kontekście wykorzystywania ludzkiego ciała jako środka uwierzytelniania tożsamości. Ponieważ dane biometryczne odnoszą się do danych umożliwiających identyfikację osoby – oznacza to dane, które mogą być wykorzystane do identyfikacji osoby – zebranych w wyniku metod biometrycznych, zabezpieczenie tych danych jest nie tylko zalecane, ale ma kluczowe znaczenie dla ochrony konsumentów.
1.3 Wprowadzenie do technologii Blockchain
W rezultacie blockchain został uznany za potencjalne rozwiązanie w zakresie manipulacji danymi i cyberataków. Jest to szczególnie ważne w kontekście danych biometrycznych, gdzie każde naruszenie danych może mieć poważne konsekwencje dla tożsamości i prywatności danej osoby. Warto również zauważyć, że wykorzystanie łańcucha bloków umożliwiłoby rejestrowanie wszystkich działań na danych biometrycznych w jednej księdze, ze znacznikami czasu i unikalnymi podpisami kryptograficznymi. Mogłoby to zapewnić środki lepszego regulowania i monitorowania działalności firm, które gromadzą i przechowują dane biometryczne. Istnieją jednak coraz większe obawy dotyczące wysokiego zapotrzebowania na energię blockchaina w miarę wzrostu rozmiaru danych i liczby użytkowników. Jest to coś, o czym należy pamiętać, rozważając potencjał blockchain we wspieraniu zrównoważonego krajobrazu cyberbezpieczeństwa.
Kiedy dana osoba po raz pierwszy rejestruje się w celu skorzystania z systemu uwierzytelniania biometrycznego, jej dane biometryczne są skanowane i tworzony jest cyfrowy zapis tych informacji. Ten cyfrowy zapis jest następnie szyfrowany i przechowywany w “bloku” informacji w łańcuchu przy użyciu klucza prywatnego. Gdy dana osoba korzysta z systemu biometrycznego, jej dane są porównywane z zaszyfrowanymi danymi przechowywanymi w łańcuchu przy użyciu klucza publicznego. Jeśli porównanie się powiedzie, dostęp zostaje przyznany. Ten “blok” danych jest następnie oznaczany znacznikiem czasu i dodawany do poprzedniego w łańcuchu, tworząc ciągłe “łącze” danych. To właśnie ta cecha blockchain – fakt, że każdy blok zawiera unikalny kod wygenerowany na podstawie zawartości poprzedniego bloku – sprawia, że jest to tak bezpieczny sposób przechowywania danych. Ponieważ nie jest możliwa zmiana informacji w żadnym bloku bez zmiany całego łańcucha, próby włamania się do blockchaina stanowią ogromne wyzwanie. Wymagana do tego moc obliczeniowa byłaby ogromna.
Technologia blockchain została pierwotnie opracowana jako sposób przechowywania i rejestrowania transakcji Bitcoin, ale obecnie ewoluowała w technologię, która może być wykorzystywana w szeregu różnych zastosowań. W kontekście cyberbezpieczeństwa i przechowywania danych, blockchain zyskał wiele uwagi. Jest on postrzegany jako potencjalne rozwiązanie szeregu różnych wyzwań, przed którymi stoją eksperci ds. cyberbezpieczeństwa. Zasugerowano na przykład, że technologia blockchain może zostać wykorzystana do zastąpienia tradycyjnej metody uwierzytelniania za pomocą nazwy użytkownika i hasła. Technologia blockchain może pomóc nam przejść w kierunku rozwiązań uwierzytelniania bezhasłowego, wykorzystując dane biometryczne danej osoby, takie jak odcisk palca lub rozpoznawanie twarzy.
2. Wpływ uwierzytelniania biometrycznego na prywatność użytkownika
Dane biometryczne to wszelkie pomiary związane z fizycznymi cechami człowieka, takimi jak odciski palców, siatkówka oka, tęczówka oka, głos, twarz, dłoń, ucho itp. oraz behawioralnymi cechami człowieka, takimi jak chód, podpis, naciśnięcie klawisza itp. służące do identyfikacji osoby. Dane biometryczne to szczególne kategorie informacji. Dane te są uważane za “wrażliwe dane osobowe lub informacje” zgodnie z zasadami technologii informacyjnej (rozsądne praktyki i procedury bezpieczeństwa oraz wrażliwe dane osobowe lub informacje) z 2011 roku. Ustawa Aadhaar (Targeted Delivery of Financial and Other Subsidies, Benefits, and Services) Act, 2016 zezwala jedynie na wykorzystywanie informacji biometrycznych do celów rejestracji i uwierzytelniania Aadhaar. Dzieje się tak, ponieważ prawo uznaje, że jeśli ktoś inny wykorzysta dane biometryczne danej osoby, może być mu trudno to udowodnić – a ryzyko dla jego prywatności i tożsamości jest wysokie. Możemy to łatwo zrozumieć, rozważając następujący przykład: jeśli ktoś włamie się na konto chronione hasłem lub osobistym numerem identyfikacyjnym, osoba, której to dotyczy, może zmienić hasło lub kod PIN. Jednak skradziony pomiar biometryczny jest trwale zagrożony. To nie jest jak hasło, które można zmienić; jeśli odcisk palca zostanie skradziony, nie ma sposobu, aby upewnić się, że nie zostanie on wykorzystany do złośliwych celów. Ponadto, gdy dane biometryczne zostaną naruszone, nie można ich poufnie wykorzystać jako metody weryfikacji tożsamości danej osoby. Nie dotyczy to innych metod, takich jak hasła, które można zmienić i ponownie wydać. Gdy uwierzytelnianie biometryczne zostanie naruszone, dane osobowe danej osoby są narażone na większe ryzyko niż w przypadku hasła lub kodu PIN. Dane biometryczne, nawet jeśli zostaną naruszone, nie mogą zostać zmienione. Mogą być wykorzystywane do różnego rodzaju oszustw, takich jak zawstydzanie osób, prowadzenie nielegalnej działalności oraz do wielu nowych, bardziej szkodliwych ataków. Oznacza to, że osoby dotknięte kradzieżą danych biometrycznych narażone są na szereg potencjalnych szkód – od bycia wrobionym w przestępstwo po wyciek wrażliwych danych osobowych. Ponadto każdy system rozpoznawania biometrycznego ma poziom błędu rozpoznawania. Jest to miara prawdopodobieństwa nieprawidłowego rozpoznania danych wejściowych przez dany system. Na przykład, jeden z systemów wykorzystywanych do rozpoznawania odcisków palców wykazuje 2% poziom błędu. Oznacza to, że na każde 100 prób użycia odcisku palca w celu uzyskania dostępu, przewiduje się, że system nieprawidłowo odmówi wejścia 2 osobom. Po pomnożeniu przez dużą liczbę użytkowników lub transakcji, dla których może być stosowane uwierzytelnianie biometryczne, liczba błędów może być znacząca w rzeczywistych zastosowaniach. W związku z tym wyłączność danych biometrycznych może mieć potencjalnie daleko idące skutki w przypadku wystąpienia takiego błędu, zwłaszcza gdy dostęp do towarów i usług zależy od takiego uwierzytelnienia. Może to skutkować brakiem dostępu do ważnych usług, takich jak opieka medyczna lub ubezpieczenie społeczne, jeśli usługi te wykorzystują uwierzytelnianie biometryczne. Konsekwencje wyłączności informacji biometrycznych i poziom błędu, na jaki narażone są nawet najdokładniejsze systemy, są bardzo ważne do uwzględnienia w ocenie prywatności ochrony danych biometrycznych.
2.1 Gromadzenie i przechowywanie danych biometrycznych
Jedną z największych obaw związanych z wykorzystaniem danych biometrycznych jest metoda gromadzenia i przechowywania danych. Gdy dane biometryczne są początkowo przechowywane przez system, algorytm tworzy wyróżniającą się reprezentację numeryczną. Oryginalne dane biometryczne są zazwyczaj odrzucane, co oznacza, że w bazie danych przechowywana jest wyłącznie ich reprezentacja. Wielu uważa jednak, że praktyka odrzucania oryginalnych danych biometrycznych nie gwarantuje, że dane nie mogą zostać zrekonstruowane, a uporządkowana reprezentacja po prostu zmniejsza użyteczność danych, a nie ich prywatność. Wynika to z faktu, że jeśli szablon zostanie skradziony, może zostać wykorzystany do odtworzenia obrazu oryginalnej biometrii. Podczas gdy branża biometryczna twierdzi, że zrekonstruowany obraz nie jest wystarczająco dokładny, aby budzić jakiekolwiek obawy, badania wykazały, że niekoniecznie tak jest – w rzeczywistości przechowywanie szablonu i jego odpowiednia konstruowalność zostały z powodzeniem wykorzystane do krytyki publicznych systemów biometrycznych w orzecznictwie. Ponadto branżowym standardem przechowywania danych biometrycznych jest norma ISO/IEC 24745, która w artykule 4.21 stwierdza, że tymczasowe obrazy danych biometrycznych mogą być przechowywane w bazie danych lub podczas procesu importu danych. Doprowadziło to do obaw, że hakerzy mogą być w stanie celować i uzyskać dostęp zarówno do transmisji na żywo, jak i lokalnej bazy danych tych obrazów – obawa ta jest poparta powtarzającymi się przypadkami naruszenia danych, w których hakerzy uzyskali dostęp do milionów tymczasowych obrazów. Niektórzy sugerują przyjęcie systemu podobnego do tego, który można znaleźć w niektórych systemach prawnych, który zapobiega centralizacji danych biometrycznych. Na przykład amerykańskie przepisy dotyczące prywatności biometrycznej, które zostały uchwalone w 2008 r., mają tę nowatorską cechę, że w przeciwieństwie do tradycyjnych przepisów dotyczących prywatności, które chronią jednostkę przed naruszeniem jej prywatności, prawo biometryczne ma chronić prywatność jednostki przed agregacją danych biometrycznych przez korporacje i firmy. Jedną z interpretacji tego podejścia, którą można znaleźć w literaturze przedmiotu, jest zakaz sprzedaży lub dzierżawy informacji biometrycznych danej osoby i ograniczenie okoliczności, w których identyfikator biometryczny może zostać ujawniony. Może to być skuteczny sposób przechowywania informacji biometrycznych, ponieważ dostęp jednego hakera do bazy danych firmy nie zagroziłby wszystkim użytkownikom tego systemu. Krytycy twierdzą jednak, że nie wyeliminuje to innych obaw związanych z prywatnością i może utrudnić potencjalne komercyjne zastosowania biometrii.
2.2 Zagrożenia i podatności związane z danymi biometrycznymi
Ważne jest, aby pamiętać, że dane biometryczne są danymi osobowymi, a przechowywanie cech lub informacji biometrycznych może potencjalnie narazić osobę na kilka zagrożeń. Dane biometryczne mogą zostać niewłaściwie wykorzystane do śledzenia ruchów, działań i tak dalej danej osoby bez jej wiedzy lub zgody. Mogą być wykorzystywane do potencjalnego masowego nadzoru społeczeństwa i mogą być wykorzystywane do profilowania, co jest kluczowym tematem ujętym w ogólnym rozporządzeniu Unii Europejskiej o ochronie danych. Jednak zgodnie z RODO dane biometryczne są definiowane jako dane wrażliwe, ponieważ dane biometryczne, przetwarzane w celu jednoznacznej identyfikacji osoby fizycznej, są uważane za dane osobowe. Artykuł 9 i motyw 51 RODO stanowią, że przetwarzanie takich danych jest zabronione, z wyjątkiem określonych celów, takich jak wyraźna zgoda osoby, której dane dotyczą, na przetwarzanie z jednego lub większej liczby określonych powodów. Pomimo tego, co wydaje się być silnymi ramami prawnymi mającymi na celu ochronę danych biometrycznych, opracowano inicjatywy mające na celu podważenie prywatności i innych obaw dotyczących swobód obywatelskich związanych z gromadzeniem i wykorzystywaniem danych biometrycznych. Na przykład w Stanach Zjednoczonych Federalne Biuro Śledcze opracowało system Next Generation Identification, który jest biometrycznym systemem baz danych przechowującym cyfrowe zapisy odcisków palców, zdjęcia rozpoznawania twarzy i inne dane biometryczne w centralnej bazie danych biometrycznych – Interstate Photo System. Nie bez powodu system ten został opisany jako “starszy brat XXI wieku”. W innych częściach świata technologia biometryczna została wdrożona ze szkodą dla prawa do prywatności. Na przykład w Chinach uruchomiono projekt masowej inwigilacji, znany jako “Sharp Eyes Project”, mający na celu połączenie danych z rządowych i prywatnych kamer bezpieczeństwa oraz zintegrowanie technologii rozpoznawania twarzy w celu śledzenia osób w przestrzeni publicznej. Rządowy plan projektu zakłada osiągnięcie doskonałego nadzoru i wyeliminowanie martwych punktów w Chinach kontynentalnych do 2020 roku. Tytuł projektu jest szczególnie trafny, biorąc pod uwagę, że jego nazwa pochodzi od cytatu przypisywanego byłemu chińskiemu przewodniczącemu Mao Zedongowi, że “ludzie mają bystre oczy”. Takie wykorzystanie technologii biometrycznej i potencjalne konsekwencje pokazują, dlaczego dyskusje dotyczące potrzeby ochrony danych biometrycznych są tak ważne. prywatności danych. Wprowadzenie nowych i bardziej zaawansowanych technologii biometrycznych, takich jak rozpoznawanie twarzy lub analiza DNA, spowodowało, że dane biometryczne stały się bardziej dostępne i łatwiejsze do gromadzenia i analizowania. Warto zauważyć, że rozpoznawanie twarzy odnosi się do sposobu rozpoznawania twarzy osoby przy użyciu technologii. Może to obejmować zrobienie komuś zdjęcia – najbardziej typowym sposobem korzystania z rozpoznawania twarzy na urządzeniu mobilnym jest zrobienie zdjęcia twarzy osoby – i wykorzystanie danych z tego zdjęcia do pomocy w identyfikacji osoby.
2.3 Obawy dotyczące prywatności i potencjalne niewłaściwe wykorzystanie danych biometrycznych
Chociaż specjaliści ds. zatrudnienia i ochrony danych w Langleys Solicitors nie widzą bezpośredniej perspektywy wprowadzenia zakazu, ponieważ orzecznictwo dotyczące ochrony danych nadal ewoluuje i zmienia się w odpowiedzi na postęp technologiczny, z pewnością istnieje możliwość wniesienia wyzwań przeciwko tego rodzaju przetwarzaniu danych w przyszłości. Oznacza to, że sądownictwo i Parlament wykazały się chęcią dostosowania się do nowych technologii i zagrożeń, jakie mogą one stanowić dla prywatności. W połączeniu z niedawnym wprowadzeniem wysokich kar finansowych, takich jak te wynikające z ogólnego rozporządzenia o ochronie danych (RODO), oznacza to, że w nadchodzących latach mogą zostać wprowadzone zmiany i dalsze ograniczenia w celu ochrony osób fizycznych przed potencjalnym niewłaściwym wykorzystaniem danych biometrycznych. Należy jednak zauważyć, że nadal utrzymuje się stosunkowo niski poziom świadomości na temat danych biometrycznych.
Na przykład w kontekście zatrudnienia niektórzy pracodawcy zaczęli wykorzystywać dane biometryczne do śledzenia pracowników. W ubiegłym roku duża firma kolejowa w Wielkiej Brytanii ogłosiła, że zacznie wykorzystywać biometryczne skanery dłoni do zarządzania frekwencją pracowników. Pojawiły się obawy, że tego rodzaju technologia może umożliwić pracodawcom angażowanie się w inwigilację, która narusza prawo pracowników do prywatności. Brytyjskie Stowarzyszenie Medyczne wezwało już do całkowitego zakazu wykorzystywania danych biometrycznych przez pracodawców, wyrażając obawy, że wrażliwe informacje mogą być wykorzystywane do śledzenia nawyków zdrowotnych i stylu życia, a tym samym mieć szkodliwy wpływ na rekrutację i przepisy dotyczące dyskryminacji w miejscu pracy.
Podczas gdy nowe przepisy i metody ochrony danych biometrycznych są nadal rozwijane zarówno w Wielkiej Brytanii, jak i w Europie, na razie działacze podejmują działania na drodze sądowej. W zeszłym roku grupa zajmująca się ochroną prywatności “Big Brother Watch” uzyskała zgodę Wysokiego Trybunału na prawne zakwestionowanie wykorzystania danych biometrycznych przez policję w Południowej Walii. Jednak nie tylko rządowe niewłaściwe wykorzystanie danych biometrycznych może budzić obawy. Podmioty spoza sektora publicznego, takie jak firmy prywatne, mogą wykorzystywać dane biometryczne w sposób, który może być potencjalnie szkodliwy dla osób fizycznych.
Na przykład dane biometryczne mogą być wykorzystywane przez państwa do śledzenia osób i tłumienia sprzeciwu politycznego. W Stanach Zjednoczonych FBI opracowuje biometryczną bazę danych, która pomoże zidentyfikować przestępców i terrorystów, ale która może być również wykorzystywana do monitorowania zwykłych obywateli. W Wielkiej Brytanii działacze ostrzegają, że wykorzystanie danych biometrycznych na granicach może doprowadzić do znacznego rozszerzenia nadzoru. Uważa się tak, ponieważ technologia ta da rządowi możliwość monitorowania i rejestrowania każdej osoby, która wjeżdża i wyjeżdża z kraju, w sposób, który nie jest możliwy przy użyciu paszportów i innych niebiometrycznych dokumentów tożsamości.
Istnieje szereg obaw dotyczących prywatności związanych z wykorzystaniem danych biometrycznych. W dzisiejszym świecie elektronicznym dane osobowe są zbyt często narażone na potencjalny niepożądany dostęp. To nie jest tak, że hasło lub kartę bezpieczeństwa można zastąpić; markery biologiczne, raz naruszone, nigdy więcej nie mogą być doskonale wykorzystane do weryfikacji tożsamości. Potencjalne zagrożenia dla prywatności wynikające z niewłaściwego wykorzystania danych biometrycznych są szeroko zakrojone i mogą prowadzić do znacznych szkód.
3. Blockchain jako rozwiązanie dla bezpiecznego przechowywania danych z zachowaniem prywatności
Obecnie systemy przetwarzania danych biometrycznych są wewnętrznie połączone, a dostęp do nich przez żądania z zewnątrz jest kontrolowany albo przez klucze o różnych prawach dostępu, albo przez system danych weryfikujący autentyczność żądającego. Nadal jednak istnieją słabe punkty bezpieczeństwa i złożone scenariusze w tym procesie. Proste zadania stawiają wyzwania w zakresie bezpieczeństwa, takie jak ochrona szablonów biometrycznych i zarządzanie tokenami. Wszechstronność i zależny od czasu charakter danych biometrycznych stanowią wyjątkowe wyzwanie dla ochrony prywatności i bezpieczeństwa danych indywidualnych. Ponieważ sam fakt ciągłego wzrostu liczby naruszeń danych i oprogramowania ransomware jest alarmujący, wymóg stworzenia znacznie silniejszej i bezpieczniejszej powierzchni technologicznej jest na szczycie oczekiwań. W ostatnim czasie technologia kryptograficzna i techniki oparte na blockchain stały się dość popularne ze względu na ich zwiększone bezpieczeństwo, prywatność danych, a także przejrzystość operacyjną. Technologia blockchain zasadniczo odnosi się do zdecentralizowanej konfiguracji przechowywania i przechowywania danych lub po prostu rozproszonej księgi. Księga ta zawiera cyfrowo zapisane dane i przechowuje informacje z każdej transakcji w łańcuchu. Po zarejestrowaniu dane w danym bloku nie mogą zostać zmienione bez zmiany wszystkich kolejnych bloków i konsensusu sieci. Łańcuchy bloków są wykorzystywane we wszelkiego rodzaju transakcjach i innych aplikacjach cyfrowej księgi, które wymagają bezpieczeństwa, odpowiedzialności i trwałości. Technologia blockchain fascynuje ludzi z bardzo autentycznych powodów. Po pierwsze, dane nie znajdują się na jednym serwerze i są publiczne. Jeśli Państwa dane znajdują się w tysiącach miejsc, zły aktor musiałby naruszyć wszystkie te miejsca jednocześnie. A za każdym razem, gdy punkt danych jest aktualizowany, wprowadzany lub w inny sposób modyfikowany, zmiana ta trafia do każdej kopii. Oznacza to, że jeśli mają Państwo dobrą kopię danych, a ja próbowałbym zainfekować i uszkodzić jeden fragment danych, Państwa kopia zostałaby rozpoznana przez sieć i automatycznie uzdrowiona. Po drugie, technologia blockchain jest szybka i działa natychmiastowo podczas całej swojej działalności. Wreszcie, łańcuchy bloków są historyczne i niezmienne. Jeśli chodzi o dobrze przyjętą definicję, zaufanie jest kluczem do wystarczająco dobrego bezpieczeństwa. A zachowanie niezmienności jest świetną cechą, jeśli chodzi o bezpieczeństwo danych. Właściwości te są bardzo przydatne i niezbędne w przypadku rodzajów prowadzenia dokumentacji, które występują w operacjach finansowych i rządowych. Łańcuchy bloków są odporne na manipulacje. Każda transakcja jest znakowana czasem i weryfikowana przez każdy węzeł w łańcuchu. Co najważniejsze, ponieważ dane w bloku są opisane przez funkcję matematyczną samej siebie i wszystkich danych do poprzedniego bloku, zmiana jakichkolwiek danych zmieniłaby funkcję, a tym samym przerwałaby łańcuch. Tak więc istnienie tego wyraźnego powiązania między blokiem danych a danymi, które go poprzedzały, zapewni integralność i bezpieczeństwo takiego systemu przechowywania danych. Jeśli chodzi o bezpieczeństwo biometryczne i prywatność, wielu ekspertów odkryło, że technologia blockchain może zapewnić bardzo wysoki poziom bezpieczeństwa danych biometrycznych, które są dostarczane i przetwarzane. Dzięki zastosowaniu bezpiecznych technik kryptograficznych i metod opartych na blockchain, takich jak szyfrowanie biometryczne, ochrona szablonów biometrycznych i zarządzanie tokenami biometrycznymi, można łatwo wyeliminować wiele luk w zabezpieczeniach i zagrożeń we współczesnych systemach biometrycznych, a ochrona danych jest przedłużona w stosunku do infrastruktury technologicznej, która staje się coraz mądrzejsza. Dzięki nowoczesnym technikom kryptograficznym i metodom opartym na blockchainie można dokonać całkowitego i solidnego przeglądu, ponieważ technologia może wspierać projektowanie, rozwój i uruchamianie systemów biometrycznych w znacznie bezpieczniejszym stanie, a także może stanowić podstawę dostarczania danych na dużą skalę i zarządzania danymi w dłuższej perspektywie. Wowessays. (2022). Wpływ uwierzytelniania biometrycznego na prywatność użytkowników i rola Blockchain w zachowaniu bezpiecznych danych. Retrieved January 6, 2022, from [Link]
3.1 Jak działa technologia Blockchain
Blockchain to zdecentralizowany, rozproszony system rejestrowy, w którym dane są przechowywane w blokach. Każdy blok zawiera listę transakcji, a każda transakcja musi być zarejestrowana w bloku. Wszystkie bloki są połączone za pomocą cyfrowej kryptografii, stąd nazwa blockchain. Sieć blockchain składa się z wielu węzłów, z których każdy posiada kopię całego łańcucha bloków. Po dodaniu nowego bloku do łańcucha bloków, każdy węzeł aktualizuje swój łańcuch bloków, aby odzwierciedlić zmianę. Sprawia to, że praktycznie niemożliwe jest manipulowanie zawartością jakiegokolwiek bloku, ponieważ taka zmiana wymagałaby konsensusu każdego węzła w sieci. Ponadto wykorzystanie podpisów cyfrowych w procesie walidacji zapewnia bezpieczeństwo danych, ponieważ wszystkie transakcje są podpisywane przez właściwe strony w celu zagwarantowania ich autentyczności. Podpisy cyfrowe służą również do zapobiegania zmianie danych zawartych w blokach przez złośliwe strony trzecie, zapewniając kolejną warstwę bezpieczeństwa. Kolejną cechą technologii blockchain jest obsługa inteligentnych kontraktów, które są samowykonującymi się umowami, w których warunki umowy są bezpośrednio zapisane w liniach kodu. Inteligentne kontrakty automatycznie egzekwują i realizują warunki umowy, pod warunkiem spełnienia określonych warunków. W połączeniu z technologią blockchain, kontrakty te mogą być szczególnie przydatne, ponieważ po dodaniu inteligentnego kontraktu do bloku, staje się on niezmienny, co oznacza, że kod kontraktu nie może zostać zmieniony, a kontrakt nie może zostać zatrzymany ani zmodyfikowany. Pozwala to na pozbawioną zaufania współpracę między dwiema różnymi stronami, gdzie jedna strona może mieć gwarancję, że druga strona nie wycofa się z umowy. Wreszcie, sieci blockchain mogą być publiczne lub prywatne. W publicznym łańcuchu bloków każda osoba może uczestniczyć w procesie walidacji i rejestrowaniu transakcji, podczas gdy prywatne łańcuchy bloków działają w granicach organizacji i mają kontrolę nad tym, kto ma dostęp do zapisu i odczytu łańcucha bloków. Zrozumienie, w jaki sposób każdy z tych trzech różnych kluczowych aspektów technologii blockchain przyczynia się do ogólnego bezpieczeństwa i integralności danych, pomaga podkreślić znaczenie blockchain jako metody zachowania prywatności w uwierzytelnianiu biometrycznym.
3.2 Zalety wykorzystania technologii blockchain do przechowywania danych
W przeciwieństwie do tradycyjnych systemów przechowywania danych, w których bazy danych są podatne na awarie serwerów i cyberataki, łańcuchy bloków są zwykle zaprojektowane tak, aby były bezpieczne i odporne na uszkodzenia. W systemie blockchain dane – zarówno zawartość bloków, jak i kolejność chronologiczna, w jakiej są one połączone – są weryfikowane przez węzły, a następnie wymuszane kryptograficznie. Po dodaniu bloku do końca łańcucha bloków bardzo trudno jest cofnąć się i zmienić zawartość bloku, chyba że większość węzłów sieci osiągnie konsensus w tej sprawie. Jak wspomniano wcześniej, centralny organ nie jest odpowiedzialny za blockchain. Użytkownicy nie muszą więc pokładać żadnego zaufania w danych. Mogą bezpośrednio zweryfikować dane dla siebie. Każdy użytkownik w sieci może mieć własną “kopię” łańcucha bloków, a każdy nowy blok zaproponowany przez użytkownika zostanie rozesłany do każdego użytkownika w sieci. Zostanie przeprowadzony proces weryfikacji przy użyciu określonych algorytmów konsensusu, aby zdecydować, czy ten blok jest ważny do dodania do ich własnego łańcucha bloków, czy nie. Ten rozproszony charakter blockchaina zapewnia wysoką odporność na awarie: jeśli jeden węzeł ulegnie awarii, system nadal będzie mógł działać, być może z niewielkim spadkiem wydajności spowodowanym utratą jednego lub kilku węzłów. Co więcej, platforma blockchain może być zaprojektowana z wysokim poziomem audytowalności, ponieważ każde przeprowadzone działanie może być rejestrowane jako transakcja. Każdy węzeł w sieci będzie miał pełną historię wszystkich zapisów transakcji od pierwszego bloku do najnowszego. Funkcja ta byłaby szczególnie korzystna dla systemów opieki zdrowotnej, ponieważ różni pracownicy medyczni będą musieli uzyskać dostęp do elektronicznej dokumentacji medycznej pacjentów. Każdy dostęp i zmiana w dokumentacji będą rejestrowane w łańcuchu bloków, a cały upoważniony personel będzie miał pełny, przejrzysty wgląd w historię medyczną pacjenta. Pozwoli to skutecznie zapobiegać przypadkom, w których dane są zmieniane lub usuwane bez zgody.
3.3 Rola łańcucha bloków w zachowaniu prywatności w uwierzytelnianiu biometrycznym
Jeśli jednak zamiast przechowywać dane biometryczne w tradycyjny sposób, są one po prostu przechowywane w łańcuchu bloków, atak ten można całkowicie złagodzić. Uwierzytelnianie biometryczne nadal będzie działać – gdy trzeba będzie Pana/Panią skontrolować, ktoś zeskanuje na przykład Pana/Pani odcisk palca. System nie będzie jednak skanował odcisków i sprawdzał ich w centralnej bazie danych.
Biorąc jednak pod uwagę rozbudowany charakter nowoczesnych systemów informatycznych, możliwe jest, że wiele różnych organizacji będzie chciało przeprowadzić takie kontrole – a zatem wszystkie mogą potrzebować dostępu do danych biometrycznych użytkownika. Nawet jeśli bazy danych nie są ze sobą w żaden sposób połączone, może to potencjalnie stanowić bardzo szeroką powierzchnię ataku. Jeśli jedna z tych witryn zostałaby zaatakowana, a dane biometryczne skradzione, można by je wykorzystać do podszycia się pod tego użytkownika w dowolnej innej witrynie.
Gdy użytkownicy rejestrują swoje dane biometryczne w systemie (takie jak odcisk palca lub obraz skanu twarzy), dane te są przechowywane w bazie danych. Gdy użytkownik musi zostać uwierzytelniony (innymi słowy, jego tożsamość musi zostać sprawdzona), podane przez niego dane biometryczne zostaną porównane z danymi w tej bazie danych.
Dane biometryczne stanowią szczególny problem w zakresie prywatności danych. W przeciwieństwie do haseł, na przykład, jeśli czyjeś dane biometryczne zostaną skradzione, nie można ich zmienić. To sprawia, że dane biometryczne są bardzo cenne dla atakujących – raz skradzione, zostają skradzione na zawsze.
Wykorzystanie technologii blockchain w celu zapewnienia prywatności i bezpieczeństwa danych biometrycznych jest obszarem szerokiego zainteresowania w bieżących badaniach. Technologia blockchain została pierwotnie opracowana jako środek zapewniający bezpieczne prowadzenie rejestrów transakcji kryptowalutowych. Od tego czasu stwierdzono jednak, że właściwości łańcucha bloków, które sprawiają, że jest on tak przydatny do tego celu, można wykorzystać do zapewnienia prywatności danych biometrycznych.
4. Wnioski
Obiecujące technologie uwierzytelniania biometrycznego i blockchain zapewniają bezprecedensowe możliwości zwiększenia bezpieczeństwa i prywatności danych użytkowników. Z jednej strony uwierzytelnianie biometryczne stanowi wygodną i bezpieczną alternatywę dla tradycyjnych metod uwierzytelniania opartych na hasłach. Jednak gromadzenie i przetwarzanie danych biometrycznych budzi poważne obawy dotyczące prywatności i ochrony danych. Co ważniejsze, ryzyko i luki w przechowywaniu i wykorzystywaniu danych biometrycznych mogą mieć poważne konsekwencje dla prywatności użytkowników i wolności osobistej, jeśli kwestie te nie zostaną odpowiednio rozwiązane. Z drugiej strony, technologia blockchain, ze swoją właściwością zapewniania decentralizacji, przejrzystości i niezmienności, może być wykorzystywana do rozwiązywania kwestii bezpieczeństwa i prywatności różnych rodzajów danych cyfrowych, w tym danych biometrycznych w systemach uwierzytelniania. Przechowywanie klucza skrótu danych biometrycznych w księgach blockchain zamiast samych danych biometrycznych pozwala na bezpieczniejszą i chroniącą prywatność metodę przechowywania danych. Ponadto algorytmy konsensusu i rozproszony charakter blockchain mogą pomóc w zapobieganiu nieautoryzowanym modyfikacjom danych i potencjalnym cyberatakom w celu manipulowania danymi biometrycznymi. W całym artykule pokazałem, w jaki sposób prywatność użytkowników jest zagrożona w dobie uwierzytelniania biometrycznego i jak blockchain może naprawdę chronić bezpieczeństwo i prywatność danych w systemach biometrycznych. Pokazałem również pierwszy rzeczywisty przykład – estoński program e-rezydencji – który wykorzystuje połączenie danych biometrycznych w wydawanym przez rząd cyfrowym dokumencie tożsamości i technologii blockchain, która z powodzeniem uwalnia pełny potencjał zdalnego społeczeństwa cyfrowego. Porównując tradycyjne, scentralizowane przechowywanie danych z powstającym przechowywaniem danych opartym na blockchainie, zilustrowałem również konkretne zalety korzystania z blockchaina w celu ochrony prywatności danych biometrycznych. Wreszcie, dyskusje w tym artykule podkreśliły przyszłe rozważania i wyzwania związane z badaniem blockchain pod kątem ochrony prywatności. Podsumowując, uważam, że niniejsza praca może rzucić światło na przyszłe badania oraz rozwój nowych standardów i regulacji w celu zapewnienia prywatności i bezpieczeństwa danych w uwierzytelnianiu biometrycznym. Dziękuję Państwu.
4.1 Podsumowanie wpływu uwierzytelniania biometrycznego na prywatność użytkowników
Większość użytkowników nie rozumie powagi sprawy ani nie wie, jak czytać politykę prywatności, więc nie będą manipulowani przez dostawców usług. Ponadto, gdy dochodzi do incydentu bezpieczeństwa, ofiary zwykle nie mogą od razu uzyskać informacji dotyczących incydentu, ponieważ w niektórych przypadkach firma, której dotyczy incydent, jest przedmiotem dochodzenia, a ujawnienie wyłącznych informacji o firmie jest przestępstwem. Jednakże, w odniesieniu do ochrony prywatności użytkowników, większość stanów w USA przyznaje poszkodowanej firmie krótki okres karencji na podjęcie działań naprawczych przed publicznym ujawnieniem naruszenia bezpieczeństwa. Takie przepisy dotyczące prywatności pomagają w pewnym stopniu zmniejszyć wady korzystania z uwierzytelniania biometrycznego. Ponadto, jak omówiono na zajęciach, system prawny może pomóc w ochronie praw użytkowników. Na przykład ustawa o telekomunikacji z 1996 r. w USA sprawia, że podsłuchy są nielegalne. Jeśli dane biometryczne zostaną przechwycone podczas transmisji, czynności śledzenia – nawet częściowo udane – stanowiłyby przestępstwo.
4.2 Potencjalne korzyści z wykorzystania łańcucha bloków do bezpiecznego przechowywania danych
Przykładem skutecznego wykorzystania blockchain jest “cyfrowa tożsamość”. Jest to środek, za pomocą którego możemy udowodnić naszą tożsamość w świecie online, tak jak robi to nasz paszport lub prawo jazdy w prawdziwym życiu. Użytkownicy mają możliwość przechowywania swoich danych osobowych na własnych urządzeniach i podawania tylko tych szczegółów, które są absolutnie niezbędne i do określonego celu, takiego jak weryfikacja wieku lub adresu. Za każdym razem, gdy do łańcucha bloków dodawany jest nowy rekord dotyczący tego, kiedy i gdzie zażądano tych informacji, jest on powiązany z poprzednim rekordem i podpisany cyfrowo. Oznacza to, że użytkownicy mają jasne zrozumienie, kto uzyskał dostęp do ich informacji i w jakim celu, zapewniając im większą kontrolę i przejrzystość.
Co więcej, wiele blockchainów wdraża system, w którym wszelkie zmiany w bloku w łańcuchu powinny być uzgodnione przez wszystkie strony w sieci. Na przykład Hyperledger Fabric, prywatna platforma blockchain, wykorzystuje koncepcję zasad większościowych, która wymaga, aby 50% danych członków sieci zgodziło się i poparło proponowaną transakcję, zanim zostanie ona zatwierdzona i wykonana. Ten tak zwany konsensus w zamawianiu i potwierdzaniu transakcji zapewnia dodatkowy poziom bezpieczeństwa, który do tej pory nie istniał w standardowych technologiach baz danych. Hyperledger Fabric idzie o krok dalej, umożliwiając konfigurację różnych aspektów bezpieczeństwa blockchain. Przykładowo, twórca sieci może ustawić, ile sprzętu organizacji musi zostać skompromitowanych, zanim bezpieczeństwo sieci zostanie zagrożone, a także określić, ile jednoczesnych ważnych wiadomości otrzymanych od innych członków sieci wystarczy do potwierdzenia transakcji.
Ponieważ dane są zapisywane w blokach, a każdy blok jest powiązany z poprzednim za pomocą podpisu kryptograficznego, oczywiste jest, że dane przechowywane w łańcuchu bloków są bezpieczniejsze i mniej podatne na manipulacje. Co więcej, zdecentralizowany charakter blockchain oznacza, że istnieje wiele kopii bazy danych, w której przechowywane są dane. Są one replikowane w wielu węzłach. Oznacza to, że aby naruszyć system i zmienić dane w jednym bloku, haker musiałby manipulować danymi we wszystkich poprzednich blokach w większości instancji bazy danych i zrobić to w krótkim czasie, zanim nowe bloki będą stale dodawane do łańcucha, a poprzednie bloki zostaną zablokowane, co czyni to praktycznie niemożliwym.
Rozproszony i zdecentralizowany charakter technologii blockchain zapewnia, że nie ma pojedynczego punktu kontroli lub awarii. Po zapisaniu danych w łańcuchu bloków niezwykle trudno jest je zmodyfikować lub usunąć. To sprawia, że blockchain jest doskonałym kandydatem do bezpiecznego przechowywania danych. Jak wspomniano w poprzedniej sekcji, natura systemów biometrycznych wymaga przechowywania danych biometrycznych. Publiczna akceptacja tych systemów jest jednak utrudniona ze względu na kwestie prywatności związane z przechowywaniem tak wrażliwych danych. Blockchain ma potencjał, aby przezwyciężyć ten problem, rewolucjonizując biometryczne systemy bezpieczeństwa poprzez zapewnienie użytkownikom większej prywatności. Jest to szczególnie atrakcyjne dla użytkowników, ponieważ zachowanie prywatności i bezpieczeństwa danych jest zawsze kluczowym aspektem przy opracowywaniu dowolnego systemu informatycznego.
4.3 Przyszłe rozważania i wyzwania związane z wdrażaniem technologii Blockchain w celu ochrony prywatności
Jednym z takich potencjalnych wyzwań we wdrażaniu blockchain w celu ochrony prywatności jest pytanie, czy zdecentralizowana zgoda jest praktyczna. Użytkownicy muszą mieć kontrolę nad tym, co dzieje się z ich danymi biometrycznymi, tak aby każdy użytkownik, który nie chce już, aby jego dane były przechowywane, mógł cofnąć zgodę, a dane będą anonimowe. Jednak zdecentralizowany charakter technologii blockchain i rozproszonych rejestrów oznacza, że obecnie każdy proponowany nowy system musiałby zostać poddany gruntownej przebudowie, aby uwzględnić administratora zgody, który nadzorowałby ten proces. Niekoniecznie jest to wada, a w przyszłości można sobie wyobrazić, że można by opracować system, w którym na przykład inteligentny kontrakt mógłby wykonać wyrejestrowanie danych w odpowiedzi na wycofanie zgody przez użytkownika. Niemniej jednak przejście na nową formę ochrony prywatności będzie wymagało okresu dostosowawczego, w którym te praktyczne i techniczne bariery będą musiały zostać zweryfikowane, a potencjalny nowy system zarządzania danymi będzie musiał zostać opracowany. Bariery te mogą być zniechęcające dla tych, którzy rozważają przejście z tradycyjnego, scentralizowanego przechowywania danych na nowe, bezpieczniejsze systemy zdecentralizowane. Tworzy to bardzo wysoką barierę dla zmian w tych firmach i organizacjach, które będą musiały ponownie ocenić i dostosować swoje procedury zgodnie z tymi nowymi systemami. Motywacja do pokonania tych wyzwań musi być bardzo wysoka. Może to mieć miejsce w obliczu niedawnych dobrze nagłośnionych naruszeń danych, ponieważ może to przywrócić zaufanie publiczne do przechowywania danych online; niemniej jednak, bez znaczącej dźwigni, aby wymusić tę kwestię, firmy mogą być bardzo powolne w transformacji.