martes, 7 de mayo de 2013

Laboratorio 10



Título: On Privacy Evidence for UbiComp Environments
Broadening the Notion of Control to Improve User Acceptance
Autores: Rafael Accorsi · Matthias Bernauer
Año: 2007

En esta investigación se habla sobre las razones que hay detrás de una mentalidad negativa, los estudios a menudo apuntan a la falta de transparencia en la recolección y la utilización de los datos personales: Los usuarios temen el hecho de que se oculte la vigilancia a través de tecnologías Ubicomp.
Y esto se debe a que este escepticismo es una consecuencia de un control incompleto mecanismos ofrecen a los usuarios en entornos Ubicomp.
Los usuarios no sólo deben ser conscientes o capaces de regular la recolección y la utilización de los atributos personales, sino también de supervisión del sistema, es decir, ser capaz de obtener credibilidad evidencia de que el entorno de hecho se comporta como se esperaba.

Introducción
En la investigación, los obstáculos a la adopción generalizada de ambientes Ubicomp, no se nos deja con cuestiones técnicas, sino con cuestiones sociológicas, es decir, una falta de aceptación. Impulsado por predicciones pesimistas, como la "muerte de la vida privada" y "la privacidad como un bien de lujo", los usuarios tienen un efecto negativo de actitud en la interacción con entornos Ubicomp. Un número de estudios corroboran esto mostrando que los usuarios  utilizando tecnologías Ubicomp les da miedo, como las etiquetas RFID, sensor redes y técnicas para correlacionar los datos multimodales, ya que pueden ser mal utilizados para la vigilancia, lo que conduce a la pérdida de control sobre sus datos personales.
Para hacer frente a este problema, la investigación sobre métodos de la colección de atributos personales y su uso está ganando cada vez más en el impulso y relevancia. Su objetivo es permitir a los usuarios a revelar selectivamente a los consumidores de datos, posiblemente, lo que les permite formular políticas en las que atributos recogidos pueden o no pueden tener acceso. Su razón de ser es, pues, para transmitir un sentido de control a los usuarios, donde se encuentra el "control" de la regulación de la divulgación atributo o, más en general, la exposición del usuario.

Descripción general de nuestro enfoque
Para llevar a cabo pruebas de privacidad, la siguiente técnica de bloques de construcción son esenciales: una política lingüística para la expresión de propiedades privacidad; vistas de registro para permitir que la visualización de la actividad registrada; un registro seguro para garantizar la autenticidad de los datos registrados, en particular, para mejorar la credibilidad de las pruebas de privacidad,  y un proceso de auditoría automatizada para el control del cumplimiento de políticas. En las próximas secciones, se presenta en estos bloques de construcción, poniendo énfasis en las condiciones técnicas necesarias para llevar a cabo auditorías automatizadas, un tema central en la producción de pruebas privacidad.



  
Tenga en cuenta que el almacenamiento seguro de los datos del registro y la generación de puntos de vista de registro se realiza en un entorno UbiComp que podrían ser poco fiables. A pesar de que ignorar aquí, nuestro trabajo también incluye una confianza adecuada modelo basado en plataformas de computación de confianza. La idea es que los demonios responsables de la explotación segura y Ver registro de generación se encapsulan en un entorno limitado de confianza, que controla la ejecución de estos procesos. Antes de recuperar la vista del registro, un usuario (es decir, el proceso de que se ejecuta en su nombre) lleva a cabo una certificación a distancia para asegurar que la caja de arena, así como el encapsulado demonios están en su lugar. (Esto no se puede garantizar que todos los eventos se comunican al demonio de registro, sólo que el demonio se ejecuta con seguridad.) Una versión ampliada de este artículo profundiza en estos aspectos técnicos.
  
Registro seguro y registro de Visitas
Los datos de registro es una fuente central de información en la consideración de pruebas particularres y enfoques para comprobar el cumplimiento de las normas en general. En contraste con  archivos "estáticos”, como documentos de texto u hojas de cálculo, archivos de registro permiten reconstruir la dinámica de un sistema, es decir, la curso de los acontecimientos que condujeron a un estado particular.
Para ser creíbles, los datos de registro debe presentar la integridad, es decir, datos de registro son precisos (las entradas no han sido modificados), completar (entradas no se han eliminado) y compacto (las entradas no se han añadido ilegalmente para el archivo de registro), y ser confidencial en que las entradas de registro no se puede almacenar en texto claro, por esos datos del registro puede ser fácilmente duplicada.
Por otra parte, las técnicas para garantizar estas propiedades necesitan evidencia de manipulación, es decir, los intentos de manipular ilegalmente datos de registro son detectables a un verificador, y con visión integridad, es decir, si un atacante logra romper en al tiempo t, los datos de registro almacenados antes de t no puede ser comprometida.
En base a [1], se resume la realización de un seguro servicio de registro que cumpla con estos requisitos.



Suponiendo  que cada aplicación lleva a cabo su propio registro, consideramos un BBox archivo de registro adicional que puede ser visto como un cuadro negro del sistema. Se recibe eventos desde, por ejemplo, los archivos de registro de transacciones y de funcionamiento de las bases de datos, las decisiones de los monitores de referencia y otros dispositivos de detección.
La comunicación entre estos dispositivos y los coleccionistas están asegurados usando criptografía asimétrica. En recibir un mensaje de registro, cada registro de eventos Dj es (simétrica) encriptado con una clave criptográfica evolución Kj obtenida de un maestro de clave secreta Aj y un campo de índice Wj. (W se utiliza para describir el usuario al que se refiere la entrada.) Una cadena de hash y se asocia la entrada anterior Ej-1 y EJ. Este procedimiento se representa en la figura. 3, donde los números corresponden a:

1. Aj = hash (Aj-1) representa la clave de autenticación de la entrada del registro j. La confidencialidad de A es esencial ya que se utiliza para cifrar las entradas de registro. Por lo que suponemos que el cálculo del nuevo valor irremediablemente
sobrescribe el valor anterior, y que se almacena A0 de una manera segura, posiblemente fuera de línea.

2. Kj = hash (Wj, Aj) es la clave de cifrado con que la entrada de registro jth es encriptada. Esta clave es basado en el índice Wj, por lo que sólo corresponde
usuario accede a una entrada.

3. {Dj} Kj es el cifrado Dj entrada de registro.

4. Yj = hash (YJ-1, {Dj} Kj , Wj) es el valor j de la cadena hash. Cada eslabón de la cadena hash se basa en el valor cifrado correspondiente de los datos de registro.
Esto asegura que la cadena puede ser verificada sin el conocimiento de la Dj entrada del registro actual.
El registro de entrada resultante Ej = Wj, {Dj} Kj , Yj consiste del índice Wj, la entrada de registro cifrado {Dj} Kj y el Yj cadena de valor hash. Teniendo en cuenta la generación de pruebas privacidad, se define la forma de un evento registrado D.

Cumplimiento de Auditorías y Prueba de privacidad
Vistas del Log serían suficientes, al menos en teoría, para realizar el sentido holístico de control que sostenemos en este trabajo: usuarios puede navegar a través de las entradas y comprobar si su políticas de privacidad se han cumplido o no. Pero esto es más fácil de decir que de hacer: vistas de los registros incluyen incluso en pequeñas experimentos de miles de entradas y sus interrelaciones no son claras y difíciles de reconstruir, con independencia de la cantidad de esfuerzo que ponemos en mejorar su legibilidad.
Para hacer frente a este problema, desarrollamos un método para auditorías de cumplimiento automatizado para comprobar el cumplimiento de políticas. Dado un P política y una vista log L = (S, M), que primero definir un ν transformación que tiene P y devoluciones el conjunto de reglas V = {v1,. . . , Vn}, de tal manera que cada vi V denota la violación de una norma de P.
Cada vi violación es después se comprueba contra la pista de auditoría S.
Para definir ν, definimos primero en Def. 4 la polaridad de un gobernar y en Def. 5 negación de las disposiciones y obligaciones

Conclusión
Se aboga por un control de sistemas UbiComp, comprenda la regulación de la recolección y el acceso a atributos y la supervisión del cumplimiento de las políticas.
Para ello, se deben introducir pruebas de privacidad como medio de cumplimiento demostrable. Y así mismo él objetivo de mejorar la aceptación de sistemas UbiComp y fomentar la disposición de los usuarios a utilizar los servicios de estos sistemas. La evidencia de privacidad es un primer paso para ir en una dirección prometedora y muchas cuestiones pertinentes se mantienen a ser investigados.



1 comentario:

Elisa dijo...

Ortografía... Faltan una referencia adecuada al final y la discusión propia. 5 pts.

Publicar un comentario