Título: On Privacy Evidence
for UbiComp Environments
Broadening
the Notion of Control to Improve User Acceptance
Autores: Rafael Accorsi ·
Matthias Bernauer
Año: 2007
En
esta investigación se habla sobre las razones que hay detrás de una mentalidad
negativa, los estudios a menudo apuntan a la falta de transparencia en la
recolección y la utilización de los datos personales: Los usuarios temen el
hecho de que se oculte la vigilancia a través de tecnologías Ubicomp.
Y
esto se debe a que este escepticismo es una consecuencia de un control
incompleto mecanismos ofrecen a los usuarios en entornos Ubicomp.
Los
usuarios no sólo deben ser conscientes o capaces de regular la recolección y la utilización de los atributos personales, sino también de supervisión del
sistema, es decir, ser capaz de obtener credibilidad evidencia de que el
entorno de hecho se comporta como se esperaba.
Introducción
En
la investigación, los obstáculos a la adopción generalizada de ambientes
Ubicomp, no se nos deja con cuestiones técnicas, sino con cuestiones
sociológicas, es decir, una falta de aceptación. Impulsado por predicciones
pesimistas, como la "muerte de la vida privada" y "la privacidad
como un bien de lujo", los usuarios tienen un efecto negativo de actitud
en la interacción con entornos Ubicomp. Un número de estudios corroboran esto
mostrando que los usuarios utilizando tecnologías
Ubicomp les da miedo, como las etiquetas RFID, sensor redes y técnicas para
correlacionar los datos multimodales, ya que pueden ser mal utilizados para la
vigilancia, lo que conduce a la pérdida de control sobre sus datos personales.
Para
hacer frente a este problema, la investigación sobre métodos de la colección de atributos personales y su uso está ganando cada vez más en el impulso y
relevancia. Su objetivo es permitir a los usuarios a revelar selectivamente a
los consumidores de datos, posiblemente, lo que les permite formular políticas
en las que atributos recogidos pueden o no pueden tener acceso. Su razón de ser
es, pues, para transmitir un sentido de control a los usuarios, donde se
encuentra el "control" de la regulación de la divulgación atributo o,
más en general, la exposición del usuario.
Descripción general
de nuestro enfoque
Para
llevar a cabo pruebas de privacidad, la siguiente técnica de bloques de
construcción son esenciales: una política lingüística para la expresión de
propiedades privacidad; vistas de registro para permitir que la visualización
de la actividad registrada; un registro seguro para garantizar la autenticidad
de los datos registrados, en particular, para mejorar la credibilidad de las
pruebas de privacidad, y un proceso de
auditoría automatizada para el control del cumplimiento de políticas. En las
próximas secciones, se presenta en estos bloques de construcción, poniendo
énfasis en las condiciones técnicas necesarias para llevar a cabo auditorías
automatizadas, un tema central en la producción de pruebas privacidad.
Tenga
en cuenta que el almacenamiento seguro de los datos del registro y la generación
de puntos de vista de registro se realiza en un entorno UbiComp que podrían ser
poco fiables. A pesar de que ignorar aquí, nuestro trabajo también incluye una
confianza adecuada modelo basado en plataformas de computación de confianza. La
idea es que los demonios responsables de la explotación segura y Ver registro
de generación se encapsulan en un entorno limitado de confianza, que controla
la ejecución de estos procesos. Antes de recuperar la vista del registro, un
usuario (es decir, el proceso de que se ejecuta en su nombre) lleva a cabo una
certificación a distancia para asegurar que la caja de arena, así como el
encapsulado demonios están en su lugar. (Esto no se puede garantizar que todos
los eventos se comunican al demonio de registro, sólo que el demonio se ejecuta
con seguridad.) Una versión ampliada de este artículo profundiza en estos aspectos
técnicos.
Registro seguro y
registro de Visitas
Los
datos de registro es una fuente central de información en la consideración de pruebas
particularres y enfoques para comprobar el cumplimiento de las normas en
general. En contraste con archivos "estáticos”,
como documentos de texto u hojas de cálculo, archivos de registro permiten
reconstruir la dinámica de un sistema, es decir, la curso de los
acontecimientos que condujeron a un estado particular.
Para
ser creíbles, los datos de registro debe presentar la integridad, es decir, datos
de registro son precisos (las entradas no han sido modificados), completar
(entradas no se han eliminado) y compacto (las entradas no se han añadido
ilegalmente para el archivo de registro), y ser confidencial en que las
entradas de registro no se puede almacenar en texto claro, por esos datos del
registro puede ser fácilmente duplicada.
Por
otra parte, las técnicas para garantizar estas propiedades necesitan evidencia
de manipulación, es decir, los intentos de manipular ilegalmente datos de
registro son detectables a un verificador, y con visión integridad, es decir,
si un atacante logra romper en al tiempo t, los datos de registro almacenados
antes de t no puede ser comprometida.
En
base a [1], se resume la realización de un seguro servicio de registro que
cumpla con estos requisitos.
Suponiendo
que cada aplicación lleva a cabo su
propio registro, consideramos un BBox archivo de registro adicional que puede
ser visto como un cuadro negro del sistema. Se recibe eventos desde, por
ejemplo, los archivos de registro de transacciones y de funcionamiento de las
bases de datos, las decisiones de los monitores de referencia y otros
dispositivos de detección.
La
comunicación entre estos dispositivos y los coleccionistas están asegurados
usando criptografía asimétrica. En recibir un mensaje de registro, cada
registro de eventos Dj es (simétrica) encriptado con una clave criptográfica
evolución Kj obtenida de un maestro de clave secreta Aj y un campo de índice Wj.
(W se utiliza para describir el usuario al que se refiere la entrada.) Una
cadena de hash y se asocia la entrada anterior Ej-1 y EJ. Este procedimiento se
representa en la figura. 3, donde los números corresponden a:
1.
Aj = hash (Aj-1) representa la clave de autenticación de la entrada del
registro j. La confidencialidad de A es esencial ya que se utiliza para cifrar
las entradas de registro. Por lo que suponemos que el cálculo del nuevo valor
irremediablemente
sobrescribe
el valor anterior, y que se almacena A0 de una manera segura, posiblemente
fuera de línea.
2.
Kj = hash (Wj, Aj) es la clave de cifrado con que la entrada de registro jth es
encriptada. Esta clave es basado en el índice Wj, por lo que sólo corresponde
usuario
accede a una entrada.
3.
{Dj} Kj es el cifrado Dj entrada de registro.
4.
Yj = hash (YJ-1, {Dj} Kj , Wj) es el valor j de la cadena hash. Cada eslabón de
la cadena hash se basa en el valor cifrado correspondiente de los datos de
registro.
Esto
asegura que la cadena puede ser verificada sin el conocimiento de la Dj entrada
del registro actual.
El
registro de entrada resultante Ej = Wj, {Dj} Kj , Yj consiste del índice Wj, la
entrada de registro cifrado {Dj} Kj y el Yj cadena de valor hash. Teniendo en cuenta
la generación de pruebas privacidad, se define la forma de un evento registrado
D.
Cumplimiento de Auditorías
y Prueba de privacidad
Vistas
del Log serían suficientes, al menos en teoría, para realizar el sentido
holístico de control que sostenemos en este trabajo: usuarios puede navegar a
través de las entradas y comprobar si su políticas de privacidad se han
cumplido o no. Pero esto es más fácil de decir que de hacer: vistas de los
registros incluyen incluso en pequeñas experimentos de miles de entradas y sus
interrelaciones no son claras y difíciles de reconstruir, con independencia de la
cantidad de esfuerzo que ponemos en mejorar su legibilidad.
Para
hacer frente a este problema, desarrollamos un método para auditorías de
cumplimiento automatizado para comprobar el cumplimiento de políticas. Dado un
P política y una vista log L = (S, M), que primero definir un ν transformación
que tiene P y devoluciones el conjunto de reglas V = {v1,. . . , Vn}, de tal
manera que cada vi ∈ V denota la violación de una norma de P.
Cada vi violación es después se comprueba contra la pista de auditoría S.
Para
definir ν, definimos primero en Def. 4 la polaridad de un gobernar y en Def. 5
negación de las disposiciones y obligaciones
Conclusión
Se
aboga por un control de sistemas UbiComp, comprenda la regulación de la
recolección y el acceso a atributos y la supervisión del cumplimiento de las
políticas.
Para
ello, se deben introducir pruebas de privacidad como medio de cumplimiento
demostrable. Y así mismo él objetivo de mejorar la aceptación de sistemas UbiComp
y fomentar la disposición de los usuarios a utilizar los servicios de estos
sistemas. La evidencia de privacidad es un primer paso para ir en una dirección
prometedora y muchas cuestiones pertinentes se mantienen a ser investigados.
