На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2005-6-22 на главную / новости от 2005-6-22
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 22 июня 2005 г.

Защита данных для отвода глаз

Цифры становятся все более ошеломляющими: 145 тыс.; 13,9 млн; 40 млн.

Конечно же, я говорю о недавних случаях потери данных — безобидный термин для обозначения попадания в чужие руки миллионов счетов, содержащих персональную информацию. Будь то MasterCard, ChoicePoint, LexisNexis, Bank of America, Wachovia, Стэнфордский университет или Калифорнийский университет в Беркли, стремительное разрастание этой проблемы ошеломляет.

Причины такой потери данных известны — от физической потери лент при перевозке до хакеров и даже злоумышленников-инсайдеров. И, конечно, в каждом случае имеет место целый ряд нарушений правил безопасности.

Говорят, что решение — в лучшей сетевой защите, лучшем шифровании, лучших корпоративных мерах безопасности и лучшей «защите данных». Конечно, все эти предлагаемые решения несколько лицемерны, так как они всегда сопровождаются оговоркой: «Мы не можем гарантировать, что это не повторится вновь».

В конечном итоге все это приведет к некоторому пространному куску федерального законодательства о неприкосновенности и защите персональных данных, который наложит новые ограничения на корпоративную практику безопасной работы и вызовет волну новых расходов на ИТ-системы, помогающие решить эту проблему. Но будет ли она когда-нибудь действительно решена?

Я думаю, что нет.

На самом деле это не вопрос потери данных, защиты данных или мер безопасности. Все это, друзья мои, для отвода глаз. В действительности в первую очередь надо решить, почему корпорации должны хранить у себя все эти персональные данные. Почему эмитент моей кредитной карты должен хранить мой номер социальной защиты? Почему Amazon должен хранить мой номер кредитной карты? Почему бы каждой компании не хранить только то, что я ей поручу? И почему бы не ограничить данные, которые они хранят, минимально возможным объемом, необходимым для ведения бизнеса?

Допустим, что все это так. Тогда следующий вопрос: как превратить эту мечту в реальность?

Возможные направления движения
Federated identity — это инфраструктура, которая обеспечивает сопровождение транзакций мерами безопасности. Для этого «электронная персона», или удостоверение личности, связанное с транзакцией, делается «мобильной» и перемещается по разнородным секьюрити-системам. Метасистема электронных персон (identity metasystem) — новая концепция, которая родилась из широкого обсуждения вокруг веб-лога Кима Камерона.

Вкратце, метасистема электронных персон — это концептуальная платформа, которая позволяла бы людям контролировать, какие их характеристики или сведения о них могут предоставляться и храниться. Это относится ко всему: от даты рождения до номера кредитной карты и любимого цвета. На самом деле речь идет о структуре для индивидуального контроля и представления персональных данных. Взятые вместе federated identity (инфраструктура) и метасистема электронных персон (контроль и представление) позволили бы людям управлять своими электронными персонами, чего пока они делать не в состоянии.

Когда я покупаю что-то у Amazon, он запрашивает, принимает и хранит номер моей кредитной карты. В будущем при наличии federated identity и метасистемы электронных персон я смогу дать разрешение на одноразовое использование моей кредитной карты. Это разрешение может быть предоставлено эмитентом кредитной карты, который затем оформит расходный счет. Amazon уже не понадобится хранить (или даже видеть) номер моей кредитной карты.

Такая возможность гораздо ближе к сетевой системе электронной коммерции, которая защищает как компании, так и клиентов. И мы действительно продвинулись бы в решении проблем безопасности персональных данных. Пока же нам придется еще много раз услышать о защите данных, корпоративных мерах безопасности и законодательных инициативах.

Об авторе:
Эрик Норлин — вице-президент по корпоративному маркетингу компании Ping Identity, специализирующейся на управлении электронными персонами.  

 Предыдущие публикации:
2005-05-19   Microsoft предложит карточку покупателя под Windows
Обсуждение и комментарии
dr-Wicked
22 Jun 2005 11:07 AM
"В будущем при наличии federated identity и метасистемы электронных персон я смогу дать разрешение на одноразовое использование моей кредитной карты."
Это уже было Мелкопрог-Кошелёк называлось. Но судьи кто? В объектно ориентированном подходе человек то человек, то компьютер. Когда подходит человек, и просит заплатить, мы оцениваем его, а затем платим или даём в репу. Но наши оценки не всегда адекватны, потому есть прослойка мошенников. А как программа определит, что программа её вызывающая не мошенник. И потом… заставит Амазон удалить номер кредитной карты после полного завершения сделки.
 

Michael - micrcxzahav.net.il
24 Jun 2005 11:20 AM
2 dr-Wicked.

К сожалению, Вы просто не понимаете идею статьи, поэтому Ваша реплика не по делу. А оно (дело) в следующем: Предположим, Вы покупаете нечто в Amazon-e.Номер вашей кредитной карты: #CreditCard. Номер вашего банка: #Bank. Номер компании Amazon: #Amazon. Сгенерируем транзакцию с номером #Transaction=function_encode(#CreditCard,#Amazon,#Bank,#Time ). Передадим эту транзакцию в ваш банк и в Amazon. Теперь Amazon запрашивает деньги, посылая транзакцию #Transaction в банк. В банке проверяют существование транзакция #Transaction. Если она есть, выполняют обратную операцию: #CreditCard=function_decode(#Transaction,#Amazon,#Bank,#Time ); С Вашего счета снимают деньги. Номер транзакции #Transaction вторично задействовать нельзя. Т.е. Amazon снял с вас деньги, не зная номера вашего счета. Вот и все. Если ваш банк держит в секрете алгоритм двух функции function_encode и function_decode никакие хакеры не страшны. Кстати, алгоритмы и ключи кодирования можно постоянно менять.

 

Dr-Wicked
24 Jun 2005 1:03 PM
Да батенька, у вас всё в кодах.
Я так понял чукча не читатель, а писатель.
Она не об основах криптографии. А о централизованных системах проверки.
Читайте внимательнее.
 

Сергей Т.
24 Jun 2005 9:51 PM
2Доктору Зло - перевожу Вашу ответную реплику на нормальный язык: "Я не только тупой, я еще и упрямый".

:) Извините за наезд - не мог удержаться :))
 

Dr-Wicked
25 Jun 2005 10:05 AM
Я может чего то не понимаю?
Что это все обзываются.
Кто мне может объяснить без идиотизма.
1. Если апи открытый, то как библиотека определяет лигитимность вызывающей программы.
2. Если апи закрытый (как предлагает Michael), то накой хер оно надо. Так только клиент-банк работает, в надежде на то, что дизассемблировать всем впадло.
3. Статья, как я понял, была навеяна кражей номеров кредиток. Замечательно. А как ваша система кодирует адреса почты ИМ и мобильного, чтоб воры не спамили, информацию про пол, для исключения домогательств. Не вижу предложений! Вы пытаетесь представить супер-пупер процессинг, в сочетании с универсальным оператором мобильной связи и службой обмена ключей в придачу.
ЗЫ
Спасибо за преводы того, что пишу
 

Dr-Wicked
25 Jun 2005 10:18 AM
Да, чуть не забыл.
Как описанная Вами книжная чушь позволит вам вернуть деньги заказчику через месяц, при использовании двух разных счетов в разных банках?
 

andry
1 Jul 2005 12:33 PM
Честно говоря, вопрос совсем не технический.
Как проверить подлинность и авторство чего-либо, не получая секретных данных автора знают все с тех пор как есть цифровая электронная подпись, то есть алгоритмы на основе private/public keys (например, PGP, сертификаты X.400)

Серьезная криптография никогда, НИКОГДА не строится только на секретности алгоритма - это вообще аксиома.

Вы генерируете транзакцию, ставите на нее цифровую подпись (то есть считаете digest и шифруете его своим private key), отправляете в Amazon, Amazon просит Bank проверить вашу цифровую подпись (то есть расшифровать digest Вашим public key и сравнить) и наличие денег, Bank подтверждает транзакцию - Amazon шлет Вам книгу.

Проблема в том, что люди привыкли к кредиткам, а кредитки были придуманы только для offline-использования.
 

Влад
11 Jul 2005 3:33 PM
2andry
Не путайте людей. Кредитки были выдуманы как альтернатива обычным деньгам. Другое дело, что кредитная карта как продукт позволяет владельцу выполнять покупку в кредит. Т.е. онлайн-проверка суммы теряет свой смысл, так как банк и так предоставляет эти деньги в кредит. Хотя здесь остается еще вопрос о ликвидности самой карты. Но и эта проблема уже решена с приходом карт с чипами.
Вот тут действительно есть место для offline транзакций.
По поводу статьи. Я лично согласен с автором на все 100% в том что каждая сторона должна знать только то что ей следует знать. Амазону следует знать только информацию о своих товарах. Банку о своих картах. В этом случае Амазон должен перенаправить запрос о покупке товара в банк покупателя и получить от банка подтверждение об оплате. При этом здесь не обойтись еще и без третьего участника - самой платежной системы (VISA, MASTERCARD etc).
Данная технология уже работает и название ей 3D-secure.
 

 

← май 2005 17  19  20  21  22  23  24  25  26 июль 2005 →
Реклама!
 

 

Место для Вашей рекламы!