¿Usando infraestructura de clave pública o hash para la privacidad de la identificación personal?

Navega tus respuestas
3

Recientemente he estado leyendo sobre el robo de identidad, y me pregunto acerca de algunas soluciones posibles utilizando las técnicas de asimetría / simetría / hashing en el cifrado. Mi idea va a cruzar esas 3 áreas temáticas, así que ten paciencia cuando trato de explicar mi pregunta.

Me pregunto si es / no viable tener algo análogo a una infraestructura de clave pública / privada, de modo que la clave privada sea la información personal que se mantiene en secreto. Esto también sería análogo al criptografía simétrica, ya que solo el emisor (gobierno / empresa) y el individuo tienen los originales que nunca se usan en realidad en ningún lugar, sino que se mantienen en secreto. Dado que el número solo tiene que identificar a la persona (y no está enviando un mensaje que debe ser descifrado), solo tiene que ser verificado por una de las 2 partes que lo tienen. También se podría agregar algo análogo a una autoridad de certificación, aunque es probable que esto se deba a implantes de algún tipo que sería impopular y no creo que sean necesarios ya que la información privada (SSN, DOB, etc.) puede ser mantenido en secreto.

El objetivo es minimizar el robo de identidad, aunque la erradicación probablemente nunca suceda. En este sistema, en lugar de anotar su DOB, SSN, números de tarjeta de crédito o cualquier información que sea exclusiva de alguna entidad, en su lugar solo se conocerían el emisor y la persona de las dos partes. Todos los demás, al usar esos datos, obtendrían una versión pública de los mismos, que se puede reemplazar con otro pin / contraseña para cifrarlos de manera diferente si se comprometen. También podría usarse algún tipo de hash, ya que solo necesita identificar a alguien como auténtico. Entonces, al ir a la tienda de abarrotes o solicitar la universidad, alguien pondría sus datos de hash y esto podría verificarse dentro de algún sistema nacional como auténtico, y usarse para identificar a la persona. Esto podría ser una gran mejora con respecto al sistema actual de simplemente usar algún número que esté directamente relacionado con usted, como el SSN, el DOB o el número de la tarjeta de crédito, y que no pueda (sin grandes dificultades y con poca propagación a través del sistema) cambiado.

Tal vez alguien pueda señalar los problemas lógicos y / o logísticos que lo harían poco práctico.

    
pregunta stackuser 09.12.2013 - 18:22
fuente

2 respuestas

1

Algo muy similar a lo que dices ya ocurre: por ejemplo, permisos de conducir. Pruebo mi identidad a través de la posesión de un certificado de nacimiento / pasaporte, que se valida en una base de datos del gobierno (¿Certificado de nivel superior?), Y luego se me proporciona una licencia de conducir [posiblemente provisional].

A partir de este momento, en casi cualquier momento en que necesito validar mi identidad, puedo hacerlo mostrando un permiso de conducir.

Para un esquema aún más general (aunque en este momento no puedo pensar en que un pasaporte no es suficiente para?), el problema principal parece ser encontrar un emisor que todos sean feliz con muchas personas aquí en el Reino Unido tienen un problema con la cantidad de datos que el gobierno ya tiene sobre ellos. La idea de una única autoridad de certificación con acceso a más detalles que los que se tienen actualmente realmente preocuparía a las organizaciones de libertades civiles.

Alternativamente, ¿quizás está discutiendo un esquema general de menos que un permiso de conducir, en cuyo caso sugiero una 'tarjeta de identificación de la compañía / estudiante' como ejemplo? Para hacer esto, uno usa una autoridad superior (pasaporte y licencia de conducir) para validar su identidad a la compañía, que luego emite un sub-certificado (tarjeta de identificación de la compañía) que en adelante utilizan como prueba adecuada de que la persona es un miembro de personal.

    
respondido por el figlesquidge 09.12.2013 - 20:02
fuente
0

Resulta que la PKI en el sentido clásico (PKIX) es bastante difícil de implementar a menos que pueda controlar el entorno del cliente, que normalmente es solo una opción en una empresa. Para los usuarios normales (ciudadanos privados), esto se complica porque la IU en la mayoría de los navegadores para realizar certificados de cliente para TLS apesta realmente.

En cambio, algunas alternativas están empezando a aparecer dirigidas a individuos. Existe la alianza fido por ejemplo con algunas ideas interesantes. Desafortunadamente son un grupo muy cerrado. Fido intenta crear una forma de conjunto de protocolos tipo PKI para usar tokens hw para autenticarse en sitios web. Fido es esencialmente un intento de hacer que las "tarjetas inteligentes" sean implementables como tecnología de consumo cambiando radicalmente las interfaces y moviendo la interfaz (usb) al navegador.

    
respondido por el leifj 16.03.2014 - 21:50
fuente

Lea otras preguntas en las etiquetas

¿Usos del modelado de amenazas fuera del desarrollo de la aplicación? huella digital inesperada cuando se conecta a través de un escritorio remoto, ¿y ahora qué?