¿Hay algún enfoque inicial para utilizar hashes generados por el servidor para encapsular la condición del paciente de manera concisa y al mismo tiempo maximizar la seguridad?
Por ejemplo, ¿un sistema para representar el perfil med actual en un hash que se puede usar para verificar contraindicaciones sin revelar las prescripciones específicas del componente?
Ninguna que yo sepa. Y creo que esto se debe a que ... no creo que la solución (implícita en la pregunta) sea una buena solución / propuesta.
No solo porque la función de hashing puede tener colisiones (incluso si tiene una probabilidad muy baja, el impacto sería mayor, ¿por qué deberíamos agregar ese riesgo?), sino también porque tiene otro problema antes de hashing: a menos que resuelva algo que aún no se haya resuelto por completo (es decir, interoperabilidad semántica ), en un perfil médico, por ejemplo, puede encontrar / formular el mismo concepto médico de varias maneras diferentes (es decir, diferentes secuencias de texto pueden significa lo mismo / concepto médico) por lo que en esos casos obtendría diferentes hashes que se refieren al mismo concepto (!). ¿Cómo manejarías eso? ¿Podrá asignar todos esos hashes diferentes al mismo concepto médico? (tipo de alergia o lo que sea). ¿Cómo dirías que dos hashes realmente significan dos cosas diferentes ... y qué cosas deberían ser? Creo que no podrá predecir todas las formas diferentes posibles en nuestro idioma, podríamos expresar el mismo concepto y los valores de hashing resultantes serán muy fluidos en términos semánticos.
Incluso si elige utilizar las mejores terminologías y los vocabularios controlados o la información codificada que se usará en el perfil med, seguirán necesitando un mantenimiento y una revisión continuos a lo largo del tiempo (debido a las versiones, etc., por ejemplo, alias, nuevos conceptos, obsoletos conceptos, etc.) todas las cosas que impactarán severamente en la efectividad y confiabilidad de su "sistema de apoyo a la decisión" basado en conceptos ocultos por valores de hashes. Por lo tanto, no creo que sea una buena idea ocultar un concepto médico detrás de los hashes y tomar decisiones basadas únicamente en los valores de los hashes.
Además, si autorizo a mi médico para que acceda a mi registro médico, quiero que vea muy claramente cuál es mi alergia en términos que pueda entender. ¿Se imagina a su médico observando los valores de hash que deben ser asignados en comparación con alguna información médica codificada que no tiene forma de verificar realmente el concepto real que puede haber detrás? No es Buena idea. ¿Quieres compresión? Utilizar algoritmos de compresión. Quieres seguridad Cifrado de usuario con funciones de dos formas e infraestructura de autenticación, etc. (tenga en cuenta que el hash es una función de "un solo sentido"). Simplemente siga usando el hash para aquellas cosas que usamos hoy (para indexar, recuperar elementos de manera más eficiente, para firmas digitales, etc.) NO para ocultar / almacenar conceptos médicos. Yo no innovaría de esta manera. Pero puede ser que estoy equivocado. ¿Hay una mejor respuesta a esto?
Hashing no sería muy práctico en este caso. No debido a colisiones, ya que un buen hash criptográficamente seguro (por ejemplo, SHA-2 ) no tendrá ninguna colisión que Puede ocurrir en la naturaleza con cualquier probabilidad razonable. El problema es que los hashes son unidireccionales, por lo que para deducir sus condiciones, todas las combinaciones posibles deben estar marcadas y comparadas con su hash.
Un enfoque más interesante sería utilizar crypto homomorfo . El criptográfico homomórfico le permite realizar algunas clases de cálculos sobre datos encriptados, por ejemplo. promedios de computación y similares. Microsoft Research ha desarrollado un enfoque muy prometedor en este documento por.
Hay una falla fundamental en el tipo de configuración que sugieres, que es que es intrínsecamente vulnerable a suposiciones informadas . Al enviar solicitudes dirigidas, sería posible reducir el número de condiciones posibles con bastante rapidez; Este es el mismo proceso que se encuentra detrás del diagnóstico médico en sí mismo.
Hay un área de investigación activa sobre el trabajo con bases de datos cifradas, de modo que puede obtener cierta información parcial sobre los datos sin poder descifrarlos. Sin embargo, la información parcial puede ser muy reveladora. Por ejemplo, si tiene un número encriptado x y puede hacer preguntas como "¿es x mayor que 1000?" luego, una búsqueda dicotómica revelará x con una alta precisión dentro de unas pocas docenas de solicitudes.
Esto significa que el modelo de seguridad que se contempla aquí (el médico es el atacante potencial) es una configuración bastante difícil. (Además, tiene un sentido práctico relativamente pequeño: los médicos deben conocer todos los antecedentes médicos de sus pacientes para poder realizar su trabajo correctamente).
Un modelo distinto es el cifrado homomórfico sobre la capacidad de calcular las cosas datos cifrados, de forma que obtenga un resultado cifrado . Esto es útil para descargar la mayor parte del trabajo de cómputo a un sistema potente pero no confiable. Pero quien obtenga el resultado descifrado tiene el poder de descifrar todos los datos almacenados, por construcción; así que este no es el mismo modelo.Lea otras preguntas en las etiquetas privacy hash anonymity confidentiality