A Technological Infrastructure for Adequate Data Protection on the Internet. Moulinos Konstantinos

Transcript

1 A Technological Infrastructure for Adequate Data Protection on the Internet Moulinos Konstantinos December 2003

2 ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΔΙΑΤΡΙΒΗ για την απόκτηση Διδακτορικού Διπλώματος του Τμήματος Πληροφορικής Κωνσταντίνου Διονυσίου Μουλίνου ΤΕΧΝΟΛΟΓΙΚΗ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Εξεταστική Επιτροπή: Συμβουλευτική Επιτροπή: Πρόεδρος: Γκρίτζαλης Δημήτρης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μέλη: Κάτσικας Σωκράτης, Καθηγητής Πανεπιστήμιο Αιγαίου Αποστολόπουλος Θεόδωρος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Αθήνα, Δεκέμβριος 2003 Πρόεδρος: Γκρίτζαλης Δημήτρης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μέλη: Κάτσικας Σωκράτης, Καθηγητής Πανεπιστήμιο Αιγαίου Αποστολόπουλος Θεόδωρος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Κιουντούζης Ευάγγελος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Χρυσικόπουλος Βασίλης, Καθηγητής Ιόνιο Πανεπιστήμιο Γεωργιάδης Παναγιώτης, Αναπληρωτής Καθηγητής Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών Σπινέλλης Διομήδης, Επίκουρος Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών

3 "Η έγκριση διδακτορικής διατριβής υπό του Τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών δεν υποδηλοί αποδοχή των γνωμών του συγγραφέως". (Ν. 5343/ 1932, αρθρ. 202)

4 ΠΡΟΛΟΓΟΣ ΚΑΙ ΕΥΧΑΡΙΣΤΙΕΣ Η παρούσα διατριβή πραγματεύεται ζητήματα που σχετίζονται με τις Τεχνολογίες Προάσπισης Ιδιωτικότητας στο Διαδίκτυο και έλαβε χώρα σε μια εποχή όπου το θέμα της προστασίας ιδιωτικότητας κεντρίζει ολοένα και περισσότερο το ενδιαφέρον της σύγχρονης κοινωνίας. Όπως γνωρίζει κάθε Διδάκτορας, η εκπόνηση μιας διατριβής είναι επίπονο έργο και απαιτεί την βοήθεια πολλών. Κατ' αρχήν, θέλω να ευχαριστήσω τον Αναπληρωτή Καθηγήτη Δ. Γκρίτζαλη, και δάσκαλό μου, για την αμέριστη συμπαράστασή του, σε όλους τους τομείς της ζωής μου, κατά την διάρκεια των τελευταίων επτά ετών. Η γόνιμη συνεργασία μας με έμαθε πολλά και στο τέλος κατανόησα τα λόγια του Ευαγγελιστή Λουκά "Δεν είναι μαθητής ανώτερος του διδασκάλου αυτού. πας δε τελειοποιημένος θέλει είσθαι ως ο διδάσκαλος αυτού". Ελπίζω η συνεργασία μας να συνεχισθεί και στο μέλλον. Επίσης, θέλω να ευχαριστήσω τους Καθηγητές Θ. Αποστολόπουλο και Σ. Κάτσικα οι οποίοι υπήρξαν μέλη της Τριμελούς Επιτροπής παρακολούθησης της διατριβής. Ειδικά ο πρώτος με βοήθησε πολύ και στα πρώτα, δύσκολα χρόνια της μεταπτυχιακής μου μαθητείας. Ειδικές ευχαριστίες ανήκουν και στον Καθηγητή Ε. Κιουντούζη διότι διέθεσε το χρόνο του και με βοήθησε στη συγγραφή του τρίτου κεφαλαίου. Θα ήθελα επίσης να ευχαριστήσω τους συνεργάτες και φίλους της Διεπιστημονικής Ερευνητικής Ομάδας για την Ασφάλεια στις Τεχνολογίες Πληροφοριών και Επικοινωνιών του Οικονομικού Πανεπιστημίου και του Πανεπιστημίου Αιγαίου για τη συνεργασία μας. Ειδικά, οι Γιάννης Ηλιάδης, Θοδωρής Τρύφωνας, Βασίλης Τσούμας, Στέφανος Γκρίτζαλης Δημήτρης Λέκκας και Σπύρος Κοκολάκης έχουν συμβάλλει ποικιλοτρόπως σε διάφορα στάδια της παρούσας έρευνας. Στη διαμόρφωση της διατριβής σημαντικό ρόλο έπαιξαν και οι εμπειρίες που απέκτησα από την απασχόλησή μου στην Αρχή Προστασίας Δεδομένων. Η καθημερινή τριβή με τους συναδέλφους Ελεγκτές επηρέασε τον τρόπο σκέψης μου σχετικά με την προστασία δεδομένων. Για το λόγο αυτό ευχαριστώ, όλους τους συναδέλφους του τμήματος Ελεγκτών με ειδική αναφορά στους Πελοπίδα Δόνο και Βασίλη Ζορκάδη. Επιπλέον, ευχαριστώ τους Προέδρους της Αρχής, Κωνσταντίνο Δαφέρμο και Δημήτρη Γουργουράκη για τις διευκολύνσεις που παρείχαν ώστε να μπορέσω να ολοκληρώσω το έργο μου. Τέλος, αισθάνομαι βαθιά ευγνωμοσύνη για τον πατέρα μου, Διονύση, που με έμαθε να αγαπάω τα γράμματα, την πρόσφατα εκλιπούσα μητέρα μου, Πόπη, γιατί με έμαθε να είμαι πεισματάρης, τον αδελφό μου, Γεράσιμο, γιατί με στήριξε σε πολύ δύσκολες φάσεις της ζωής μου και τη σύντροφό μου, Μαρίνα, γιατί επιμελήθηκε συστηματικά το κείμενο και, με την υπομονή και ανοχή της, λείανε το δύσβατο δρόμο της ολοκλήρωσης της διατριβής. Αθήνα, 30 Σεπτεμβρίου 2003 Οικονομικό Πανεπιστήμιο Αθηνών Σελ 4

5 Στην μνήμη της μητέρας μου «Μετά από κάθε γιατί να ψάχνεις το γιατί των γιατί. Εκεί θα βρίσκεις πάντα πάνω από τη μισή απάντηση και ίσως όλη την αλήθεια»...όμως το «γιατί των γιατί» παρέμενε αναπάντητο. Έτρεξε το μυαλό μου μέσα στη ζάλη του παντού κι ακούμπησε στη μόνη ελπίδα που βρήκε όρθια, ικανή να μου απαντήσει. Στ' αγαπημένα μου βιβλία." Από το βιβλίο του Νίκου Θέμελη, "Η αναζήτηση" Οικονομικό Πανεπιστήμιο Αθηνών Σελ 5

6 ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ 1 ΕΙΣΑΓΩΓΗ ΠΛΗΡΟΦΟΡΙΚΗ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΑΦΟΡΜΗ ΚΑΙ ΚΙΝΗΤΡΑ ΓΙΑ ΤΗΝ ΠΑΡΟΥΣΑ ΕΡΕΥΝΑ ΑΝΤΙΚΕΙΜΕΝΟ ΚΑΙ ΣΤΟΧΟΙ ΤΗΣ ΔΙΑΤΡΙΒΗΣ ΔΟΜΗ ΤΗΣ ΔΙΑΤΡΙΒΗΣ Δομική περιγραφή της διατριβής Συνοπτική Περιγραφή των κεφαλαίων ΣΥΜΒΟΛΗ ΤΗΣ ΠΑΡΟΥΣΑΣ ΕΡΕΥΝΑΣ ΣΤΟ ΠΕΔΙΟ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Αυθεντικοποίηση χωρίς ταυτοποίηση Δικτυοενδιάμεσοι Ψηφιακές σφραγίδες και επικύρωση πολιτικών προστασίας δεδομένων Διαχείριση ασφάλειας Λειτουργικό μοντέλο ενσωμάτωσης ΤΠΙ Λειτουργικό μοντέλο υπηρεσιών ΕΤΟ ΟΡΙΣΜΟΙ ΚΑΙ ΕΠΙΣΚΟΠΗΣΗ ΤΟΥ ΟΡΓΑΝΟΤΕΧΝΙΚΟΥ ΠΛΑΙΣΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Η ΕΞΕΛΙΞΗ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΙ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Ορισμός της ιδιωτικότητας Μοντέλα ιδιωτικότητας Το δικαίωμα στην ιδιωτικότητα Η ανάπτυξη της Προστασίας Δεδομένων Επίβλεψη της προστασίας δεδομένων Γενικές αρχές και δικαιώματα στην προστασία δεδομένων Διασυνοριακή ροή δεδομένων Η ΑΝΑΓΚΗ ΓΙΑ ΤΕΧΝΟΛΟΓΙΕΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ Η έννοια της ασφάλειας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 6

7 2.2.2 Ιδιότητες της ασφάλειας Παράγοντες απαίτησης ασφάλειας Η ΕΝΝΟΙΑ ΤΗΣ ΑΠΕΙΛΗΣ Απειλές κατά την αποθήκευση Απειλές κατά την μετάδοση ΑΝΤΙΜΕΤΩΠΙΣΗ ΑΠΕΙΛΩΝ Συσχέτιση απειλών και τεχνικών αντιμετώπισής τους Η ΑΝΑΓΚΗ ΓΙΑ ΤΕΧΝΟΛΟΓΙΕΣ ΠΡΟΑΣΠΙΣΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΑΠΕΙΛΕΣ ΚΑΤΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ Απειλές στο επικοινωνιακό επίπεδο Απειλές στο επίπεδο εφαρμογής Τρόποι συλλογής προσωπικών δεδομένων στο Διαδίκτυο ΤΕΧΝΟΛΟΓΙΕΣ ΠΡΟΑΣΠΙΣΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ: ΑΝΑΣΚΟΠΗΣΗ Ταξινόμηση των ΤΠΙ Συσχέτιση των ΤΠΙ με απειλές κατά της ιδιωτικότητας Συσχέτιση απειλών και αρχών ιδιωτικότητας που παραβιάζουν ΣΥΝΟΨΗ ΤΟ ΕΠΙΣΤΗΜΟΛΟΓΙΚΟ ΠΛΑΙΣΙΟ ΤΗΣ ΕΡΕΥΝΑΣ ΟΝΤΟΛΟΓΙΚΕΣ ΚΑΙ ΕΠΙΣΤΗΜΟΛΟΓΙΚΕΣ ΠΑΡΑΔΟΧΕΣ Η ΜΕΘΟΔΟΛΟΓΙΑ ΤΗΣ ΠΑΡΟΥΣΑΣ ΕΡΕΥΝΑΣ Παραδοχές της έρευνας Μεθοδολογία της έρευνας ΕΝΝΟΙΟΛΟΓΙΚΟ ΜΟΝΤΕΛΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΤΕΧΝΟΛΟΓΙΚΗ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Η προστασία προσωπικών δεδομένων ως σύστημα Απαιτήσεις χρήστη Υπηρεσίες Οικονομικό Πανεπιστήμιο Αθηνών Σελ 7

8 3.5 ΣΥΝΟΨΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΜΗΧΑΝΙΣΜΟΙ ΣΥΛΛΟΓΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΔΗΜΙΟΥΡΓΙΑ ΠΕΡΙΓΡΑΜΜΑΤΩΝ ΣΥΜΠΕΡΙΦΟΡΑΣ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΑΝΩΝΥΜΗ ΠΡΟΣΒΑΣΗ ΣΤΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΣΥΜΠΕΡΙΦΟΡΑΣ ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΧΩΡΙΣ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΤΡΙΤΟΥ Ανώνυμα πιστοποιητικά Τριτεγγύηση ταυτότητας Η χρήση συναρτήσεων σύνοψης στην τριτεγγύηση ταυτότητας ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΜΕ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΔΙΚΤΥΟΕΝΔΙΑΜΕΣΟΥ Υπάρχον μοντέλο λειτουργίας δικτυοενδιάμεσων Προβλήματα ασφάλειας υπάρχοντος πλαισίου λειτουργίας Προτεινόμενο μοντέλο λειτουργίας Υπηρεσία Πρόσβασης σε Ανώνυμα Περιγράμματα της ΥΠΔ ΣΥΝΟΨΗ ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΕΠΙΒΛΕΨΗ ΕΝΗΜΕΡΩΣΗ Γενικά Υπηρεσία "Ενημέρωση" της ΥΠΔ ΕΠΙΒΛΕΨΗ Απευθείας επικύρωση πολιτικών προστασίας ιδιωτικότητας Προγράμματα ψηφιακών σφραγίδων Επεκτάσεις Τεχνολογίες υλοποίησης ψηφιακής σφραγίδας Υπηρεσία "Επίβλεψη" της ΥΠΔ ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ Προβλήματα υπάρχοντος πλαισίου διαχείρισης πολιτικών ασφάλειας Προτεινόμενο μοντέλο διαχείρισης ασφάλειας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 8

9 5.3.3 Απαιτήσεις χρήστη Βάση Διαχείρισης Πληροφοριών Ασφάλειας Μοντέλο Διαχείρισης Ασφάλειας Ικανοποίηση απαιτήσεων χρήστη Υπηρεσία "Ασφάλεια" της ΥΠΔ ΣΥΝΟΨΗ ΕΠΙΛΟΓΗ ΑΠΟΚΑΛΥΨΗΣ ΤΑΥΤΟΤΗΤΑΣ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΧΡΗΣΤΗ ΠΡΟΣΤΑΤΗΣ ΤΑΥΤΟΤΗΤΑΣ Προσεγγίσεις του προστάτη ταυτότητας Ανάθεση του προστάτη ταυτότητας σε μια Έμπιστη Οντότητα ΠΡΟΣΕΓΓΙΣΗ ΤΟΥ ΠΡΟΣΤΑΤΗ ΤΑΥΤΟΤΗΤΑΣ ΩΣ ΑΝΕΞΑΡΤΗΤΟΥ ΤΜΗΜΑΤΟΣ ΤΟΥ ΠΣ ΠΡΟΣΤΑΤΗΣ ΤΑΥΤΟΤΗΤΑΣ Απαιτήσεις χρήστη Προσφερόμενες υπηρεσίες Μοντέλο αναφοράς Λειτουργική αρχιτεκτονική ΔΙΚΑΙΩΜΑ ΠΡΟΣΒΑΣΗΣ-ΥΠΗΡΕΣΙΑ "ΠΡΟΣΒΑΣΗ" ΤΗΣ ΥΠΔ ΣΥΝΟΨΗ ΥΠΟΔΟΜΗ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ ΚΑΙ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΕΜΠΙΣΤΟΣΥΝΗ Ορισμός της εμπιστοσύνης Εμπιστοσύνη και προστασία δεδομένων Εμπιστοσύνη και υπηρεσίες ΕΤΟ ΈΜΠΙΣΤΕΣ ΤΡΙΤΕΣ ΟΝΤΟΤΗΤΕΣ ΕΝΣΩΜΑΤΩΣΗ ΥΠΗΡΕΣΙΩΝ ΕΤΟ ΣΤΙΣ ΤΠΕ Απαιτήσεις χρήστη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 9

10 7.3.2 Υπηρεσίες ΕΤΟ Μοντέλο αναφοράς Λειτουργική αρχιτεκτονική ΕΠΙΔΡΑΣΗ ΑΡΧΩΝ-ΔΙΚΑΙΩΜΑΤΩΝ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΥΠΗΡΕΣΙΕΣ ΕΤΟ ΣΥΝΟΨΗ ΣΥΝΟΨΗ, ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΚΑΤΕΥΘΥΝΣΕΙΣ ΠΕΡΑΙΤΕΡΩ ΕΡΕΥΝΑΣ ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ ΥΠΔ ΛΕΙΤΟΥΡΓΙΚΟ ΜΟΝΤΕΛΟ ΥΠΔ Γενικό λειτουργικό μοντέλο Ονοματοδοσία λειτουργικών μονάδων ΣΥΝΟΨΗ ΤΟΥ ΠΡΟΒΛΗΜΑΤΟΣ ΚΑΙ ΤΗΣ ΕΡΕΥΝΗΤΙΚΗΣ ΠΡΟΣΠΑΘΕΙΑΣ ΒΑΘΜΟΣ ΚΑΛΥΨΗΣ ΤΟΥ ΑΡΧΙΚΟΥ ΠΡΟΒΛΗΜΑΤΟΣ ΚΑΙ ΕΚ ΝΕΟΥ ΑΝΟΙΧΤΑ ΘΕΜΑΤΑ ΣΥΜΒΟΛΗ ΣΤΟ ΓΝΩΣΤΙΚΟ ΑΝΤΙΚΕΙΜΕΝΟ ΠΡΟΤΕΙΝΟΜΕΝΗ ΠΕΡΑΙΤΕΡΩ ΕΡΕΥΝΑ ΑΝΑΦΟΡΕΣ ΚΑΙ ΒΙΒΛΙΟΓΡΑΦΙΑ ΣΤΗΝ ΑΓΓΛΙΚΗ ΓΛΩΣΣΑ ΣΤΗΝ ΕΛΛΗΝΙΚΗ ΓΛΩΣΣΑ ΠΡΟΣΒΑΣΗ ΧΩΡΙΣ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΤΡΙΤΟΥ ΜΕ ΑΝΩΝΥΜΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΠΡΟΣΒΑΣΗ ΧΩΡΙΣ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΤΡΙΤΟΥ ΜΕ ΤΡΙΤΕΓΓΥΗΣΗ ΤΑΥΤΟΤΗΤΑΣ ΠΡΟΣΒΑΣΗ ΜΕ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΔΙΚΤΥΟΕΝΔΙΑΜΕΣΟΥ ΜΕ ΑΝΩΝΥΜΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΠΡΟΣΒΑΣΗ ΜΕ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΔΙΚΤΥΟΕΝΔΙΑΜΕΣΟΥ ΜΕ ΤΡΙΤΕΓΓΥΗΣΗ ΤΑΥΤΟΤΗΤΑΣ Οικονομικό Πανεπιστήμιο Αθηνών Σελ 10

11 1 ΕΙΣΑΓΩΓΗ 1.1 Πληροφορική και προστασία δεδομένων Η επίδραση των Τεχνολογιών Πληροφοριών και Επικοινωνιών (ΤΠΕ) στην κοινωνική, οικονομική και προσωπική ζωή του ανθρώπου αποτελεί κεντρικό σημείο της σύγχρονης κοινωνικής προβληματικής και δημοφιλές αντικείμενο μελέτης. Όπως είναι φυσικό, οι απόψεις ποικίλλουν σημαντικά, καλύπτοντας ένα ευρύ φάσμα από την πλήρη δαιμονοποίηση της τεχνολογίας πληροφορικής μέχρι την προσδοκία της "κοινωνίας της αφθονίας", όπου οι νοήμονες μηχανές θα απαλλάξουν τον άνθρωπο από τη δουλεία της εργασίας. Το ότι οι ΤΠΕ επιφέρουν σημαντικές αλλαγές στη ζωή του ανθρώπου που ξεπερνούν σε ένταση κάθε προηγούμενη τεχνολογική επανάσταση, αποτελεί κοινή και αναμφισβήτητη διαπίστωση σε επιστημονικές και μη αναλύσεις. Οι συντελούμενες αλλαγές έχουν ορισμένα ποιοτικά χαρακτηριστικά που δικαιολογούν τη σημασία που τους αποδίδεται: (α) αφορούν όλες τις πτυχές της ζωής του ανθρώπου και (β) πραγματοποιούνται με πρωτόγνωρη, για την ανθρωπότητα ταχύτητα. Τα όρια της προσαρμοστικότητας του ανθρώπου σε αυτόν τον ρυθμό αλλαγών είναι μάλλον άγνωστα. Πολλοί άνθρωποι βιώνουν το πέρασμα στην εποχή των ραγδαίων εξελίξεων ως ισχυρό "σοκ" [TOF-91], ενώ άλλοι εμφανίζουν μεγαλύτερη ευκολία προσαρμογής. Ανεξάρτητα από το βαθμό προσαρμοστικότητας, οι περισσότεροι άνθρωποι υποδέχονται την έλευση των ΤΠΕ με ένα αίσθημα ανασφάλειας. Στο επίπεδο της προσωπικής ζωής η ανασφάλεια παίρνει τη μορφή φόβου για την ενδεχόμενη αδυναμία προστασίας της προσωπικής ζωής του ατόμου [ΚΟΚ-00]. Η διαρκής μείωση του κόστους αποθήκευσης και επεξεργασίας πληροφοριών και η αυξανόμενη ζήτηση προσωπικών πληροφοριών για εμπορική εκμετάλλευση έχουν σαν αποτέλεσμα την ένταση της ανασφάλειας του ανθρώπου. Αυτό προκάλεσε την αύξηση του ενδιαφέροντος σχετικά με το δικαίωμα της ιδιωτικότητας στις δεκαετίες του 60 και του 70. Η δυνατότητα παρακολούθησης από υπολογιστικά ισχυρές μηχανές οδήγησε στην ανάγκη δημιουργίας κανόνων που ρυθμίζουν την συλλογή και διαχείριση προσωπικών πληροφοριών. Η γέννηση του σύγχρονου νομικού πλαισίου σε αυτή την περιοχή συσχετίζεται με τον πρώτο, σε παγκόσμιο επίπεδο, νόμο προστασίας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 11

12 δεδομένων που ενεργοποιήθηκε στα 1970 στο κρατίδιο της Έσσης της Γερμανίας. Από τότε πολλά κράτη ή μεγαλύτερα κοινωνικά σύνολα που ξεπερνούν τα στενά όρια ενός κράτους (π.χ. η Ευρωπαϊκή Κοινότητα) έχουν θεσπίσει νόμους για την προστασία από την επεξεργασία δεδομένων, που αντανακλούν την κουλτούρα τους και εκφράζουν την φροντίδα για την αύξηση του αισθήματος ασφάλειας των πολιτών τους. Η συστηματική καταγραφή και μελέτη των διεθνών νόμων οδήγησε στην ομαδοποίηση τους σε τέσσερις μεγάλες κατηγορίες που ονομάζονται μοντέλα προστασίας δεδομένων (privacy models, βλ ). Το αίσθημα ανασφάλειας των ανθρώπων, οδήγησε, εκτός από την θέσπιση των γενικών νόμων, στην αλλαγή των διαδικασιών, πρακτικών και λειτουργιών που απαιτούνται για τη συλλογή και επεξεργασία των προσωπικών δεδομένων. Οι νέες αυτές διαδικασίες πήραν την μορφή θεμελιωμένων αρχών προστασίας δεδομένων (data protection principles), οι οποίες, με τη σειρά τους, αποτυπώθηκαν στους νόμους περί προστασίας δεδομένων του κάθε κράτους. Παρά τις διαφοροποιήσεις, υπάρχουν κάποιες βασικές αρχές που διέπουν τη συλλογή και επεξεργασία των προσωπικών δεδομένων που απαντώνται σε όλα τα μοντέλα προστασίας δεδομένων και είναι γνωστές ως βασικές αρχές προστασίας δεδομένων (βλ ). Οι νέοι νόμοι περί προστασίας δεδομένων, με τη σειρά τους, επηρέασαν την εσωτερική οργάνωση των οργανισμών που τα επεξεργάζονται. Παράδειγμα αυτής της επίδρασης, αποτελεί η δημιουργία του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer) στο οργανόγραμμα μεγάλων οργανισμών. Τέλος, οι απειλές κατά της ασφάλειας και της ιδιωτικότητας των πληροφοριών, σε συνδυασμό με την κατακόρυφη αύξηση της χρήσης του Διαδικτύου ως μέσου ανταλλαγής τους, έδωσαν το έναυσμα για την ανάπτυξη ΤΠΕ που θα αντιμετωπίζουν τις συγκεκριμένες απειλές. Οι ΤΠΕ που έχουν σαν στόχο την προστασία της ασφάλειας των πληροφοριών είναι γνωστές ως Τεχνολογίες Ασφάλειας Πληροφοριών και Επικοινωνιών (ΤΑΠΕ) ενώ οι ΤΠΕ που έχουν σαν στόχο την αποφυγή ή περιορισμό της συλλογής και επεξεργασίας προσωπικών δεδομένων είναι γνωστές με τον όρο Τεχνολογίες Προάσπισης Ιδιωτικότητας (ΤΠΙ, Privacy Enhancing Technologies) [EPI-01]. Με βάση τα παραπάνω προκύπτει ότι η ανασφάλεια σε σχέση με τις ΤΠΕ είναι ένα ζήτημα με τεχνικές και κοινωνικές διαστάσεις. Αντίστοιχα, τα μέτρα αντιμετώπισης της ανασφάλειας μπορούν να χωριστούν σε τεχνικά και κοινωνικά [KOW-94]. Τα τεχνικά αφορούν τα δεδομένα, το υλικό και το λογισμικό των υπολογιστικών συστημάτων, ενώ τα κοινωνικά μπορούν να χωρισθούν σε τέσσερις κατηγορίες: (α) νομικά-κανονιστικά, (β) λειτουργικά-διαδικαστικά, (γ) διοικητικά-διαχειριστικά και (δ) ηθικά-κουλτούρας (βλ. Πίνακας 1). Κατηγορίες μέτρων άμβλυνσης της ανασφάλειας Νομικά-Κανονιστικά Παράδειγμα Οδηγία 95/46 της Ε.Ε, για την προστασία προσωπικών δεδομένων Οικονομικό Πανεπιστήμιο Αθηνών Σελ 12

13 Ηθικά-Κουλτούρας Λειτουργικά-Διαχειριστικά Διοικητικά-Διαχειριστικά Τεχνικά (Υλικό, Λογισμικό, Δεδομένα) Μοντέλα Προστασίας Δεδομένων Βασικές αρχές προστασίας δεδομένων Τοποθέτηση Υπευθύνου Προστασίας Δεδομένων και καθορισμός σχετικών αρμοδιοτήτων Τεχνολογίες Προάσπισης Ιδιωτικότητας Πίνακας 1: Κατηγορίες μέτρων άμβλυνσης της ανασφάλειας σε σχέση με την προσβολή της ιδιωτικότητας που προκαλούν οι ΤΠΕ Συνοψίζοντας, η αύξηση στην χρήση των ΤΠΕ και του Διαδικτύου (Internet), συνέβαλε στην αύξηση της ανασφάλειας των ανθρώπων, σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, και έκανε ορατή την ανάγκη να μελετηθούν και αναπτυχθούν: (α) το κανονιστικό πλαίσιο για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία των προσωπικών του δεδομένων, (β) η ασφάλεια των ΤΠΕ και (γ) οι ΤΠΙ. Οι παραπάνω τρεις συνιστώσες οριοθετούν το οργανοτεχνικό πλαίσιο λειτουργίας σχετικά με την προστασία των προσωπικών δεδομένων του ατόμου και η μελέτη του πρέπει να λάβει υπ' όψη, τόσο τους τεχνικούς όσο και τους κοινωνικούς παράγοντες που εμπλέκονται. 1.2 Αφορμή και κίνητρα για την παρούσα έρευνα Τα ζητήματα που σχετίζονται με την προστασία των προσωπικών δεδομένων που διακινούνται στο Διαδίκτυο έχουν συγκεντρώσει το ενδιαφέρον τόσο των επιχειρήσεων όσο και των επιστημόνων της πληροφορικής. Κατά την διάρκεια της προηγούμενης δεκαετίας, εμφανίσθηκε μεγάλος όγκος εργασιών και ερευνών σχετικές με την προστασία των δεδομένων στο Διαδίκτυο. Παρά την ανάπτυξη των ΤΠΙ και την υιοθέτηση νόμων περί προστασίας δεδομένων, παραμένει έντονο το αίσθημα ανασφάλειας των χρηστών του Διαδικτύου σχετικά με την ιδιωτικότητα και την ασφάλεια των προσωπικών τους δεδομένων που διακινούνται στο Διαδίκτυο. Συγκεκριμένα, συγκριτική έρευνα που πραγματοποιήθηκε από τον Maximilian Teltzrow και τον Alfred Cobsa το 2003, και περιελάμβανε τριάντα έρευνες σχετικές με την προστασία δεδομένων, έδειξε ότι το 81%, το χρηστών ανησυχούν για την ιδιωτικότητα των προσωπικών πληροφοριών τους, καθόλη την διάρκεια σύνδεσής τους στο Διαδίκτυο [TEL-03]. Τα στατιστικά αποτελούν ένδειξη ότι δεν υπάρχει εμπιστοσύνη των χρηστών και ότι οι περισσότεροι θεωρούν την προστασία των δεδομένων τους ως αναπόσπαστο τμήμα της εμπιστοσύνης στο Διαδίκτυο. Χαρακτηριστικά είναι τα στοιχεία που προέκυψαν κατά την διάρκεια έρευνας του έγκυρου περιοδικού BusinessWeek το 1998, και αποκαλύπτουν ότι το 78% των ερωτηθέντων χρηστών, θα ήταν πρόθυμοι να χρησιμοποιήσουν το Διαδίκτυο για την διενέργεια απευθείας (on line) συναλλαγών με τον όρο ότι θα εξασφαλιζόταν η ιδιωτικότητα των δεδομένων τους [BUS-98]. Σε τεχνικό επίπεδο, επιστημονική έρευνα που πραγματοποίησε ο France Belanger και άλλοι ερευνητές το 2002 [BEL-02], οι ψηφιακές σφραγίδες πιστοποίησης από τρίτες οντότητες, η ανακοίνωση των πολιτικών προστασίας δεδομένων, τα χαρακτηριστικά ασφάλειας ενός δικτυακού τόπου και η χρήση τεχνολογιών ανωνυμίας αναδεικνύονται, από τους χρήστες, ως Οικονομικό Πανεπιστήμιο Αθηνών Σελ 13

14 οι κυριότεροι μηχανισμοί που συνεισφέρουν στην αύξηση της εμπιστοσύνης ενώ σε νομικόκανονιστικό επίπεδο το 50% των ερωτηθέντων θεωρεί ότι θα πρέπει να υιοθετηθούν νόμοι που ρυθμίζουν θέματα που σχετίζονται με την προστασία δεδομένων στο διαδίκτυο. Συνεπώς, μπορούμε να συμπεράνουμε ότι η προστασία των προσωπικών δεδομένων στο Διαδίκτυο είναι ένα ανοικτό για έρευνα ζήτημα. Πιο συγκεκριμένα αφορμή για την παρούσα έρευνα έδωσαν οι παρακάτω διαπιστώσεις: 1. Παρά την ύπαρξη νόμων προστασίας δεδομένων, στο φυσικό κόσμο, δεν υπάρχει η αίσθηση στους χρήστες του Διαδικτύου ότι αυτοί οι νόμοι εφαρμόζονται και στο διαδικτυακό περιβάλλον [TEL-03]. 2. Παρά την ύπαρξη Αρχών (authorities), ή οργανισμών με εμπειρία στην προστασία δεδομένων, που ελέγχουν την τήρηση των νόμων, η διαδικτυακή δραστηριοποίησή τους, συνήθως, περιορίζεται μόνο στην ενημέρωση των πολιτών μέσω της ανάρτησης πληροφοριακού υλικού στις ιστοσελίδες των διαδικτυακών τόπων τους. 3. Παρά το γεγονός ότι υπάρχει βιβλιογραφία για κάθε μια από τις βασικές αρχές προστασίας δεδομένων, εντούτοις απουσιάζουν ερευνητικές προσπάθειες που προσπαθούν να εξετάσουν την προστασία προσωπικών δεδομένων, συνολικά, ως μια ολότητα που αποτελείται από ρόλους και σχέσεις που διέπουν τις αλληλεπιδράσεις μεταξύ των ρόλων. 4. Πολλές από τις προτεινόμενες ΤΠΙ παρουσιάζουν ελλείψεις που οφείλονται είτε στο πρώιμο στάδιο της εμφάνισής τους είτε σε παραλήψεις στη σχεδίασή τους. 1.3 Αντικείμενο και στόχοι της διατριβής Αντικείμενο της διατριβής είναι οι τεχνολογίες προστασίας προσωπικών δεδομένων. Σκοπός της διατριβής είναι η διερεύνηση του υπάρχοντος οργανοτεχνικού πλαισίου προστασίας δεδομένων και περιγραφή ενός λειτουργικού μοντέλου, ανεξάρτητου τεχνολογίας υλοποίησης, κατάλληλου για κοινό τόπο αναφοράς χρηστών του Διαδικτύου που επιθυμούν την πρόσβαση σε διαδικτυακές υπηρεσίες προστασίας δεδομένων. Τα κύρια ζητήματα στα οποία επικέντρωσε η παρούσα διατριβή είναι: 1. Αποτύπωση του εννοιολογικού-αφαιρετικού μοντέλου προστασίας δεδομένων με σκοπό τον προσδιορισμό των ρόλων και των μεταξύ τους συσχετίσεων που είναι κοινοί σε όλα τα μοντέλα ιδιωτικότητας (privacy models). 2. Αντιμετώπιση τεχνολογικών ζητημάτων που εμποδίζουν την περιγραφή των υπηρεσιών μιας κλιμακούμενης, επεκτάσιμης και στηριγμένης σε πρότυπα διαδικτυακής Υποδομής Προστασίας Δεδομένων (ΥΠΔ, Data Protection Infrastructure). 3. Συγκρότηση του μοντέλου αναφοράς και του λειτουργικού μοντέλου της διαδικτυακής τεχνολογικής ΥΠΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 14

15 Στο πλαίσιο αυτό, οι στόχοι της παρούσας έρευνας είναι οι εξής: 1. Αποτύπωση του εννοιολογικού-αφαιρετικού μοντέλου προστασίας δεδομένων με σκοπό τον προσδιορισμό των ρόλων και των μεταξύ τους συσχετίσεων που είναι κοινοί σε όλα τα μοντέλα ιδιωτικότητας. 2. Περιγραφή των υπηρεσιών μιας κλιμακούμενης, επεκτάσιμης και στηριγμένης σε πρότυπα διαδικτυακής ΥΠΔ που ενσωματώνει τις παρατηρήσεις από την αντιμετώπιση των σχετικών τεχνολογικών ζητημάτων. 3. Συγκρότηση μοντέλου αναφοράς της τεχνολογικής διαδικτυακής ΥΠΔ, το οποίο θα στηρίζεται στο αντίστοιχο εννοιολογικό-αφαιρετικό μοντέλο, και λειτουργικού μοντέλου που περιγράφει τις λειτουργικές μονάδες των υπηρεσιών της ΥΠΔ με τις μεταξύ τους συσχετίσεις, καθώς επίσης και τις συσχετίσεις αυτών με τις τεχνολογίες που δύναται να χρησιμοποιηθούν για την υλοποίησή τους. 1.4 Δομή της διατριβής Δομική περιγραφή της διατριβής Η παρούσα διατριβή χωρίζεται σε τρία μέρη και οκτώ κεφάλαια. Στο πρώτο μέρος (Κεφάλαια 2 και 3) διαμορφώνεται το εννοιολογικό και επιστημολογικό υπόβαθρο, το οποίο είναι απαραίτητο για την κατανόηση της οπτικής μέσα από την οποία αντιμετωπίζεται το ζήτημα της διαδικτυακής προστασίας δεδομένων από τον ερευνητή. Επίσης, γίνεται ανασκόπηση των βασικών εννοιών του υπάρχοντος κανονιστικού πλαισίου. Από την ανασκόπηση προκύπτουν οι ρόλοι που εμπλέκονται στην προστασία δεδομένων και οι μεταξύ τους σχέσεις και τεκμηριώνεται η έννοια της τεχνολογικής Υποδομής Προστασίας Δεδομένων. Στη συνέχεια εξετάζονται οι απειλές κατά της διαδικτυακής ασφάλειας και ιδιωτικότητας των πληροφοριών. Επιπλέον, γίνεται ανασκόπηση των ΤΑΠΕ και των ΤΠΙ και επισημαίνεται ο ρόλος της κρυπτογραφίας δημοσίου κλειδιού στην παροχή απευθείας υπηρεσιών προστασίας δεδομένων [MOU-00b]. Το αποτέλεσμα αυτής της διαδικασίας είναι η δημιουργία ενός κοινού τόπου αναφοράς του οργανοτεχνικού πλαισίου προστασίας δεδομένων ο οποίος εστιάζει: (α) στους ρόλους που εμπλέκονται σε ένα σύστημα προστασίας δεδομένων και τις μεταξύ τους σχέσεις (εννοιολογικό μοντέλο), (β) τις ΤΠΙ που μπορούν να εφαρμοσθούν για την διαδικτυακής υποστήριξη των ρόλων και των μεταξύ τους σχέσεων και (γ) τη διαπίστωση ότι οι περισσότερες ΤΠΙ κάνουν χρήση υπηρεσιών Έμπιστης Τρίτης Οντότητας (ΕΤΟ). Τέλος, καθορίζονται οι απαιτήσεις χρήσης από την διαδικτυακής τεχνολογική ΥΠΔ και καθορίζονται οι υπηρεσίες που απαιτούνται για να συγκροτηθεί το λειτουργικό μοντέλο της. Το δεύτερο μέρος (Κεφάλαιο 4 έως 7) ασχολείται με τα τεχνολογικά ζητήματα που εμποδίζουν την περιγραφή των υπηρεσιών της διαδικτυακής τεχνολογικής ΥΠΔ. Με δεδομένη την ύπαρξη μιας ΕΤΟ, κατάλληλης να λειτουργήσει σε ένα απευθείας περιβάλλον Οικονομικό Πανεπιστήμιο Αθηνών Σελ 15

16 προστασίας δεδομένων, τα κεφάλαια τέσσερα, πέντε και έξι επικεντρώνουν στην εξέταση καθεμιάς υπηρεσίας που προσφέρει η ΥΠΔ ξεχωριστά. Στα πλαίσια αυτά αποτυπώνεται η υφιστάμενη κατάσταση των τεχνολογιών που υποστηρίζουν την συγκεκριμένη υπηρεσία, εντοπίζονται τυχόν προβλήματα και προτείνονται τεχνολογίες που αντιμετωπίζουν τα εντοπισθέντα προβλήματα [GRI-01a], [GRI-01b], [SPI-02], [APO-98a], [APO-98b]. Το περιεχόμενο του εβδόμου κεφαλαίου σχετίζεται με τη διαπίστωση ότι ενώ οι περισσότερες ΤΠΙ, στις οποίες στηρίζονται οι υπηρεσίες της διαδικτυακής τεχνολογικής ΥΠΔ, κάνουν χρήση υπηρεσιών ΕΤΟ, απουσιάζει μια ευρείας αποδοχής ΥΔΚ ως φορέας υποστήριξης των σχετικών τεχνολογιών. Στα πλαίσια του ίδιου κεφαλαίου περιγράφεται ένα λειτουργικό μοντέλο ενσωμάτωσης υπηρεσιών ΕΤΟ στις ΤΠΕ [GRI-00], [GRI-01]. Η προκύπτουσα από την χρήση του προτεινόμενου μοντέλου Υποδομή Δημοσίου Κλειδιού (ΥΔΚ, Public Key Infrastructure) μπορεί πλέον να χρησιμοποιηθεί από τις υπηρεσίες της διαδικτυακής ΥΠΔ. Τέλος, στο τρίτο μέρος (κεφάλαιο 8) παρουσιάζονται το μοντέλο αναφοράς και το λειτουργικό μοντέλο της διαδικτυακής τεχνολογικής ΥΠΔ. Τα συμπεράσματα της έρευνας και τα ανοικτά ερευνητικά πεδία κλείνουν την διατριβή. Η δομή της διατριβής απεικονίζεται σχηματικά στο Σχήμα 1. Η περιγραφή του εννοιολογικού και επιστημολογικού υπόβαθρου, στο πρώτο μέρος, κρίθηκε χρήσιμη και αναγκαία, διότι: ο νέος, σε σχέση με άλλους, επιστημονικός κλάδος της Προστασίας Δεδομένων, δεν έχει αποκρυσταλλώσει ένα εννοιολογικό και επιστημολογικό υπόβαθρο, με συνέπεια να συνυπάρχουν αντικρουόμενοι τρόποι θεώρησης της προστασίας δεδομένων. η διεπιστημονικότητα του ζητήματος της διαδικτυακής προστασίας δεδομένων (νομοπληροφορική), που χαρακτηρίζεται από την αλληλεξάρτηση της νομικής και της τεχνικής διάστασης, επιβάλλει τη διαμόρφωση κοινής γλώσσας. οι τεχνολογίες που θα προταθούν, καλούνται να στηρίξουν ένα σύστημα προστασίας δεδομένων, το οποίο με τη σειρά του πρέπει πρώτο από όλα να ορισθεί. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 16

17 Σχήμα 1: Δόμηση της παρούσας διατριβής Συνοπτική Περιγραφή των κεφαλαίων Η ανάπτυξη της παρούσας διατριβής γίνεται σε εννέα κεφάλαια και ακολουθεί σε γενικές γραμμές τη ροή της δομικής περιγραφής που παρουσιάσθηκε. Οι βιβλιογραφικές αναφορές παρατίθενται στο κεφάλαιο 9, ενώ παράλληλα υπάρχουν επιπλέον τρία παραρτήματα. Σε αυτά περιλαμβάνεται λεπτομερειακό υλικό απαραίτητο για την επιστημονική τεκμηρίωση της διατριβής. Στο κεφάλαιο 1 "ΕΙΣΑΓΩΓΗ", περιλαμβάνεται η περιγραφή, η οριοθέτηση και η σημασία επίλυσης του προβλήματος. Αναλύονται οι γενικοί στόχοι τους οποίους επιχειρεί να προσεγγίσει η διατριβή και συμβολή της στη γνωστική περιοχή. Στο κεφάλαιο 2 "ΟΡΙΣΜΟΙ ΚΑΙ ΕΠΙΣΚΟΠΗΣΗ ΤΟΥ ΟΡΓΑΝΟΤΕΧΝΙΚΟΥ ΠΛΑΙΣΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ" αναφέρεται συνοπτικά η εξέλιξη του διεθνούς κανονιστικού πλαισίου ιδιωτικότητας και προστασίας προσωπικών δεδομένων. Στην συνέχεια γίνεται ανασκόπηση των απειλών κατά της ασφάλειας πληροφοριών και κατά της ιδιωτικότητας. Επιπλέον, παρατίθενται γνωστοί τρόποι αντιμετώπισης των απειλών αυτών. Στη συνέχεια, γίνεται ανασκόπηση των τεχνολογιών και προτύπων ασφάλειας και προάσπισης ιδιωτικότητας των πληροφοριών. Ο εξοικειωμένος, με τα παραπάνω ζητήματα, αναγνώστης μπορεί να διαβάσει τα συγκεντρωτικά αποτελέσματα (βλ έως 2.7.3) και τη σύνοψη του κεφαλαίου (βλ. 2.8) και να προχωρήσει στο επόμενο κεφάλαιο. Στο κεφάλαιο 3 "ΤΟ ΕΠΙΣΤΗΜΟΛΟΓΙΚΟ ΠΛΑΙΣΙΟ ΤΗΣ ΕΡΕΥΝΑΣ" αναφέρονται οι παραδοχές και η μεθοδολογία της έρευνας. Στα πλαίσια του κεφαλαίου παρουσιάζεται το Οικονομικό Πανεπιστήμιο Αθηνών Σελ 17

18 αφαιρετικό εννοιολογικό μοντέλο αναφοράς της προστασίας δεδομένων (Ζήτημα 1ο της διατριβής), οι απαιτήσεις χρήσης και η αντιστοίχησή τους με τις υπηρεσίες της διαδικτυακής τεχνολογικής ΥΠΔ. Τα κεφάλαια 4 έως 7 ασχολούνται με το 2ο ζήτημα της διατριβής. Στο κεφάλαιο 4, "ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ", αναδεικνύεται η αρχή της αναλογικότητας ως βασικής προϋπόθεσης για τη συλλογή προσωπικών δεδομένων και τεκμηριώνεται ο αρνητικός ρόλος των καταναλωτικών περιγραμμάτων στο Διαδίκτυο. Στην συνέχεια εξετάζονται οι διάφορες τεχνολογικές προσεγγίσεις αντιμετώπισης του προβλήματος και εντοπίζονται τα μειονεκτήματά τους. Τέλος, παρουσιάζονται δύο εναλλακτικοί μηχανισμοί δημιουργίας ανώνυμων καταναλωτικών περιγραμμάτων (profiles) τα οποία δεν παρουσιάζουν τα εντοπισθέντα μειονεκτήματα. Ο πρώτος μηχανισμός αφορά τη διαμεσολάβηση μιας ΕΤΟ στην αυθεντικοποίηση, χρηστών του Διαδικτύου, χωρίς ταυτοποίηση, από πλευράς των ιδιοκτητών δικτυακών τόπων, ενώ ο δεύτερος αφορά στο επιχειρηματικό μοντέλο (business model) του δικτυοενδιάμεσου (infomediary). Το κεφάλαιο 5, "ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΕΠΙΒΛΕΨΗ", αναφέρεται στην επίβλεψη των πολιτικών προστασίας δεδομένων. Αρχικά τεκμηριώνεται η σπουδαιότητα ύπαρξης μιας πολιτικής προστασίας προσωπικών δεδομένων για την ενημέρωση των χρηστών του Διαδικτύου. Στην συνέχεια ορίζεται η έννοια της ψηφιακής σφραγίδας ως μέσου επικύρωσης πολιτικών προστασίας προσωπικών δεδομένων και αναλύονται υπάρχοντες μηχανισμοί ψηφιακής σφραγίδας. Κατά την διάρκεια αυτής της ανάλυσης επισημαίνονται οι αδυναμίες των ευρύτερα διαδεδομένων μηχανισμών ψηφιακής σφραγίδας. Οι προσδιορισμένες αδυναμίες και οι απαιτήσεις χρηστών, έτσι όπως αυτές προέκυψαν μέσα από Ευρωπαϊκά έργα και την διεθνή εμπειρία, αποτελούν την βάση για την περιγραφή ενός νέου μηχανισμού ψηφιακής σφραγίδας. Τέλος, αναδεικνύεται η αναγκαιότητα της μετάβασης από τις προδιαγραφές της πολιτικής ασφάλειας στην υλοποίησή της με αυτοματοποιημένο τρόπο που στηρίζεται σε πρότυπα. Στην συνέχεια, παρατίθενται τα μειονεκτήματα του υπάρχοντος πλαισίου διαχείρισης των τεχνικών μέτρων ασφάλειας και προτείνεται ένα νέο μοντέλο διαχείρισής τους. Παράλληλα, περιγράφονται η αρχιτεκτονική ενός συστήματος διαχείρισης, που ακολουθεί το παραπάνω μοντέλο, και η δομή μιας Βάσης Πληροφοριών Διαχείρισης (Management Information Base) ασφάλειας. Στο κεφάλαιο 6, "ΕΠΙΛΟΓΗ ΑΠΟΚΑΛΥΨΗΣ ΤΑΥΤΟΤΗΤΑΣ", εξετάζεται το δικαίωμα της επιλογής αποκάλυψης της ταυτότητας των χρηστών του Διαδικτύου. Οριοθετείται το πρόβλημα του περιορισμού του δικαιώματος της επιλογής αποκάλυψης και τεκμηριώνονται τα μειονεκτήματα των υπαρχόντων τεχνολογικών λύσεων του προβλήματος. Στη συνέχεια παρουσιάζεται ένα λειτουργικό μοντέλο ενσωμάτωσης ΤΠΙ στις ΤΠΕ ως μέτρο προστασίας του δικαιώματος επιλογής αποκάλυψης. Στο κεφάλαιο 7 "ΥΠΟΔΟΜΗ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ ΚΑΙ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ", εξετάζεται ο ρόλος των ΕΤΟ για την εύρυθμη λειτουργία της διαδικτυακής τεχνολογικής ΥΠΔ. Αναδεικνύεται ο σημαντικός ρόλος των ΕΤΟ, εξετάζονται οι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 18

19 περιβαλλοντικοί (context) παράγοντες που επηρεάζουν τη λειτουργία της ΕΤΟ και γίνεται ανασκόπηση των τεχνολογικών προτύπων που σχετίζονται με τις λειτουργίες της ΕΤΟ, έχοντας ως τελικό στόχο την παρουσίαση ενός τεχνολογικού περιγράμματος. Επίσης, προτείνεται ένα ολοκληρωμένο πλαίσιο παροχής υπηρεσιών ΕΤΟ, το οποίο καλύπτει μεγάλο εύρος απαιτήσεων ασφάλειας. Τέλος προτείνεται ένα αφαιρετικό μοντέλο αναφοράς και μία λειτουργική αρχιτεκτονική για την παροχή ανοικτών και κατανεμημένων υπηρεσιών ΕΤΟ, που χαρακτηρίζεται από ευελιξία, δυνατότητα κλιμάκωσης, χρησιμότητα, επεκτασιμότητα και προτυποποίηση. Στη συνέχεια παρουσιάζονται οι λειτουργικές ομάδες και οι μεταξύ τους αλληλεπιδράσεις, διαμορφώνοντας έτσι μία λειτουργική αρχιτεκτονική. Αυτή η αρχιτεκτονική αντιστοιχίζεται στην υπάρχουσα τεχνολογία και προτείνεται ένα ολοκληρωμένο τεχνολογικό περίγραμμα. Στο κεφάλαιο 8, "ΣΥΝΟΨΗ, ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΚΑΤΕΥΘΥΝΣΕΙΣ ΠΕΡΑΙΤΕΡΩ ΕΡΕΥΝΑΣ", της διατριβής συγκροτείται το μοντέλο αναφοράς και το λειτουργικό μοντέλο της διαδικτυακής τεχνολογικής ΥΠΔ. Επιπλέον, γίνεται μια σύνοψη του προβλήματος, παρατίθενται τα γενικά συμπεράσματα της διατριβής και σκιαγραφούνται οι προοπτικές για περαιτέρω έρευνα. Τέλος, στο Κεφάλαιο 9 (σελ. 244) παρατίθεται αλφαβητικά η βιβλιογραφία, ξενόγλωσση και ελληνική, στην οποία αναφέρεται η παρούσα διατριβή. Στο Παράρτημα Ι (σελ. 257) περιγράφεται η διεπαφή χρήσης της υπηρεσίας πρόσβασης σε ανώνυμα περιγράμματα που αναλύεται στο κεφάλαιο 4. Στο Παράρτημα ΙΙ (σελ. 265) περιγράφεται η διεπαφή χρήσης της υπηρεσίας επίβλεψης της οποίας η ανάλυση γίνεται στο κεφάλαιο 5 ενώ στο τελευταίο παράρτημα (Παράρτημα IΙΙ, σελ. 267) περιγράφεται η διεπαφή χρήσης του προστάτη ταυτότητας, η λειτουργικότητα του οποίου αναλύεται στο κεφάλαιο Συμβολή της παρούσας έρευνας στο πεδίο της προστασίας προσωπικών δεδομένων στο Διαδίκτυο Με την παρούσα διατριβή επιχειρείται η αποτύπωση του λειτουργικού μοντέλου ενός διαδικτυακής συστήματος προστασίας δεδομένων. Η κύρια συνεισφορά της διατριβής συνίσταται: 1. Αποτύπωση του κοινού εννοιολογικού-αφαιρετικού μοντέλου αναφοράς των διαφορετικών προσεγγίσεων της προστασίας δεδομένων και ορισμός της διαδικτυακής τεχνολογικής ΥΠΔ. 2. Αντιμετώπιση τεχνολογικών ζητημάτων των υπηρεσιών της διαδικτυακής τεχνολογικής ΥΠΔ. Κατά την διάρκεια αυτού του σταδίου πραγματοποιήθηκαν τα εξής: α. Περιγραφή μηχανισμού αυθεντικοποίησης, με μεσολάβηση μιας ΕΤΟ, των χρηστών του Διαδικτύου χωρίς ταυτοποίηση από πλευράς των ιδιοκτητών δικτυακών τόπων, που χρησιμοποιεί την τεχνική της Τριτεγγύησης Ταυτότητας (Identity Escrow). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 19

20 β. Περιγραφή επιχειρηματικού μοντέλου διενέργειας ανώνυμων απευθείας (on line) συναλλαγών με την μεσολάβηση δικτυοενδιαμέσων, το οποίο αντιμετωπίζει τα προβλήματα του υπάρχοντος μοντέλου δικτυοενδιαμέσων και προστατεύει τους χρήστες του Διαδικτύου από τη δημιουργία καταναλωτικών περιγραμμάτων με προσωπικά δεδομένα. γ. Περιγραφή ασφαλούς μηχανισμού που αντιμετωπίζει τα προβλήματα των υπαρχόντων προγραμμάτων ψηφιακής σφραγίδας επικύρωσης πολιτικών προστασίας προσωπικών δεδομένων. δ. Περιγραφή πλαισίου διαχείρισης των τεχνικών μέτρων ασφάλειας με στόχο την υποβοήθηση της αυτοματοποιημένης, και στηριγμένης σε πρότυπα, μετάβασης από τις προδιαγραφές των τεχνικών μέτρων της πολιτικής ασφάλειας στην διαχείρισή τους στο πλαίσιο ενός Πληροφοριακού Συστήματος (ΠΣ). ε. Πρόταση για αρχιτεκτονική διαχείρισης των τεχνικών μέτρων ασφάλειας, σύμφωνη με το προτεινόμενο πλαίσιο, η οποία είναι λειτουργική, επεκτάσιμη, στηρίζεται σε πρότυπα, ασφαλής, ευέλικτη και προσφέρει διαχείριση από ένα κεντρικό σημείο. στ. Περιγραφή λειτουργικού μοντέλου κατάλληλου για την ενσωμάτωση των ΤΠΙ στις ΤΠΕ με σκοπό την αύξηση της δυνατότητας αυτοπροστασίας και κατά συνέπεια της κατοχύρωσης του δικαιώματος του πληροφοριακού αυτοπροσδιορισμού του ατόμου. ζ. Περιγραφή λειτουργικού μοντέλου κατάλληλου για την ενσωμάτωση υπηρεσιών ΕΤΟ στις ΤΠΕ και εξέταση της επίδρασης των υπηρεσιών της ΥΠΔ σε αυτό. 3. Περιγραφή του μοντέλου αναφοράς της διαδικτυακής τεχνολογικής ΥΠΔ, το οποίο θα στηρίζεται στο εννοιολογικό-αφαιρετικό μοντέλο αναφοράς της προστασίας δεδομένων και συγκρότηση λειτουργικού μοντέλου το οποίο περιγράφει τις λειτουργικές μονάδες της διαδικτυακής τεχνολογικής ΥΠΔ και τις μεταξύ τους αλληλοσυσχετίσεις. Η συνεισφορά της παρούσας διατριβής παρουσιάζεται αναλυτικότερα στις παραγράφους που ακολουθούν και στον Πίνακα 2. Εκτιμάται ότι η επίτευξη των στόχων της διατριβής: συνεισφέρει στην αντιμετώπιση των προβληματικών παραγόντων που αναλύθηκαν, αποτελεί προσπάθεια συνολικής αντιμετώπισης του προβλήματος προστασίας προσωπικών δεδομένων στο Διαδίκτυο, και συμβάλλει στην ανάπτυξη των γνωστικών πεδίων της ασφάλειας των ΤΠΕ και των ΤΠΙ. Κεφάλαια διατριβής Συμβολή της διατριβής Κεφάλαιο 1 Κεφάλαιο 2 Επισκόπηση του υπάρχοντος οργανοτεχνικού πλαισίου προστασίας δεδομένων [MOU-00a], [MOU-00b] Οικονομικό Πανεπιστήμιο Αθηνών Σελ 20

21 Κεφάλαιο 3 Εννοιολογικό και επιστημολογικό πλαίσιο Εννοιολογικό μοντέλο προστασίας δεδομένων Κεφάλαιο 4 Αυθεντικοποίηση χωρίς ταυτοποίηση [GRI-01a] Μοντέλο αναφοράς για την ασφαλή λειτουργία των δικτυοενδιάμεσων με τρόπο που να προασπίζουν την ιδιωτικότητα των πληροφοριών που διατηρούν [GRI-01b] Κεφάλαιο 5 Μηχανισμός ψηφιακής σφραγίδας για την επικύρωση πολιτικών προστασίας δεδομένων [SPI-02] Ο ρόλος της διαχείρισης ασφάλειας στην προστασία προσωπικών δεδομένων Προτεινόμενο πλαίσιο διαχείρισης τεχνικών μέτρων ασφάλειας [APO-98a] Λειτουργική αρχιτεκτονική που στηρίζεται στην χρήση του προτεινόμενου πλαισίου διαχείρισης ασφάλειας [APO-98b] Κεφάλαιο 6 Κεφάλαιο 7 Λειτουργικό μοντέλο ενσωμάτωσης ΤΠΙ στις ΤΠΕ Υποδομή Δημοσίου Κλειδιού και διαδικτυακή τεχνολογική ΥΠΔ Λειτουργικό μοντέλο ενσωμάτωσης υπηρεσιών ΕΤΟ στις ΤΠΕ. [GRI-00], [GRI-01] Προσαρμογή του μοντέλου ώστε να είναι κατάλληλο για την υποστήριξη των υπηρεσιών της τεχνολογικής διαδικτυακής ΥΠΔ Κεφάλαιο 8 Μοντέλο αναφοράς διαδικτυακής τεχνολογικής ΥΠΔ Λειτουργικό μοντέλο διαδικτυακής Υποδομής Προστασίας Δεδομένων Συμπεράσματα Περιγραφή ανοικτών ερευνητικών ζητημάτων που προκύπτουν από την παρούσα διδακτορική έρευνα Πίνακας 2: Συμβολή της διατριβής ανά κεφάλαιο Αυθεντικοποίηση χωρίς ταυτοποίηση Περιγράφεται ένα πρωτόκολλο αυθεντικοποίησης των χρηστών του Διαδικτύου που δεν απαιτεί την ταυτοποίησή τους από τους ιδιοκτήτες των δικτυακών τόπων το οποίο στηρίζεται στην τεχνική της τριτεγγύησης ταυτότητας (identity escrow). Το προτεινόμενο, διαφέρει από τα υπάρχοντα πρωτόκολλα διότι χρησιμοποιεί την τεχνική των συναρτήσεων σύνοψης αντί των αγνωστικών πρωτοκόλλων για την λειτουργία του με αποτέλεσμα να είναι εύκολη η ενσωμάτωσή του στην υπάρχουσα τεχνολογική υποδομή των χρηστών του Διαδικτύου. Το προτεινόμενο πρωτόκολλο χρησιμοποιεί τις υπηρεσίες ΕΤΟ του λειτουργικού μοντέλου της παραγράφου Δικτυοενδιάμεσοι Το προτεινόμενο επιχειρηματικό μοντέλο προσφέρει ασφάλεια και προστασία των δεδομένων που διακινούνται στο παραδοσιακό επιχειρηματικό μοντέλο των δικτυοενδιάμεσων. Η ασφάλεια στηρίζεται στην δημιουργία μιας υποδομής εμπιστοσύνης Οικονομικό Πανεπιστήμιο Αθηνών Σελ 21

22 μεταξύ των δικτυοενδιάμεσων. Επιπλέον, το προτεινόμενο μοντέλο διασφαλίζει την ανωνυμία των χρηστών, με χρήση της τεχνικής τριτεγγύησης ταυτότητας, ενώ παράλληλα διατηρεί μηχανισμούς αποκάλυψης της ταυτότητάς τους σε περιπτώσεις αξιόποινων πράξεων. Τέλος, προσφέρει πρόσβαση των δικτυοενδιάμεσων σε ένα παγκόσμιο γεωγραφικά κατανεμημένο σύνολο περιγραμμάτων με χρήση των υπηρεσιών ΕΤΟ του λειτουργικού μοντέλου της παραγράφου Ψηφιακές σφραγίδες και επικύρωση πολιτικών προστασίας δεδομένων Προτείνεται πρωτόκολλο ψηφιακής σφραγίδας για την επικύρωση από τους χρήστες των πολιτικών προστασίας δεδομένων που αναρτούν οι ιδιοκτήτες διαδικτυακών τόπων στα πλαίσια μιας κοινότητας που χαρακτηρίζεται από ένα συγκεκριμένο μοντέλο προστασίας δεδομένων. Το προτεινόμενο πρωτόκολλο αντιμετωπίζει τις επιθέσεις πλαστοπροσωπίας (masquerading) στις οποίες είναι ευάλωτα τα αντίστοιχα παραδοσιακά και επιπλέον δίνει την δυνατότητα στους χρήστες να διαπιστώσουν σε πραγματικό χρόνο την ακεραιότητα μιας πολιτικής προστασίας δεδομένων. Τα προτεινόμενα πρωτόκολλα, χρησιμοποιούν τις υπηρεσίες ΕΤΟ του λειτουργικού μοντέλου της παραγράφου Διαχείριση ασφάλειας Στην παρούσα διατριβή προτείνεται ένα πλαίσιο αυτοματοποιημένης και στηριγμένης σε πρότυπα μετάβασης από τις προδιαγραφές των τεχνικών μέτρων ασφάλειας στην υλοποίησή και διαχείρισή τους, το οποίο διαφοροποιείται σε σχέση με το παραδοσιακό πλαίσιο διαχείρισης στα εξής σημεία: i. Μειώνει τις αποκλίσεις μεταξύ των προδιαγραφών της πολιτικής ασφάλειας (security policy specifications) και της διαχείρισης των τεχνικών μέτρων ασφάλειας. ii. Εξαλείφει το πρόβλημα επικοινωνίας των εργαλείων ανίχνευσης και διαχείρισης των ευπαθειών ΤΠΕ διότι χρησιμοποιεί πρότυπους μηχανισμούς επικοινωνίας που διαθέτουν τα εργαλεία διαχείρισης ασφάλειας ΤΠΕ. iii. Προσαρμόζει σε πληροφοριακές υποδομές μεγάλης κλίμακας την αποτελεσματικότητα των υπαρχόντων εργαλείων ανίχνευσης και διαχείρισης των ευπαθειών ΤΠΕ. Επιπλέον, παρουσιάζεται μια αρχιτεκτονική που στηρίζεται στο προαναφερθέν πλαίσιο διαχείρισης, η οποία προσφέρει κλιμάκωση, επεκτασιμότητα, ενσωμάτωση με την υπάρχουσα πληροφοριακή υποδομή του οργανισμού, ασφάλεια, προσαρμογή στις διαφορετικές απαιτήσεις ασφάλειας του οργανισμού, διαχείριση από κεντρικό σημείο και φιλική διεπαφή χρήσης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 22

23 1.5.5 Λειτουργικό μοντέλο ενσωμάτωσης ΤΠΙ Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Το προτεινόμενο λειτουργικό μοντέλο διαφοροποιείται σε σχέση με προηγούμενες ερευνητικές προσπάθειες στα εξής σημεία: 1. Δεν περιορίζει την προστασία ταυτότητας σε απλή δημιουργία ψευδωνύμων αλλά δίνει την δυνατότητα ενσωμάτωσης σύγχρονων ΤΠΙ στις ΤΠΕ κατάλληλων να αντιμετωπίζουν πολύπλοκες απειλές κατά της ιδιωτικότητας των προσωπικών πληροφοριών στο Διαδίκτυο. 2. Παρέχει μηχανισμούς αποκατάστασης της ευθύνης σε περιπτώσεις αξιόποινων πράξεων που διαπράττονται από το χρήστη. 3. Δεν απαιτεί την χρήση κάποιου εξειδικευμένου υλικού/λογισμικού. 4. Ο χρήστης είναι και ιδιοκτήτης του προστάτη ταυτότητας. 5. Ο χρήστης διαχειρίζεται ο ίδιος τα προσωπικά του δεδομένα και δεν απαιτείται η εμπιστοσύνη σε τρίτες οντότητες για το έργο αυτό. 6. Η χρήση του είναι απλή. Ο προτεινόμενος προστάτης ταυτότητας χρησιμοποιεί τις υπηρεσίες ΕΤΟ του λειτουργικού μοντέλου της παραγράφου Λειτουργικό μοντέλο υπηρεσιών ΕΤΟ Το προτεινόμενο μοντέλο, διαφοροποιείται σε σχέση με προηγούμενες ερευνητικές προσπάθειες στα εξής σημεία: 1. Είναι κατάλληλο να υποστηρίξει τις υπηρεσίες της διαδικτυακής τεχνολογικής ΥΠΔ. Επιπλέον, λαμβάνει υπ' όψη του την επίδραση του κανονιστικού πλαισίου προστασίας δεδομένων στις υπηρεσίες ΕΤΟ. 2. Παρέχει μία ενοποιημένη, ανοικτή, κλιμακούμενη και επεκτάσιμη αρχιτεκτονική Υποδομή Δημοσίου Κλειδιού (ΥΔΚ), έτσι ώστε οι υπηρεσίες ασφάλειας και προστασίας δεδομένων να είναι δυνατό να χρησιμοποιηθούν σε ένα ολοκληρωμένο απευθείας περιβάλλον. 3. Δίνει έμφαση στην ύπαρξη διαλειτουργικότητας μεταξύ των ΕΤΟ και προωθεί την παροχή ολοκληρωμένων υπηρεσιών πιστοποίησης, πλέον της έκδοσης και διαχείρισης πιστοποιητικών, όπως υπηρεσίες καταλόγου, χρονοσήμανσης και καταχώρησης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 23

24 ΜΕΡΟΣ Α' 2 ΟΡΙΣΜΟΙ ΚΑΙ ΕΠΙΣΚΟΠΗΣΗ ΤΟΥ ΟΡΓΑΝΟΤΕΧΝΙΚΟΥ ΠΛΑΙΣΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Στο παρόν κεφάλαιο, θα γίνει μια σύντομη εισαγωγή τόσο στο χώρο της Προστασίας Δεδομένων (βλ. 2.1) όσο και στο χώρο της Ασφάλειας ΠΣ (βλ. 2.2 έως 2.7) δεδομένου ότι το αντικείμενο της διατριβής βρίσκεται στο σημείο τομής αυτών των επιστημονικών πεδίων. Οι παράγραφοι 2.4 και του κεφαλαίου αποτελούν την κύρια συμβολή στην επιστήμη και αναφέρονται στο ρόλο της κρυπτογραφίας δημοσίου κλειδιού στην κατασκευή ΠΣ που προασπίζουν την ιδιωτικότητα. Επιπλέον, θα παρατεθούν ορισμένα εισαγωγικά στοιχεία και για την εξέλιξη της προστασίας ιδιωτικότητας εξαιτίας του γεγονότος ότι η προστασία προσωπικών δεδομένων του ατόμου αποτελεί τμήμα της. 2.1 Η εξέλιξη της ιδιωτικότητας και της προστασίας προσωπικών δεδομένων Η ιδιωτικότητα είναι ένα από τα βασικά ανθρώπινα δικαιώματα το οποίο μπορεί πολύ εύκολα να προσβληθεί στην σύγχρονη εποχή. Υποστηρίζει την ανθρώπινη αξιοπρέπεια και άλλες αξίες όπως η ελευθερία συναναστροφής και η ελευθερία του λόγου. Αναγνωρίζεται διεθνώς σε διαφορετικές κουλτούρες και καθεστώτα και προστατεύεται από την Οικουμενική Διακήρυξη των Δικαιωμάτων του Ανθρώπου, την Διεθνή Συνθήκη Πολιτικών Δικαιωμάτων και σε πολλές άλλες διεθνείς συνθήκες και συμβάσεις (βλ ). Σχεδόν όλες οι χώρες του κόσμου έχουν ενσωματώσει στο Σύνταγμά τους διατάξεις που σχετίζονται με την ιδιωτικότητα. Αυτές οι διατάξεις περιλαμβάνουν, κατ ελάχιστον, το απαραβίαστο της Οικονομικό Πανεπιστήμιο Αθηνών Σελ 24

25 οικογενειακής στέγης και το απόρρητο των επικοινωνιών. Τα νεώτερα Συντάγματα περιλαμβάνουν συγκεκριμένα δικαιώματα του ατόμου που αφορούν την πρόσβαση και τον έλεγχο των προσωπικών του πληροφοριών 1, Ορισμός της ιδιωτικότητας Η ιδιωτικότητα (privacy) είναι ίσως το λιγότερο σαφώς προσδιορισμένο από τα ανθρώπινα δικαιώματα που περιλαμβάνονται στον αντίστοιχο διεθνή κατάλογο. Υπάρχουν πολλοί oρισμοί της ιδιωτικότητας οι οποίοι ποικίλουν ανάλογα με το περιβάλλον, την κουλτούρα και το πλαίσιο εφαρμογής της. Σε πολλές χώρες, συγχέεται η έννοια της ιδιωτικότητας με την έννοια της προστασίας προσωπικών δεδομένων. Η τελευταία ερμηνεύει την ιδιωτικότητα ως την ελευθερία του ατόμου να διαχειρίζεται αυτοβούλως τις προσωπικές του πληροφορίες. Εκτός της στενής αυτής ερμηνείας, η προστασία της ιδιωτικότητας αποτελεί το όριο πέραν του οποίου η κοινωνία δεν μπορεί να εισβάλλει στα προσωπικά ενός ατόμου. Η απουσία ενός συγκεκριμένου ορισμού δεν υπονοεί σε καμία περίπτωση ότι το ζήτημα της ιδιωτικότητας δεν είναι σημαντικό. Όπως ένας συγγραφέας έχει παρατηρήσει, «κατά κάποια έννοια, όλα τα ανθρώπινα δικαιώματα άπτονται του δικαιώματος της ιδιωτικότητας» [VOL- 81]. Μερικοί ορισμοί της ιδιωτικότητας δίνονται παρακάτω: Στα 1890, ο μελλοντικός δικαστής του Ανώτατου Δικαστηρίου των ΗΠΑ, Louis Brandeis, διευκρίνισε την έννοια της ιδιωτικότητας που έγκειται στο «δικαίωμα της απομόνωσης» (right to be left alone) του ατόμου [SAM-90]. Ο Alan Westin, συγγραφέας μιας πρωτοποριακής εργασίας με τίτλο «Privacy and Freedom» το 1967, όρισε την ιδιωτικότητα ως την επιθυμία του ανθρώπου να επιλέγει ελεύθερα τις συνθήκες και την έκταση στην οποία θα εκθέτει τον εαυτό του, τις απόψεις του και την συμπεριφορά του προς τους άλλους [WES-67]. Σύμφωνα με τον Edward Bloustein η ιδιωτικότητα σχετίζεται με την ανθρώπινη προσωπικότητα. Προστατεύει το απαραβίαστο της προσωπικότητας, την ανεξαρτησία του ατόμου, την αξιοπρέπεια και την ακεραιότητα [BLO-64]. 1 Άρθρο 10 παρ. 2 του Ολλανδικού Συντάγματος. 2 Άρθρο 18 παρ. 4 του Ισπανικού Συντάγματος Οικονομικό Πανεπιστήμιο Αθηνών Σελ 25

26 Η επιτροπή Calcutt στο Ηνωμένο Βασίλειο υποστήριξε ότι δεν μπόρεσε να βρει πουθενά έναν θεσπισμένο ικανοποιητικό ορισμό της ιδιωτικότητας. Παραταύτα η επιτροπή αισθάνθηκε ικανοποίηση όταν μπόρεσε να την ορίσει νομικά και να ενσωματώσει τον ορισμό αυτό στην πρώτη της αναφορά σχετικά με την ιδιωτικότητα: Το δικαίωμα του ατόμου να προφυλάσσει τόσο την προσωπική του ζωή ή τα προσωπικά του ζητήματα όσο και της οικογένειας του από εισβολή που επιχειρείται είτε με φυσικά μέσα είτε με την δημοσίευση πληροφοριών [CAL-90]. Παρά την ασάφεια στον ορισμό της, η ιδιωτικότητα ενυπάρχει στις δραστηριότητες της ζωής του ατόμου και μπορούμε να την διαχωρίσουμε στα παρακάτω είδη [EPI-01]: ιδιωτικότητα της πληροφορίας (information privacy): αφορά την δημιουργία κανόνων συλλογής και διαχείρισης των προσωπικών δεδομένων, πιστωτικής πληροφορίας και ιατρικών εγγράφων. Το είδος αυτό είναι ευρύτερα γνωστό με τον όρο προστασία δεδομένων. ιδιωτικότητα των επικοινωνιών (privacy of communication): αφορά την ιδιωτικότητα της αλληλογραφίας, των τηλεφωνικών κλήσεων, του ηλεκτρονικού ταχυδρομείου καθώς και άλλων τύπων επικοινωνίας. σωματική ιδιωτικότητα (bodily privacy): αφορά την προστασία των φυσικών προσώπων κατά διαδικασιών εισβολής, όπως γενετικοί έλεγχοι, έλεγχοι χρήσης ναρκωτικών ουσιών κ.λ.π. εδαφική ιδιωτικότητα(territorial privacy): αφορά τον περιορισμό εισβολών στο οικογενειακό και σε άλλα περιβάλλοντα, στο χώρο εργασίας ή σε δημόσιο χώρο. Περιλαμβάνει τα κλειστά κυκλώματα παρακολούθησης και τους ελέγχους ταυτοτήτων. Η παρούσα διατριβή ασχολείται μόνο με τα δύο πρώτα είδη ιδιωτικότητας Μοντέλα ιδιωτικότητας Υπάρχουν τέσσερα κύρια μοντέλα προστασίας ιδιωτικότητας. Τα μοντέλα αυτά μπορεί να είναι είτε συμπληρωματικά είτε να έρχονται σε αντίθεση μεταξύ τους, ανάλογα με το πεδίο στο οποίο εφαρμόζονται. Στις περισσότερες χώρες όμως, εφαρμόζονται παράλληλα. Στις χώρες που προστατεύουν επαρκώς την ιδιωτικότητα, όλα τα μοντέλα λειτουργούν εκ παραλλήλου [EPI-01]. Α. Γενικό ρυθμιστικό πλαίσιο (Comprhensive law model) Σε πολλές χώρες του κόσμου, υπάρχει ένας εθνικός νόμος που ρυθμίζει σε γενικές γραμμές την συλλογή, χρήση και διανομή των προσωπικών πληροφοριών τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα. Αυτό το μοντέλο έχει επιλεχθεί από χώρες που έχουν θεσπίσει νόμους για την προστασία δεδομένων και υιοθετήθηκε από την ΕΕ για να εξασφαλισθεί η Οικονομικό Πανεπιστήμιο Αθηνών Σελ 26

27 εναρμόνιση όλων των κρατών-μελών της σε ένα ενιαίο καθεστώς προστασίας δεδομένων. Μια παραλλαγή αυτών των νόμων που αποκαλείται συν-ρυθμιστικό (co-regulatory) μοντέλο, υιοθετήθηκε από τον Καναδά και πρόκειται να υιοθετηθεί από την Αυστραλία. Σύμφωνα με το μοντέλο αυτό, η "αγορά" παράγει κανόνες για την προστασία της ιδιωτικότητας τους οποίους και θέτει σε εφαρμογή. Η επίβλεψή τους όμως γίνεται από τον αρμόδιο φορέα Προστασίας Ιδιωτικότητας. Β. Τομεακοί Νόμοι (Sectorial model) Μερικές χώρες, όπως οι ΗΠΑ, αποφεύγουν να θεσπίσουν ένα γενικό νόμο προστασίας δεδομένων προτιμώντας την ύπαρξη συγκεκριμένων νόμων που διέπουν την λειτουργία ενός συγκεκριμένου τομέα δραστηριότητας π.χ. νόμοι που σχετίζονται με τα αρχεία ενοικίασης κασετών video, την οικονομική ιδιωτικότητα κ.λ.π. Το σημαντικότερο μειονέκτημα αυτού του μοντέλου είναι η καθυστερημένη προσαρμογή στις νέες τεχνολογίες. Κάθε φορά που εμφανίζεται μια νέα τεχνολογία, ένας νέος νόμος πρέπει να θεσπισθεί. Τρανταχτό παράδειγμα αυτής της καθυστέρησης είναι η απουσία νομικής προστασίας για ιατρικά και γενετικά δεδομένα στις ΗΠΑ. Ένα άλλο πρόβλημα αυτού του μοντέλου είναι η απουσία ενός οργανισμού επίβλεψης της τήρησης των νόμων περί προστασίας δεδομένων. Στις περισσότερες χώρες που διαθέτουν ένα γενικό ρυθμιστικό πλαίσιο προστασίας ιδιωτικότητας οι τομεακοί νόμοι λειτουργούν ως συμπληρωματικό νομικό εργαλείο παρέχοντας περισσότερες λεπτομέρειες που σχετίζονται με την προστασία συγκεκριμένων κατηγοριών δεδομένων π.χ. αρχεία τηλεπικοινωνιακών οργανισμών, αστυνομίας και πιστωτικών καρτών. Γ. Αυτορρύθμιση (Self-regulation) Στο μοντέλο αυτό οι εταιρείες και η οργανισμοί που εκπροσωπούν την βιομηχανία δημιουργούν κώδικες δεοντολογίας και δεσμεύονται για την τήρησή τους. Παραταύτα, σε πολλές χώρες, ανάμεσά τους και οι ΗΠΑ, οι προσπάθειες αυτορρύθμισης δεν έχουν τα αναμενόμενα αποτελέσματα. Τα κύρια προβλήματα αυτού του μοντέλου είναι η έλλειψη επάρκειας και η αδυναμία επιβολής των κωδικών δεοντολογίας. Το μοντέλο αυτό προωθείται κυρίως από τις κυβερνήσεις των ΗΠΑ, της Ιαπωνίας και της Σιγκαπούρης. Δ. Τεχνολογικό μοντέλο (Technological model) Με την ανάπτυξη των ΠΣ, υπάρχει μεταφορά της ευθύνης της προστασίας των δεδομένων από τους οργανισμούς που τα συλλέγουν προς τους πολίτες (ιδιοκτήτες τους), δίνοντας τη δυνατότητα στους χρήστες του Διαδικτύου και ορισμένων άλλων εφαρμογών, να μπορούν να προμηθευθούν προγράμματα τα οποία παρέχουν ποικιλία στην προστασία και την ασφάλεια των επικοινωνιών. Τέτοια εργαλεία είναι η κρυπτογραφία, οι ανώνυμοι εξυπηρέτες ηλεκτρονικού ταχυδρομείου, οι αντιπρόσωποι, το ψηφιακό χρήμα και οι έξυπνες κάρτες. Η προβληματική που αναπτύσσεται γύρω από αυτό το μοντέλο σχετίζεται με την ασφάλεια και την αξιοπιστία των εργαλείων αυτών. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 27

28 Το μοντέλο του γενικού ρυθμιστικού πλαισίου και της αυτορρύθμισης είναι τα μοντέλα ιδιωτικότητας που κυριαρχούν στη διεθνή νομική σκηνή της προστασίας δεδομένων. Το τομεακό και τεχνολογικό μοντέλο συνυπάρχουν, συνήθως, με ένα από τα βασικά [ΕΡΙ01] Το δικαίωμα στην ιδιωτικότητα Το δικαίωμα της ιδιωτικότητας έχει αναγνωρισθεί από τα αρχαία χρόνια. Πολλές αναφορές στην ιδιωτικότητα περιέχει η Βίβλος [HIX-87]. Ο Εβραϊκός νόμος αναγνωρίζει το δικαίωμα της ελευθερίας από παρακολούθηση. Η ιδιωτικότητα προστατευόταν στην Αρχαία Ελλάδα αλλά και την αρχαία Κίνα. Στα 1890 οι Αμερικάνοι δικηγόροι Samuel Warren και Louis Brandeis έγραψαν μια πρωτοποριακή εργασία για το δικαίωμα της ιδιωτικότητας περιγράφοντας την ως το δικαίωμα αυτοπροσδιορισμού του ατόμου [SAM-90]. Στα χρόνια που ακολούθησαν, η όψη αυτή της ιδιωτικότητας έγινε ευρέως γνωστή στις ΗΠΑ και ενσωματώθηκε στο κοινό νομικό κώδικα της χώρας. Το σημείο αναφοράς για την μοντέρνα όψη της ιδιωτικότητας βρίσκεται στην Οικουμενική Διακήρυξη των Δικαιωμάτων του Ανθρώπου στα 1948 η οποία προστατεύει κυρίως την εδαφική ιδιωτικότητα και την ιδιωτικότητα των επικοινωνιών. Γράφει το άρθρο 12 της Διακήρυξης [ΗΕΘ-48]: Κανείς δεν επιτρέπεται να υποστεί αυθαίρετες επεμβάσεις στην ιδιωτική του ζωή, την οικογένεια, την κατοικία ή την αλληλογραφία του, ούτε προσβολές της τιμής και της υπόληψής του. Καθένας έχει το δικαίωμα να τον προστατεύουν οι νόμοι από επεμβάσεις και προσβολές αυτού του είδους. Η ιδιωτικότητα αναγνωρίζεται ως δικαίωμα σε πληθώρα συμφωνιών. Η Διεθνής Συμφωνία για τα Πολιτικά Δικαιώματα (International Covenant on Civil and Political Rights, ICCPR), η Σύμβαση για τους Μετανάστες Εργάτες του Οργανισμού Ηνωμένων Εθνών και η Σύμβαση για την Προστασία του Παιδιού του Οργανισμού Ηνωμένων Εθνών είναι μερικές από αυτές. Σε περιφερειακό επίπεδο, διάφορες συμφωνίες προβλέπουν την εφαρμογή των παραπάνω δικαιωμάτων. Για παράδειγμα στο άρθρο 8 της Σύμβασης για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών του 1950, αναγράφεται ότι [ΕΕΑ-93]: (1) Παν πρόσωπο δικαιούται τον σεβασμό της ιδιωτικής και οικογενειακής ζωής του, της κατοικίας του και της αλληλογραφίας του. (2) Δεν επιτρέπεται να υπάρξει επέμβαση δημόσιας αρχής στην άσκηση αυτού του δικαιώματος, εκτός αν η επέμβαση αυτή προβλέπεται από το νόμο και αποτελεί μέτρο το οποίο, σε μια δημοκρατική κοινωνία, είναι αναγκαίο για την εθνική ασφάλεια, την δημόσια ασφάλεια, την οικονομική ευημερία της χώρας, την προάσπιση της τάξεως και την πρόληψη ποινικών παραβάσεων, την προστασία της υγείας ή της ηθικής ή την προστασία των δικαιωμάτων και ελευθεριών άλλων. Ανεξάρτητα από τις διαφοροποιήσεις τους, το κοινό χαρακτηριστικό όλων των ορισμών της ιδιωτικότητας, που έχουν παρατεθεί, μέχρι αυτό το σημείο της ανασκόπησης, είναι ότι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 28

29 αντιμετωπίζουν την ιδιωτικότητα ως ένα περιουσιακό στοιχείο (property) του ατόμου το οποίο χρίζει προστασίας. Η άποψη αυτή έχει επηρεάσει τα σύγχρονα νομικά κείμενα προστασίας δεδομένων με ποικίλους τρόπους. Για παράδειγμα, οι αρχές της συγκατάθεσης και της προσβασιμότητας από το υποκείμενο στα προσωπικά δεδομένα και ο διαχωρισμός των δεδομένων, σε ευαίσθητα και απλά προσωπικά, είναι απόρροια της αντίληψης της ιδιωτικότητας ως περιουσιακού στοιχείου το οποίο πρέπει να προστατεύεται όπως ένα οποιοδήποτε άλλο περιουσιακό στοιχείο. Αυτή η αντιμετώπιση της ιδιωτικότητας προέρχεται από το γεγονός ότι η ιδιωτικότητα, και κατ' επέκταση τα προσωπικά δεδομένα, συνδέθηκε με την προστασία του ιδιωτικού βίου έτσι ώστε να αποτελέσει τμήμα της ιδιωτικής σφαίρας του ατόμου [ΔΑΓ-91]. Ο τρόπος αντιμετώπισης της προστασίας προσωπικών δεδομένων ως τμήμα της ιδιωτικής σφαίρας έχει καθιερωθεί ως "αμυντική" πλευρά του δικαιώματος του πληροφοριακού αυτοπροσδιορισμού του ατόμου. Η προστασία των προσωπικών δεδομένων, σαν υποσύνολο της ιδιωτικής σφαίρας, καλύπτει μεν ένα σημαντικό μέρος του προστατευόμενου έννομου αγαθού δεν πρέπει όμως σε καμία περίπτωση να είναι αυτοσκοπός [ΑΡΑ-94]. Η "αμυντική" θεώρηση είναι περιοριστική διότι δεν περιλαμβάνει την ανάγκη για επικοινωνία μεταξύ των ανθρώπων και προκαλεί δυσχέρειες σε ένα παγκόσμιο περιβάλλον ανταλλαγής πληροφοριών. Η συνεχόμενη τεχνολογική εξέλιξη παρέχει απεριόριστες δυνατότητες συνδυασμού των δεδομένων, με αποτέλεσμα την διαφοροποίησή τους ανάλογα με τον αποδέκτη και το σκοπό επεξεργασίας. Η διεύρυνση του τρόπου αντιμετώπισης της ιδιωτικότητας έλαβε χώρα στα μεταγενέστερα χρόνια. Αποτέλεσμα της Σύμβασης του 1950, ήταν η δημιουργία της Ευρωπαϊκής Επιτροπής Ανθρωπίνων Δικαιωμάτων και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων προκειμένου να ελεγχθεί η εφαρμογή της. Και οι δύο οργανισμοί δραστηριοποιούνται στην επίβλεψη της εφαρμογής του δικαιώματος της ιδιωτικότητας. Η Επιτροπή κατέγραψε στα 1976 [ECH-76]: Για πολλούς Αγγλοσάξονες και Γάλλους συγγραφείς, το δικαίωμα σεβασμού στην «ιδιωτική ζωή» περιλαμβάνει το δικαίωμα της ιδιωτικότητας, το δικαίωμα να ζει κάποιος όπως επιθυμεί προστατευμένος από την δημοσιότητα. Κατά την άποψη της Επιτροπής το δικαίωμα στην ιδιωτική ζωή δεν σταματά εδώ. Περιλαμβάνει επίσης, σε κάποιο βαθμό, το δικαίωμα της δημιουργίας και ανάπτυξης σχέσεων με άλλους ανθρώπους, ειδικά στο συναισθηματικό τομέα, με σκοπό την ανάπτυξη και ολοκλήρωση της προσωπικότητας του ατόμου. Στο παραπάνω κείμενο γίνεται για πρώτη φορά λόγος για την ανάγκη αντιμετώπισης της ιδιωτικότητας ως απαραίτητου συστατικού επικοινωνίας και ανάπτυξης της προσωπικότητας του ατόμου. Αυτή η θεώρηση της ιδιωτικότητας, και κατ' επέκταση των προσωπικών δεδομένων, προέρχεται από την διαπίστωση ότι αυτό που διακυβεύεται στη σύγχρονη τεχνολογική πραγματικότητα δεν είναι το απαραβίαστο μιας όλο και πιο δύσκολα προσδιορίσιμης ιδιωτικής πληροφοριακής σφαίρας, αλλά η εν γένει ελεύθερη ανάπτυξη της προσωπικότητας και η δυνατότητα της επικοινωνίας σε μια κοινωνία που βασίζει τις αποφάσεις της στην ελεύθερη ροή και επεξεργασία πληροφοριών [ΔΟΝ-00]. Η θεώρηση της Οικονομικό Πανεπιστήμιο Αθηνών Σελ 29

30 προστασίας δεδομένων ως μέσου ελεύθερης ανάπτυξης της προσωπικότητας του ατόμου ονομάζεται "επιθετική" πλευρά του δικαιώματος του πληροφοριακού αυτοπροσδιορισμού. Συμπληρώνει την "αμυντική" πλευρά υποδηλώνοντας το δικαίωμα του ατόμου να καθορίζει ο ίδιος ενεργά τη ροή πληροφοριών που τον αφορούν και να νομιμοποιεί, με τη συγκατάθεσή του, την επεξεργασία των προσωπικών του δεδομένων. Οι αρχές της ενημέρωσης και της διασυνοριακής ροής δεδομένων είναι δείγματα της επιρροής της επιθετικής πλευράς στα σύγχρονα νομοθετικά κείμενα Η ανάπτυξη της Προστασίας Δεδομένων Η ανάπτυξη των ΤΠΕ προκάλεσε την αύξηση του ενδιαφέροντος σχετικά με το δικαίωμα στην ιδιωτικότητα στις δεκαετίες του 60 και του 70. Η δυνατότητα παρακολούθησης από υπολογιστικά ισχυρές μηχανές δημιούργησε την ανάγκη για κανόνες που ρυθμίζουν την συλλογή και διαχείριση προσωπικών πληροφοριών. Η γέννηση του σύγχρονου νομικού πλαισίου σε αυτή την περιοχή συσχετίζεται με τον πρώτο, σε παγκόσμιο επίπεδο, νόμο προστασίας δεδομένων που ενεργοποιήθηκε στα 1970 στο κρατίδιο της Έσσης της Γερμανίας. Ακολούθησαν οι εθνικοί νόμοι της Σουηδίας στα 1973, των ΗΠΑ στα 1974, της Γερμανίας στα 1977 και της Γαλλίας στα Από τους παραπάνω νόμους προέκυψαν δύο κρίσιμα για την εξέλιξη της προστασίας δεδομένων εγχειρίδια: Η Σύμβαση για την Προστασία των φυσικών προσώπων έναντι της αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα του Ευρωπαϊκού Συμβουλίου στα 1981 [EUC-81] και οι Οδηγίες που διέπουν την Προστασία της ιδιωτικότητας και την Διασυνοριακή ροή δεδομένων προσωπικού χαρακτήρα του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη (ΟΟΣΑ) [OEC-81]. Τα κείμενα αυτά θέτουν για πρώτη φορά συγκεκριμένους κανόνες που πρέπει να διέπουν την διαχείριση ηλεκτρονικών δεδομένων. Οι κανόνες αυτοί ορίζουν τις προσωπικές πληροφορίες ως δεδομένα τα οποία χρίζουν προστασίας σε κάθε βήμα από την φάση της συλλογής μέχρι την φάση της αποθήκευσης και διανομή τους. Τα δύο παραπάνω νομικά κείμενα ([EUC-81], [OEC-81]) άσκησαν τεράστια παγκόσμια επίδραση στην θέσπιση νόμων που σχετίζονται με προστασία δεδομένων. Τριάντα περίπου χώρες υπέγραψαν την Σύμβαση του Ευρωπαϊκού Συμβουλίου και πολλές άλλες σχεδιάζουν να το κάνουν στο εγγύς μέλλον. Οι οδηγίες του ΟΟΣΑ έχουν ευρέως χρησιμοποιηθεί σε εθνικές νομοθεσίες ακόμη και από χώρες που δεν ανήκουν σε αυτόν Κατηγοριοποίηση προσωπικών δεδομένων Από νομικής πλευράς, προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (αρ. 2 95/46/ΕΚ). Στις χώρες της Βόρειας Αμερικής χρησιμοποιείται ευρύτερα ο όρος Πληροφορίες Ταυτοποίησης Προσώπων (Personal Identifiable Information, PII). Σε όλους τους ορισμούς των προσωπικών δεδομένων χρησιμοποιείται ο όρος ταυτοποίηση. Σύμφωνα με το αρ. 2 της 95/46/ΕΚ, ένα φυσικό πρόσωπο μπορεί να τύχει είτε άμεσης είτε έμμεσης ταυτοποίησης. Η Οικονομικό Πανεπιστήμιο Αθηνών Σελ 30

31 άμεση ταυτοποίηση απαιτεί βασικές πληροφορίες που ανήκουν στο σύνολο των προσωπικών δεδομένων: ονοματεπώνυμο, διεύθυνση, βιομετρικά χαρακτηριστικά κ.λ.π. Η έμμεση ταυτοποίηση απαιτεί τον συσχετισμό διάφορων συμπληρωματικών στοιχείων του ατόμου που αφορά: ο αριθμός αυτοκινήτου είναι ένα παράδειγμα δεδομένου έμμεσης ταυτοποίησης διότι απαιτείται ο συνδυασμός του με την χρονική στιγμή ταυτοποίησης. Η Ευρωπαϊκή νομοθεσία έχει προχωρήσει και σε άλλη μια επιπλέον διαβάθμιση των προσωπικών δεδομένων, ως απόρροια της "αμυντικής" θεώρησης του δικαιώματος του πληροφοριακού προσδιορισμού του ατόμου (βλ ). Διαχωρίζει τα δεδομένα σε προσωπικά και ευαίσθητα. Ευαίσθητα είναι τα δεδομένα που σχετίζονται με την φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, τις θρησκευτικές και φιλοσοφικές πεποιθήσεις, την συνδικαλιστική δράση, την υγεία, την κοινωνική πρόνοια, την ερωτική ζωή και τις ποινικές διώξεις και καταδίκες ενός φυσικού προσώπου. Δεδομένα που δεν ανήκουν στις παραπάνω κατηγορίες και μπορούν να χρησιμοποιηθούν για την ταυτοποίηση προσώπων χαρακτηρίζονται απλά προσωπικά δεδομένα. Η διαβάθμιση των δεδομένων έγινε διότι θεωρήθηκε ότι οι κατηγορίες που ανήκουν στα ευαίσθητα, συγκροτούν τον σκληρό πυρήνα της ιδιωτικής σφαίρας και για το λόγο αυτό θα πρέπει να τυγχάνουν διακριτικής προστασίας σύμφωνα με το Ευρωπαϊκό νομικό πλαίσιο. Πράγματι, η 95/46/ΕΚ προβλέπει ειδικές διατάξεις για την προστασία των ευαίσθητων δεδομένων και επιβάλει ειδικές υποχρεώσεις προς τους υπεύθυνους επεξεργασίας που διατηρούν τέτοια. Τέλος, υπάρχουν και αυτά τα οποία δεν είναι προσωπικά και περιλαμβάνουν όλες εκείνες τις κατηγορίες των δεδομένων έμμεσης ταυτοποίησης, των οποίων η ποιότητα και ποσότητα είναι τέτοιες που επιτρέπουν την ταυτοποίηση ενός φυσικού προσώπου μόνο αν καταβληθεί δυσανάλογη (disproportionate) του σκοπού συλλογής τους προσπάθεια (αρ. 26, προοίμιο 95/46/ΕΚ) Οδηγίες της Ευρωπαϊκής Ένωσης Στα 1995 και 1997, η Ευρωπαϊκή Ένωση ενεργοποίησε δύο οδηγίες με σκοπό να ομογενοποιήσει το νομικό πλαίσιο σε όλη την επικράτειά της σχετικά με το επίπεδο προστασίας που παρέχει στους πολίτες της και την ελευθερία της διακίνησης προσωπικών πληροφοριών εντός των συνόρων της [ΕΚΣ-95], [ΕΚΣ-97]. Οι Οδηγίες εξασφαλίζουν ένα κατώτατο όριο στην προστασία της ιδιωτικότητας και προστατεύουν όχι μόνο τα ήδη κεκτημένα αλλά θέτουν και νέα δικαιώματα. Η Οδηγία του 1995 περί Προστασίας Προσωπικών Δεδομένων (Οδηγία 95/46/EC), για παράδειγμα, αναφέρεται όχι μόνο στα ηλεκτρονικά αλλά και στα χειρόγραφα αρχεία ενώ η Οδηγία του 1997 για τις Τηλεπικοινωνίες (Οδηγία 97/66/EC) υιοθετεί μια σειρά από μέτρα προστασίας που καλύπτουν τομείς όπως η τηλεφωνία, η ψηφιακή τηλεόραση, τα κινητά δίκτυα και άλλα τηλεπικοινωνιακά συστήματα. Πολλές αρχές και δικαιώματα της προστασίας δεδομένων εδραιώθηκαν με τις δύο Οδηγίες: το δικαίωμα στην γνώση των πηγών των πληροφοριών, το δικαίωμα της διόρθωσης των ανακριβών δεδομένων, το δικαίωμα της προσφυγής για περιπτώσεις παράνομης επεξεργασίας και το δικαίωμα της αναίρεσης της άδειας χρήσης των δεδομένων σε Οικονομικό Πανεπιστήμιο Αθηνών Σελ 31

32 ορισμένες περιπτώσεις. Η Οδηγία για την Προστασία Δεδομένων Προσωπικού χαρακτήρα περιέχει ενισχυμένα μέτρα προστασίας για την χρήση ευαίσθητων δεδομένων που σχετίζονται για παράδειγμα με την υγεία και τις ποινικές καταδίκες. Η εμπορική και κυβερνητική χρήση τέτοιου είδους δεδομένων απαιτεί την ρητή και ευκρινή συγκατάθεση του υποκειμένου των δεδομένων. Η αρχή-κλειδί του Ευρωπαϊκού μοντέλου είναι η εκτελεστότητα (enforceabiltiy). Σύμφωνα με την ΕΈ τα υποκείμενα έχουν δικαιώματα τα οποία προστατεύονται επακριβώς με συγκεκριμένους κανόνες και μπορούν να καταφύγουν σε κάποια Αρχή ή Επίτροπο που έχει το δικαίωμα να ενεργεί για λογαριασμό του. Σε κάθε Ευρωπαϊκό κράτος-μέλος υπάρχει ένας Επίτροπος ή μια Αρχή Προστασίας Δεδομένων που είναι υπεύθυνοι για την επίβλεψη των νόμων. Η Οδηγία υποχρεώνει τα κράτη-μέλη να εξασφαλίζουν για τους πολίτες τους ότι τα δεδομένα τους που εξάγονται και υφίστανται επεξεργασία σε χώρες εκτός ΕΈ θα απολαμβάνουν ανάλογο επίπεδο προστασίας με αυτό που προσφέρει το κράτος τους. Αυτό έχει σαν αποτέλεσμα την αυξανόμενη πίεση προς τις άλλες χώρες ώστε να υιοθετήσουν και αυτές νόμους περί προστασίας δεδομένων. Χώρες οι οποίες δεν ανταποκρίνονται σε αυτές τις επιταγές της ΕΕ αντιμετωπίζουν προβλήματα στην ροή πληροφοριών από την ΕΕ, ειδικά όταν οι τελευταίες περιέχουν ευαίσθητα δεδομένα. Η Οδηγία για τις τηλεπικοινωνίες θέτει ευρείας κλίμακας περιορισμούς και υποχρεώσεις στους κομιστές και παρόχους υπηρεσιών, με σκοπό την διασφάλιση της ιδιωτικότητας στις επικοινωνίες των πολιτών, συμπεριλαμβανόμενου και του Διαδικτύου. Η Οδηγία κάνει πρόβλεψη για περιοχές και σημεία τα οποία δεν καλύπτονται με τους υπάρχοντες νόμους περί προστασίας δεδομένων. Για παράδειγμα τα δεδομένα τιμολόγησης και τα στοιχεία διαφήμισης τυγχάνουν συγκεκριμένης μεταχείρισης. Οι τεχνολογίες που προσφέρουν αναγνώριση κλήσης πρέπει να προσφέρουν στον χρήστη την δυνατότητα απόκρυψης του αριθμού κατά περίπτωση. Τον Ιούλιο του 2000, η Ευρωπαϊκή Επιτροπή εξέδωσε πρόταση για νέα Οδηγία για "την επεξεργασία των προσωπικών δεδομένων και την προστασία της ιδιωτικότητας στον τομέα των ηλεκτρονικών επικοινωνιών" [ΕΚΣ-02]. Η Οδηγία αποτέλεσε μέρος ενός μεγαλύτερου πακέτου προτάσεων με σκοπό την αναζωογόνηση του ανταγωνισμού στις Ευρωπαϊκές ηλεκτρονικές αγορές. Η Οδηγία αυτή ψηφίστηκε τον Ιούλιο του 2002 και αντικατέστησε την υπάρχουσα Οδηγία για τις τηλεπικοινωνίες του Η φιλοσοφία της νέας Οδηγίας διαφέρει από την παλιά στο ότι επεκτείνει την προστασία των "τηλεπικοινωνιών" του πολίτη σε μια νέα τεχνολογικά, κατά το δυνατόν, ουδέτερη κατηγορία των "ηλεκτρονικών επικοινωνιών". Στα πλαίσια αυτά, γίνεται αντικατάσταση των όρων και ορισμών που αναφέρονται σε τηλεπικοινωνιακά δίκτυα και υπηρεσίες με νέους όρους που αναφέρονται σε "ηλεκτρονικά δίκτυα και υπηρεσίες". Επιπρόσθετα, η νέα Οδηγία εισάγει νέους ορισμούς και μέτρα προστασίας για τις "κλήσεις", τα "συστήματα επικοινωνιών", "δεδομένα κίνησης" και "δεδομένα εντοπισμού θέσης" με σκοπό να προασπίσει: το δικαίωμα του χρήστη στην Οικονομικό Πανεπιστήμιο Αθηνών Σελ 32

33 ιδιωτικότητα και τον έλεγχο σε όλα τα είδη επεξεργασίας των δεδομένων που τον αφορούν. Τα νέα άρθρα προβλέπουν, για παράδειγμα, την προστασία όλων των δεδομένων "κίνησης" που μεταδίδονται στο Διαδίκτυο, απαγορεύουν την αποστολή αυτόκλητων μηνυμάτων διαφήμισης (spam) μέσω ηλεκτρονικού ταχυδρομείου χωρίς την συγκατάθεση του υποκειμένου, και προστατεύουν τους χρήστες κινητών τηλεφώνων από τον εντοπισμό και παρακολούθηση της τοποθεσίας κλήσης. Επίσης, η νέα Οδηγία δίνει την δυνατότητα στους χρήστες των υπηρεσιών ηλεκτρονικών επικοινωνιών (GSM, ηλεκτρονικό ταχυδρομείο) να επιλέξουν αν τα στοιχεία τους θα αναφέρονται σε δημοσίους καταλόγους ή όχι. Κατ' αναλογία με την προηγούμενη Οδηγία, τα κράτη-μέλη μπορούν να άρουν τα μέτρα προστασίας σε περιπτώσεις προάσπισης του έννομου συμφέροντος και της δημόσιας ασφάλειας Επίβλεψη της προστασίας δεδομένων Η επίβλεψη της τήρησης των νόμων και η επιβολή κυρώσεων, σε περιπτώσεις παραβιάσεων, αποτελεί ουσιαστικό τμήμα κάθε πλαισίου προστασίας δεδομένων. Έτσι, σε κάθε χώρα που διαθέτει νόμους ή νομοθετικές πράξεις προστασίας δεδομένων ή ιδιωτικότητας υπάρχει ένας αξιωματούχος ή μια αντιπροσωπεία που επιβλέπουν την τήρηση τους. Η εξουσία των αντιπροσώπων ποικίλλει από χώρα σε χώρα. Σύμφωνα με το άρθρο 28, της Ευρωπαϊκής Οδηγίας 95/46 EC, κάθε χώρα μέλος πρέπει να διαθέτει ένα ανεξάρτητο σώμα επίβλεψης της εφαρμογής του νόμου περί προστασίας δεδομένων. Η παραπάνω οδηγία δίνει σημαντικές εξουσίες σε αυτά τα σώματα: παροχή συμβουλών για θέματα προστασίας δεδομένων διενέργεια ελέγχων σε όλους τους φορείς και πρόσβαση στις πληροφορίες που απαιτούνται για την διενέργεια των ελέγχων επιβολή κυρώσεων σε περιπτώσεις παραβιάσεων αποδοχή παραπόνων και σύνταξη αναφορών. Πολλές χώρες έχουν Επίτροπο που επιβλέπει την τήρηση του νόμου, μολονότι δεν έχουν ακόμη υιοθετήσει νόμους πλαίσια για την προστασία των προσωπικών δεδομένων. Μια σημαντική εξουσία που έχουν οι Επίτροποι, σε αυτές τις περιπτώσεις, είναι και αυτή της ενημέρωσης του κοινού σχετικά με τις προβληματικές περιοχές ακόμα και όταν δεν έχουν την εξουσία να διορθώσουν το πρόβλημα. Τέλος, σε χώρες όπου υιοθετείται το μοντέλο αυτορρύθμισης, η επίβλεψη στηρίζεται στον περιοδικό έλεγχο και την πιστοποίηση των υπευθύνων επεξεργασίας, που το επιθυμούν, από ανεξάρτητα σώματα ή εταιρίες με εμπειρία στην προστασία δεδομένων. Με δεδομένο ότι, η επίδειξη του πιστοποιητικού ελέγχου προς τα υποκείμενα αυξάνει την αίσθηση ασφαλείας τους, προς τους υπεύθυνους επεξεργασίας, παρατηρείται ολοένα αυξανόμενη ζήτηση από τους υπεύθυνους επεξεργασίας για πραγματοποίηση περιοδικών ελέγχων συμβατότητας με τις αρχές προστασίας δεδομένων. Η απουσία όμως αποτελεσματικών διαδικασιών επιβολής κυρώσεων και επανόρθωσης, σε Οικονομικό Πανεπιστήμιο Αθηνών Σελ 33

34 περιπτώσεις παραβάσεων, αποτελεί το σημαντικότερο μειονέκτημα των καθεστώτων αυτορρύθμισης και έχει αρνητικές επιπτώσεις στις σχέσεις εμπιστοσύνης μεταξύ των οντοτήτων ενός συστήματος προστασίας δεδομένων. Ανεξάρτητα της μορφής και της εξουσίας που διαθέτει, μια Αρχή Ελέγχου είναι μια οντότητα η οποία θέτει πρότυπα και διενεργεί ελέγχους συμβατότητας με το νομικό πλαίσιο προστασίας που υιοθετείται Γενικές αρχές και δικαιώματα στην προστασία δεδομένων Σε πολλές διακηρύξεις και νόμους συναντάμε διαφορετικές διατυπώσεις σχετικά με την προστασία δεδομένων. Σε όλες όμως γίνεται λόγος για: 1. Υποκείμενο επεξεργασίας: το φυσικό πρόσωπο το οποίο αφορά η προσωπική πληροφορία. 2. Υπεύθυνο επεξεργασίας: η οντότητα που με οποιονδήποτε τρόπο συλλέγει και επεξεργάζεται προσωπικές πληροφορίες από τα υποκείμενα. 3. Εκτελών την επεξεργασία: η οντότητα που με οποιονδήποτε τρόπο συλλέγει και επεξεργάζεται προσωπικές πληροφορίες για λογαριασμό του υπευθύνου επεξεργασίας. 4. Αρχή Ελέγχου: η οντότητα που είναι εξουσιοδοτημένη από τις αρχές μια κοινότητας να εποπτεύει την τήρηση των νόμων και να διενεργεί ελέγχους συμβατότητας, των μελών της κοινότητας, με το κανονιστικό-νομικό πλαίσιο προστασίας δεδομένων που υιοθετείται. Επιπλέον, σε όλα τα νομικά κείμενα γίνεται λόγος για τα παρακάτω χαρακτηριστικά των προσωπικών πληροφοριών ώστε να θεωρείται ότι προστατεύονται επαρκώς: συλλέγεται με δίκαιο και νόμιμο τρόπο (αρχή της νομιμότητας και τιμιότητας). χρησιμοποιείται μόνο για τον σκοπό που αρχικά έχει ορισθεί (αρχή του σκοπού). είναι επαρκής, σχετική και όχι υπερβάλλουσα του σκοπού για τον οποίο συλλέγεται (αρχή της αναλογικότητας) είναι ακριβής και επίκαιρη (αρχή της ακρίβειας) είναι προσβάσιμη από το υποκείμενο (δικαίωμα πρόσβασης) είναι ασφαλής (αρχή της ασφάλειας) καταστρέφεται μετά την ολοκλήρωση του σκοπού για τον οποίο συλλέχθηκε. Αυτό το χαρακτηριστικό αναφέρεται στον χρόνο τήρησης του αρχείου προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας και μερικοί ερευνητές την ονομάζουν αρχή της ανωνυμίας [SIO-02]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 34

35 Οι παραπάνω βασικές αρχές-δικαιώματα (data protection principles) αναφέρονται στις ιδιότητες των προσωπικών πληροφοριών που πρέπει να διατηρούνται από τους υπεύθυνους επεξεργασίας. Τα μέτρα που λαμβάνει ο υπεύθυνος επεξεργασίας για την υποστήριξη αυτών των αρχών-δικαιωμάτων διατυπώνονται σε ένα κείμενο που ονομάζεται πολιτική προστασίας δεδομένων (data protection policy). Υπάρχει μια ακόμη αρχή η οποία αναφέρεται στην υπευθυνότητα (accountability, responsibility) των υπευθύνων επεξεργασίας να τηρούν τις παραπάνω αρχές. Η αρχή αυτή προϋποθέτει την ύπαρξη μιας Αρχής Ελέγχου, ανεξάρτητα των εξουσιών της, η οποία επιβλέπει την τήρηση των παραπάνω αρχών-δικαιωμάτων από τους υπεύθυνους επεξεργασίας. Για το λόγο αυτό, η αρχή που αναφέρεται στην υπευθυνότητα των υπευθύνων επεξεργασίας θα ονομάζεται αρχή επίβλεψης Διασυνοριακή ροή δεδομένων Λαμβάνοντας υπ' όψη την ευκολία διακίνησης ηλεκτρονικών δεδομένων σε παγκόσμιο επίπεδο, οι νόμοι προστασίας δεδομένων μιας χώρας μπορούν πολύ εύκολα να καταστρατηγηθούν με την μεταβίβαση των πληροφοριών σε τρίτες χώρες όπου δεν υφίσταται νομικό καθεστώς προστασίας. Στην συνέχεια, οι πληροφορίες αυτές μπορούν να τύχουν χωρίς περιορισμούς επεξεργασίας στις χώρες αυτές που συχνά αποκαλούνται "λιμένες δεδομένων" (data havens). Για το λόγο αυτό, οι περισσότεροι νόμοι προστασίας δεδομένων περιλαμβάνουν περιορισμούς που σχετίζονται με την μεταφορά τους σε τρίτες χώρες. Οι περιορισμοί αυτοί καταργούνται μόνο αν η χώρα στην οποία προορίζονται τα δεδομένα διαθέτει νόμους περί προστασίας δεδομένων. Για παράδειγμα, το άρθρο 25 της Ευρωπαϊκής Οδηγίας υποχρεώνει κάθε κράτος μέλος, πριν την έναρξη της μεταφοράς δεδομένων, να διασφαλίζει ότι κάθε πληροφορία που αφορά Ευρωπαίους πολίτες προστατεύεται από νόμους στις χώρες προορισμού. Η απόφαση σχετικά με το επίπεδο προστασίας που προσφέρει μια χώρα προορισμού γίνεται από την Ευρωπαϊκή Επιτροπή. Η αρχή βάση της οποίας λαμβάνεται αυτή η απόφαση είναι ότι η χώρα προορισμού θα πρέπει να παρέχει "επαρκές" αν όχι "ισοδύναμο" με την ΕΕ επίπεδο προστασίας. Στις 26 Ιουλίου 2000, η Ευρωπαϊκή Επιτροπή αποφάσισε ότι η Ελβετία και η Ουγγαρία παρέχουν επαρκές επίπεδο προστασίας και κατά συνέπεια συνεχίζεται η απρόσκοπτη ροή δεδομένων προς αυτές τις χώρες. Η Νέα Ζηλανδία, η Αυστραλία, ο Καναδάς και η Ιαπωνία είναι μερικές από τις χώρες για τις οποίες η Ευρωπαϊκή Επιτροπή δεν έχει ακόμη λάβει θέση σχετικά με το επίπεδο προστασίας που παρέχουν [EUC-00] Αρχές 'Ασφαλούς Λιμένα' Το νομικό πλαίσιο προστασίας δεδομένων στις ΗΠΑ στηρίζεται στους τομεακούς νόμους και την αυτορρύθμιση. Παρά το γεγονός ότι η ΕΕ δεν έχει λάβει καμία επίσημη θέση σχετικά με την επάρκεια του επίπεδου προστασίας που παρέχουν οι ΗΠΑ, θεωρείται μάλλον Οικονομικό Πανεπιστήμιο Αθηνών Σελ 35

36 δύσκολο, υπό τις παρούσες συνθήκες, οι τελευταίες να ικανοποιήσουν τις απαιτήσεις που θέτει η ΕΕ. Η ΕΕ προσέλαβε δύο επιφανείς Αμερικάνους δικηγόρους, οι οποίο συνέταξαν λεπτομερή αναφορά σχετικά με την κατάσταση της προστασίας ιδιωτικότητας στις ΗΠΑ και ανέδειξαν πολλά κενά στο νομικό πλαίσιο προστασίας των ΗΠΑ [SCH-96]. Οι ΗΠΑ άσκησαν μεγάλη πίεση στην ΕΕ, και τα κράτη μέλη, ώστε να αποδεχθούν ως επαρκές το σύστημα προστασίας τους. Στα 1998, οι ΗΠΑ ξεκίνησαν την διαπραγμάτευση μιας συμφωνίας «Ασφαλούς Λιμένα» (Safe Harbor), ώστε να διασφαλισθεί η απρόσκοπτη ροή προσωπικών δεδομένων από την ΕΕ. Η βασική ιδέα της συμφωνίας είναι ότι οργανισμοί και εταιρείες των ΗΠΑ εθελοντικά θα αυτο-πιστοποιούν την προσήλωσή τους σε μια σειρά από αρχές ιδιωτικότητας οι οποίες θα καθορίζονται από το Τμήμα Εμπορίου των ΗΠΑ και την Διεύθυνση Εσωτερικής Αγοράς της ΕΕ. Οργανισμοί οι οποίοι έχουν εμπράκτως αποδεχθεί την συμφωνία του Ασφαλούς Λιμένα θεωρούνται εκ των προτέρων ότι ικανοποιούν το κριτήριο της επάρκειας που θέτει η ΕΕ και κατά συνέπεια μπορούν να λαμβάνουν προσωπικά δεδομένα από αυτήν. Στις 26 Ιουλίου 2000, η ΕΕ ενέκρινε την συμφωνία. Παραταύτα, η ΕΕ διατήρησε το δικαίωμα να επαναδιαπραγματευθεί την συμφωνία σε περίπτωση που αποδειχθεί ότι δεν είναι επαρκής η προστασία που προσφέρεται στους Ευρωπαίους πολίτες. Οι υπερασπιστές της ιδιωτικότητας και οι ενώσεις καταναλωτών επέκριναν την απόφαση της ΕΕ να εγκρίνει την συμφωνία του Ασφαλούς Λιμένα διότι φοβούνται ότι θα αποτύχει να προστατέψει την ιδιωτικότητα των Ευρωπαίων πολιτών [USC-00]. Κύρια πηγή προβληματισμού τους αποτελεί το γεγονός ότι η συμφωνία στηρίζεται σε ένα σύστημα αυτορρύθμισης μέσω του οποίου οι εταιρείες δεσμεύονται μόνο να μην παραβιάζουν τις δεδηλωμένες πολιτικές προστασίας δεδομένων που έχουν υιοθετήσει. Επίσης, δεν υπάρχει μηχανισμός συστηματικής επίβλεψης τήρησης των όρων της συμφωνίας και δεν προβλέπεται μηχανισμός αποζημίωσης σε περιπτώσεις παραβίασης της συμφωνίας. Τέλος, η συμφωνία εφαρμόζεται σε εταιρείες που επιβλέπονται από την Ομοσπονδιακή Επιτροπή Εμπορίου και το Τμήμα Μεταφορών ενώ υπάρχουν ειδικές εξαιρέσεις για δημόσια αρχεία τα οποία προστατεύονται από την Ευρωπαϊκή νομοθεσία. Σε αυτό το σημείο, ολοκληρώθηκε η σύντομη ανασκόπηση του κανονιστικού πλαισίου προστασίας δεδομένων. Η συγκρότηση του εννοιολογικού μοντέλου προστασίας δεδομένων (Σχήμα 8) απαιτεί την εξέταση και των τεχνολογιών που δύναται να χρησιμοποιηθούν για την εφαρμογή των παραπάνω στο Διαδίκτυο. Για το λόγο αυτό, στο υπόλοιπο του κεφαλαίου, παρουσιάζονται δύο τεχνολογίες που συνεισφέρουν τα μέγιστα στην διαδικτυακή τεχνολογική Υποδομή Προστασίας Δεδομένων: οι Τεχνολογίες Ασφάλειας Πληροφοριών και Επικοινωνιών (ΤΑΠΕ) και οι Τεχνολογίες Προάσπισης Ιδιωτικότητας (ΤΠΙ). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 36

37 2.2 Η ανάγκη για Τεχνολογίες Ασφάλειας Πληροφοριών και Επικοινωνιών Η έννοια της ασφάλειας Τα πέντε συστατικά στοιχεία ενός Πληροφοριακού Συστήματος (ΠΣ) είναι το υλικό, το λογισμικό, οι διαδικασίες, οι άνθρωποι και τα δεδομένα [ΚΙΟ-95]. Ο όρος ασφάλεια ΠΣ (information systems security) δίνει έμφαση στην προστασία τόσο αυτών των συστατικών στοιχείων όσο και του ίδιου του ΠΣ στην ολότητά του. Αρκετά συχνά απαντάται ο όρος ασφάλεια στις ΤΠΕ. Όπως είναι φανερό, ο όρος αυτός δίνει έμφαση στους τεχνικούς παράγοντες που σχετίζονται με την ασφάλεια. Όπως ορίζεται στο [ΚΙΟ-95] η Ασφάλεια Πληροφοριακού Συστήματος είναι το οργανωμένο πλαίσιο από έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται για να προστατευθούν τα στοιχεία του Πληροφοριακού Συστήματος, αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή. Ο ορισμός αυτός δίνει έμφαση όχι μόνο στο ΠΣ ως ολότητα αλλά και στα επιμέρους στοιχεία του, ενώ η αναφερόμενη προφύλαξη αφορά κάθε είδους απειλή (τυχαία ή σκόπιμη). Η ασφάλεια του ΠΣ συνδέεται άμεσα τόσο με τις τεχνικές, τις διαδικασίες και τα διοικητικά μέτρα όσο και με ηθικοκοινωνικές αντιλήψεις, αρχές και παραδοχές. Είναι βέβαια προφανές ότι η προφύλαξη δεν πρέπει να παρεμποδίζει την απρόσκοπτη λειτουργία του συστήματος και την ελεύθερη διακίνηση των πληροφοριών, έτσι ώστε να μην θέτονται αδικαιολόγητοι φραγμοί στην ανάπτυξη της τεχνολογίας της πληροφορίας. Η ασφάλεια πληροφοριών αναφέρεται αποκλειστικά στην προστασία των πληροφοριών και είναι στενότερη έννοια από αυτή της ασφάλειας ΠΣ, αφού η πληροφορία εμπεριέχεται σε ένα ΠΣ. Βέβαια η ασφάλεια πληροφοριών δεν μπορεί να αγνοήσει το ΠΣ, στα πλαίσια του οποίου παράγεται και χρησιμοποιείται η πληροφορία. Αντίθετα, κάθε αναλυτική εργασία, η οποία αποσκοπεί στην ανάπτυξη και διαχείριση της ασφάλειας των πληροφοριών, πρέπει να στηρίζεται στην κατανόηση των σχετικών ΠΣ. Συνεπώς, όταν αναφερόμαστε στην ασφάλεια ενός ΠΣ, η προστασία όλων των συστατικών στοιχείων που μετέχουν σε αυτό έχει ιδιαίτερη σημασία, ενώ όταν αναφερόμαστε στην ασφάλεια πληροφοριών, η ασφάλεια του υλικού μας ενδιαφέρει μόνο στο βαθμό που σχετίζεται με την προστασία των πληροφοριών Ιδιότητες της ασφάλειας Η ασφάλεια των πληροφοριών αναφέρεται στην προστασία της πληροφορίας στην ολότητά της και των σχετικών με την ασφάλεια ιδιοτήτων. Ως θεμελιώδεις ιδιότητες ασφάλειας θεωρούνται η ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητα, οι οποίες ορίζονται ως εξής [ΓΚΡ-94], [ISO-17799]: Ακεραιότητα πληροφοριών (integrity): είναι η ιδιότητα των δεδομένων να υφίστανται σε προκαθορισμένο φυσικό μέσο ή χώρο και να είναι ακριβή. Δηλαδή η μη-εξουσιοδοτημένη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 37

38 τροποποίηση της πληροφορίας πρέπει να αποτρέπεται, ενώ κάθε αλλαγή του περιεχομένου των δεδομένων να είναι αποτέλεσμα εξουσιοδοτημένης και ελεγχόμενης ενέργειας. Εμπιστευτικότητα πληροφοριών (confidentiality): η ιδιότητα των δεδομένων να καθίστανται αναγνώσιμα μόνο από εξουσιοδοτημένα λογικά υποκείμενα, όπως φυσικές οντότητες και διεργασίες λογισμικού. Διαθεσιμότητα πληροφοριών (availability): η αποτροπή της προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας σε κάθε εξουσιοδοτημένο λογικό υποκείμενο του συστήματος. Σε αρκετές ερευνητικές εργασίες υποστηρίζεται πως οι παραπάνω τρεις ιδιότητες δεν επαρκούν, για να οριστεί η ασφάλεια πληροφοριών. Πρόσθετες ιδιότητες που συναντώνται είναι η αυθεντικότητα (authenticity) [PAR-95], δηλαδή η απόδειξη της προέλευσης και του ιδιοκτήτη της πληροφορίας, η ιδιότητα της εγκυρότητας (validity) [ΓΚΡ-96], δηλαδή ότι η πληροφορία αντιπροσωπεύει την πραγματικότητα και είναι επίκαιρη, ενώ σε άλλες πηγές [BOL-95] αναφέρονται η μοναδικότητα (uniqueness), δηλαδή η αδυναμία αντιγραφής και αναπαραγωγής της πληροφορίας χωρίς εξουσιοδότηση και η μη αποποίηση (non-repudiation) δηλαδή η αδυναμία άρνησης των ενεργειών που έχουν εκτελεστεί για την τροποποίηση, την αποστολή ή τη λήψη μίας πληροφορίας. Η ύπαρξη διαφορετικών θεωρήσεων για τις ιδιότητες της ασφάλειας δεν πρέπει να θεωρηθεί παράδοξο, καθώς στον επιστημονικό τομέα της πληροφορικής, η ασφάλεια έχει μεταφερθεί ως μία αφηρημένη έννοια, η οποία επιδέχεται ποικίλες ερμηνείες. Επίσης η έννοια της ασφάλειας στο κοινωνικό σύνολο, αντιστοιχεί ουσιαστικά σε ένα ανθρώπινο συναίσθημα. Έτσι ο όρος ασφάλεια αναφέρεται σε διάφορες ιδιότητες της πληροφορίας, ανάλογα με την οπτική του ερευνητή και το ΠΣ στο οποίο αναφέρεται. Συνεπώς, σε κάθε ειδική περίπτωση που μελετάμε πρέπει να ορίζουμε με σαφήνεια τις συγκεκριμένες ιδιότητες της πληροφορίας που καλούμαστε να προστατέψουμε [ΚOK-00]. Οι παραπάνω ιδιότητες της ασφάλειας των πληροφοριών δεν μετρώνται σε απόλυτα μεγέθη αλλά είναι συγκρίσιμες και έτσι υπεισέρχεται σε ένα βαθμό η σχετικότητα. Παρά τη σαφήνεια και απλότητα των ορισμών που δίδονται για τις τρεις βασικές ιδιότητες, στην πράξη δεν είναι πάντοτε εύκολο να προσδιορίσουμε πότε μία από αυτές έχει παραβιαστεί [ΓΚΡ-94]. Για παράδειγμα, η άρνηση διάθεσης της πληροφορίας (παραβίαση της διαθεσιμότητας) μπορεί να εκτιμηθεί με άλλο τρόπο σε διαφορετικές περιπτώσεις, αφού ο χρόνος αναμονής που θεωρείται ανεκτός διαφέρει από εφαρμογή σε εφαρμογή. Έτσι, μία καθυστέρηση ενός λεπτού στην παροχή μίας κρίσιμης ιατρικής πληροφορίας μπορεί να θεωρηθεί ως έλλειψη διαθεσιμότητας, ενώ ο ίδιος χρόνος στην αναζήτηση της καρτέλας φορολογουμένου σε μία δημόσια οικονομική υπηρεσία να θεωρηθεί αποδεκτός και αναμενόμενος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 38

39 2.2.3 Παράγοντες απαίτησης ασφάλειας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Όπως είναι ευνόητο, οι απαιτούμενες ιδιότητες που πρέπει να έχουν τα δεδομένα ενός ΠΣ ώστε να θεωρηθούν ασφαλή, δεν είναι σταθερές, αλλά εξαρτώνται κυρίως από τη δυναμικότητά του όσο και του περιβάλλοντός του. Αναλυτικότερα, το επίπεδο ασφάλειας που απαιτείται για να προστατευθεί ένα ΠΣ εξαρτάται από δύο παράγοντες: (1) τη φύση των διαχειριζόμενων δεδομένων και (2) το συγκεκριμένο χωρο-χρονικό πλαίσιο. Τα διαχειριζόμενα δεδομένα μπορεί να χαρακτηριστούν κάτω από συγκεκριμένες συνθήκες ως άξια, ή μη, προστασίας. Τα δεδομένα που χρήζουν προστασίας από δυνητικές απειλές αποκαλούνται ευπαθή. Για παράδειγμα, τα δεδομένα που αφορούν στον σχεδιασμό πωλήσεων μίας επιχείρησης ή ενός στρατιωτικού σχεδίου άμυνας χρήζουν προστασίας. Επιπρόσθετης προστασίας χρίζουν τα ευαίσθητα προσωπικά δεδομένα (βλ ). Η απαίτηση για ασφάλεια ορισμένων δεδομένων ενδέχεται να μην ισχύει για όλα τα κοινωνικά περιβάλλοντα. Η ίδια κατηγορία δεδομένων είναι πιθανό να χρήζει προστασίας σε ένα συγκεκριμένο περιβάλλον ενώ σε ένα άλλο να μην θεωρείται ευπαθές δεδομένο. Παράδειγμα είναι η καταγραφή των χρηματικών συναλλαγών σε ένα εμπορικό κατάστημα ως μη ευπαθές δεδομένο από τη μία πλευρά και η καταγραφή των χρηματικών συναλλαγών σε μία τράπεζα από την άλλη, όπου απαιτείται υψηλό επίπεδο ασφάλειας. Τέλος, είναι πιθανό σε κάποιο περιβάλλον να έχει παγιωθεί ή να έχει γίνει ευρέως αποδεκτή η άποψη ότι κάποιο από τα παραπάνω δεδομένα δεν είναι ευαίσθητο και συνεπώς δεν απαιτείται η προστασία του. Η σύγχρονη ιστορία μας δίνει τέτοια παραδείγματα δεδομένων, όπως η υπηκοότητα και οι καταναλωτικές συνήθειες. 2.3 Η έννοια της απειλής Σύμφωνα με τον ορισμό της ασφάλειας που δόθηκε στην παράγραφο 2.2, η ασφάλεια έχει σκοπό την προστασία ενός ΠΣ από κάθε σκόπιμη ή τυχαία απειλή. Με τον όρο απειλή εννοείται μια πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσότερων χαρακτηριστικών της ασφάλειας του ΠΣ [ΓΚΡ-96]. Οι απειλές διακρίνονται σε δύο κατηγορίες: σκόπιμες είναι οι απειλές που προϋποθέτουν κακή πρόθεση ενώ τυχαίες είναι εκείνες που προκύπτουν από ενέργειες που δεν προϋποθέτουν κακή πρόθεση. Σκόπιμες ή όχι, οι απειλές εκμεταλλεύονται αδυναμίες ενός συστήματος για προκαλέσουν ζημιά στα αγαθά του. Με τον όρο ζημιά νοείται η ολική ή μερική απώλεια μιας ή περισσοτέρων από τις ιδιότητες των αγαθών που χρίζουν προστασίας. Με τον όρο αδυναμία νοείται ένα σημείο του ΠΣ που μπορεί να επιτρέψει την πρόκληση ζημιάς σε ένα η περισσότερα αγαθά του. Οι σχέσεις μεταξύ απειλών, αδυναμιών και αγαθών συνοψίζονται στο Σχήμα 2. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 39

40 Σχήμα 2: Οι σχέσεις μεταξύ απειλών, αδυναμιών και αγαθών Η εκτίμηση των απειλών εναντίον της ασφάλειας ενός συστήματος είναι πολύ σημαντική διότι αποτελεί το πρώτο βήμα που πρέπει να κάνει ένας οργανισμός που θέλει να δημιουργήσει ένα συνολικό πλάνο προστασίας της ασφάλειας της πληροφοριακής υποδομής του. Η επιστημονική μεθοδολογία που χρησιμοποιείται για την δημιουργία αυτού του πλάνου ονομάζεται ανάλυση επικινδυνότητας. Η ανάλυση επικινδυνότητας είναι μια οργανοτεχνική μελέτη η οποία μελετά τις απειλές, τις ευπάθειες και τα αγαθά ενός οργανισμού και προτείνει τα μέτρα ασφάλειας που πρέπει να ληφθούν για την αντιμετώπιση των προσδιορισμένων απειλών. Υπάρχουν διάφορες μεθοδολογίες για την εκπόνηση μιας μελέτης ανάλυσης επικινδυνότητας [BS7-99]. Η εκτίμηση των απειλών, είναι το σημείο έναρξης για κάθε μεθοδολογία ανάλυσης επικινδυνότητας. Κατ' αναλογία, στο σημείο αυτό παρουσιάζονται οι απειλές κατά της ασφάλειας του Διαδικτύου, ως φορέα της τεχνολογικής διαδικτυακής ΥΠΔ. Οι απειλές κατά της ασφάλειας πληροφοριών χωρίζονται σε δύο μεγάλες κατηγορίες: (α) απειλές κατά την αποθήκευση και (β) απειλές κατά την μετάδοσή τους Απειλές κατά την αποθήκευση Στην κατηγορία αυτή ανήκουν όλες οι απειλές που μπορούν να προσβάλλουν τις πληροφορίες που διατηρεί ένας χρήστης του Διαδικτύου στον προσωπικό υπολογιστή του [DΕΝ-97]: μη εξουσιοδοτημένη μεταβολή (tampering, data diddling) δεδομένων ή λογισμικού που βρίσκονται αποθηκευμένα σε έναν υπολογιστή. μη εξουσιοδοτημένη πρόσβαση στα δεδομένα ενός χρήστη. Η απειλή αυτή μοιάζει με την προηγούμενη αλλά δεν περιλαμβάνει μεταβολή των δεδομένων. υπερφόρτωση (jamming) των πόρων του συστήματος. Ο επίβουλος εισβολέας μπορεί να υπερφορτώσει τους πόρους ενός συστήματος (την μνήμη, τον επεξεργαστή, το σκληρό δίσκο κ.λ.π) και να ελαχιστοποιήσει την διαθεσιμότητα του συστήματος προς τους εξουσιοδοτημένους χρήστες. το ιομορφικό λογισμικό είναι το λογικό αντικείμενο το οποίο όταν ενεργοποιείται προκαλεί την άμεση ή έμμεση εκτέλεση διαδικασιών οι οποίες δεν είναι γνωστές στο λογικό υποκείμενο, που προκαλεί την ενεργοποίησή του, ούτε στον διαχειριστή του συστήματος [ΓΚΡ-94]. τα λάθη στο σχεδιασμό, την υλοποίηση και την διαχείριση του υλικού/λογισμικού είναι βασικό χαρακτηριστικό όλων των ΠΣ. Η εκμετάλλευσή τους μπορεί να οδηγήσει στην απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ένα σύστημα. 'σπάσιμο' κωδικών, συνθηματικών και κλειδιών κρυπτογράφησης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 40

41 2.3.2 Απειλές κατά την μετάδοση Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Στην κατηγορία αυτή ανήκουν όλες οι απειλές που μπορούν να προσβάλλουν την ασφάλεια των πληροφοριών που μεταδίδονται σε ένα ηλεκτρονικό επικοινωνιακό δίκτυο [VIV-98]. υποκλοπή δικτυακής κίνησης (eavesdropping, packet sniffing) είναι η μη εξουσιοδοτημένη υποκλοπή των μηνυμάτων που ανταλλάσσουν δύο ή περισσότερα επικοινωνούντα μέρη. Οι ωτακουστές (eavesdroppers) δεν μεταβάλλουν τα περιεχόμενα των μηνυμάτων. πλαστοπροσωπία (spoofing, masquerading, impersonation) ενός εξουσιοδοτημένου χρήστη. Στην απειλή αυτή ο επίδοξος εισβολέας καταφέρνει να ξεγελάσει ένα σύστημα υποκλέπτοντας τα στοιχεία ταυτοποίησης ενός εξουσιοδοτημένου χρήστη. Να σημειωθεί ότι η υπερφόρτωση μπορεί να υπάρξει και για τους πόρους ενός δικτύου. Η ευρύτερα χρησιμοποιούμενη επίθεση αυτού του είδους είναι η άρνηση υπηρεσίας (denial of service). Περιστατικά εκδήλωσης τέτοιων απειλών υπήρξαν το 'σκουλήκι' του Διαδικτύου ([ΚΑΒ-94]) και η υπερφόρτωση ενός συστήματος με την αποστολή ειδικά διαρθρωμένων μηνυμάτων μέσω της εντολής ping (ping of death) [CER-96]. 2.4 Αντιμετώπιση απειλών Υπάρχουν τεχνικές με τις οποίες δίνεται η δυνατότητα στον χρήστη του Διαδικτύου να αντιμετωπίσει τις προαναφερθείσες απειλές κατά της ασφάλειας. Στην συνέχεια περιγράφονται οι σημαντικότεροι από αυτούς τους μηχανισμούς. Κρυπτογραφία Η μέθοδος που χρησιμοποιείται για την μετατροπή ενός αρχείου σε μορφή τέτοια ώστε να μην είναι κατανοητό το περιεχόμενό του, από μη εξουσιοδοτημένα άτομα ή οντότητες, ονομάζεται κρυπτογράφηση (encryption). Η αντίστροφη διαδικασία, δηλαδή η μετατροπή του κρυπτογραφημένου κειμένου (ciphertext) στο αρχικό κείμενο (plaintext, cleartext) ονομάζεται αποκρυπτογράφηση (decryption). Η κρυπτογραφία χρησιμοποιεί μαθηματικές συναρτήσεις για την κρυπτογράφηση και την αποκρυπτογράφηση δεδομένων δίνοντας την δυνατότητα αποθήκευσης ευαίσθητων πληροφοριών ή μετάδοσής τους μέσω μη ασφαλών δικτύων (για παράδειγμα το Διαδίκτυο). H κρυπτανάλυση έχει αντίθετα κίνητρα από την κρυπτογραφία. Προσπαθεί να παρακάμψει την ασφαλή επικοινωνία, έχοντας σαν σκοπό την αποκρυπτογράφηση του περιεχομένου από μη εξουσιοδοτημένες οντότητες. Η κρυπτολογία περιλαμβάνει τόσο την κρυπτογραφία, όσο και την κρυπτανάλυση. Η κρυπτογραφία μπορεί να είναι ισχυρή ή αδύναμη. Κριτήριο για το χαρακτηρισμό αυτό αποτελεί ο χρόνος και οι πόροι οι οποίοι απαιτούνται για την κρυπτανάλυση ενός κρυπτογραφημένου κειμένου. Στην ισχυρή κρυπτογραφία δημιουργείται ένα Οικονομικό Πανεπιστήμιο Αθηνών Σελ 41

42 κρυπτογραφημένο κείμενο που απαιτεί μεγάλη υπολογιστική ισχύ και ανάλωση χρόνου, για να αποκρυπτογραφηθεί. Η ραγδαία εξέλιξη της τεχνολογίας μπορεί μελλοντικά να υποβιβάσει σε αδύναμη την σημερινή ισχυρή κρυπτογραφία. Ένας κρυπτογραφικός αλγόριθμος (cipher) είναι μια μαθηματική συνάρτηση, η οποία χρησιμοποιείται κατά την διαδικασία της κρυπτογράφησης και της αποκρυπτογράφησης και σε συνδυασμό με μια αλφαριθμητική ακολουθία που λέγεται κλειδί (key), κρυπτογραφεί ένα αρχείο. Κρυπτογραφώντας ένα κείμενο με διαφορετικά κλειδιά, προκύπτουν διαφορετικά κρυπτογραφημένα κείμενα. Η ασφάλεια των κρυπτογραφημένων δεδομένων εξαρτάται από την ισχύ του αλγόριθμου και τη μυστικότητα του κλειδιού. Ο κρυπτογραφικός αλγόριθμος, όλα τα δυνατά κλειδιά και τα πρωτόκολλα που χρησιμοποιούνται, αποτελούν ένα κρυπτοσύστημα. Τα κρυπτοσυστήματα μπορούν να διακριθούν σε δύο κατηγορίες, ιδιωτικού κλειδιού ή συμβατικά ή συμμετρικά και δημοσίου κλειδιού ή ασύμμετρα. Τα σύγχρονα κρυπτοσυστήματα μπορούν να λάβουν την μορφή κρυπτοβιβλιοθηκών οι οποίες χρησιμοποιούνται για την ενσωμάτωση (built-in) μηχανισμών προάσπισης ιδιωτικότητας σε ένα ΠΣ. Ο κατασκευαστής πρέπει να λάβει υπ' όψη του διάφορα κριτήρια για να αποφασίσει την καταλληλότητα ενός προϊόντος για το σύστημά του [MOU-00]: ευκολία χρήσης της γλώσσας διεπαφής (Application Programming Interface, API) της κρυπτοβιβλιοθήκης. Κύρια χαρακτηριστικά της γλώσσας διεπαφής πρέπει να είναι: (α) η ιεραρχική δομή και (β) ο περιορισμένος αριθμός παραμέτρων που χρησιμοποιεί. η υλοποίηση με βάση τις αρχές του αντικειμενοστραφούς προγραμματισμού βοηθά στην επαναχρησιμοποίηση μονάδων λογισμικού και τον έλεγχο ορθότητας της κρυπτοβιβλιοθήκης. η υποστήριξη υπηρεσιών ΥΔΚ (PKI) θεωρείται συνθήκη sine qua non για μια κρυπτοβιβλιοθήκη που χρησιμοποιείται για την δημιουργία εφαρμογών Διαδικτύου. επαρκής τεκμηρίωση των μονάδων λογισμικού. κρυπτογραφικοί αλγόριθμοι που υποστηρίζονται. πρόβλεψη για την υποστήριξη κρυπτογραφικών τεκμηρίων (π.χ. έξυπνες κάρτες). υποστήριξη προτύπων ασφάλειας. δυνατότητα λειτουργίας σε διαφορετικές τεχνολογικές πλατφόρμες (π.χ. UNIX, MsWindows) η χρήση κρυπτογραφικών αλγορίθμων που προστατεύονται από πατέντες ή υπόκεινται σε έλεγχο εξαγωγών (export control) λειτουργούν ανασταλτικά για την χρήση μιας κρυπτοβιβλιοθήκης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 42

43 η παροχή του πηγαίου κώδικα της κρυπτοβιβλιοθήκης διευκολύνει τον έλεγχο ορθότητάς της και αυξάνει την εμπιστοσύνη του σχεδιαστή της εφαρμογής. το κόστος αγοράς πρέπει να είναι μικρό. Ο Πίνακας 3 παρέχει την απεικόνιση των παραπάνω κριτηρίων με τις ευρύτερα χρησιμοποιούμενες κρυπτοβιβλιοθήκες [MOU-00]. Κριτήρια CDSA GSS-API Crypto SESAME RSA Bsafe, RSA Baltimore SSLeay Cryptlib API Bcert Jsafe PKI Plus Αντικειμενοστρέφεια Ναι Όχι Ναι Όχι Όχι Ναι Ναι Όχι Ευκολία χρήσης Μέτρια Όχι Μέτρια Όχι Ναι Όχι Ναι Υπηρεσίες ΥΔΚ Ναι Όχι Ναι Ναι Ναι Όχι Ναι Ναι Ναι * Τεκμηρίωση Καλή Καλή Καλή Καλή Σπάνια Σπάνια Καλή Σπάνια Καλή Κρυπτογραφικοί Αλγόριθμοι Ναι Ναι* Ναι Ναι Ναι Ναι Ναι Κρυπτογραφικά τεκμήρια Όχι Ναι Όχι Ναι Ναι Ναι Όχι Ναι Πρότυπα Ναι Ναι Ναι Ναι Ναι Ναι Ναι Ναι Πολλαπλές τεχνολογικές Όχι Όχι Ναι Ναι Ναι Όχι Ναι Ναι πλατφόρμες Πατέντες Έλεγχος Εξαγωγών Ναι Ναι Όχι Όχι Πηγαίος Κώδικας Όχι Όχι Όχι Όχι Όχι Ναι Όχι Κόστος Δωρεάν Δωρεάν Πίνακας 3: Κριτήρια επιλογής κρυπτοβιβλιοθηκών Συμμετρική Κρυπτογραφία Στην συμβατική κρυπτογραφία, η οποία επίσης ονομάζεται κρυπτογραφία μυστικού κλειδιού ή συμμετρικού κλειδιού (secret-key ή private-key ή symmetric-key), χρησιμοποιείται ένα κλειδί τόσο για την κρυπτογράφηση, όσο και για την αποκρυπτογράφηση. Το γεγονός αυτό την καθιστά ακατάλληλη για χρήση στο Διαδίκτυο εξαιτίας του γεγονότος ότι δεν υπάρχει ασφαλής μηχανισμός για την ανακοίνωση του μυστικού κλειδιού κρυπτογράφησης προς τους παραλήπτες των κρυπτογραφημένων μηνυμάτων. Από την άλλη, το κύριο χαρακτηριστικό της συμμετρικής κρυπτογραφίας είναι η μεγάλη ταχύτητα εκτέλεσης των αλγορίθμων κρυπτογράφησης και αποκρυπτογράφησης. * κριτήριο μερικώς εκπληρωμένο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 43

44 Οι πλέον ευρέως γνωστοί συμμετρικοί αλγόριθμοι είναι οι: Data Encryption Standard (DES) και triple-des [NBS-88], International Data Encryption Algorithm (IDEA) [LAI-92] και η σειρά RC2, RC4, RC5 [RIV-95]. Κρυπτογραφία Δημοσίου Κλειδιού Η κρυπτογραφία δημοσίου κλειδιού (public key cryptography) χρησιμοποιεί δύο κλειδιά: ένα δημόσιο κλειδί (public key) για κρυπτογράφηση, το οποίο δημοσιοποιείται και ένα ιδιωτικό κλειδί (private key) για αποκρυπτογράφηση, το οποίο διατηρείται μυστικό. Ο αποστολέας κρυπτογραφεί το μήνυμα με το γνωστό δημόσιο κλειδί και ο παραλήπτης το αποκρυπτογραφεί κάνοντας χρήση του μυστικού κλειδιού που μόνο ο ίδιος γνωρίζει. Τα δύο κλειδιά συνδέονται με μια μονόδρομη συνάρτηση (one-way function) που εξασφαλίζει ότι ο κάτοχος του δημοσίου κλειδιού είναι υπολογιστικά δύσκολο να προσδιορίσει το μυστικό κλειδί. Όποιος έχει το δημόσιο κλειδί, μπορεί να κρυπτογραφεί πληροφορίες που μόνο ο κάτοχος του ιδιωτικού κλειδιού μπορεί να αποκρυπτογραφήσει. Χαρακτηριστικά παραδείγματα ασύμμετρων κρυπτοσυστημάτων είναι τα: Rivest-Shamir-Adleman (RSA) [RIV-78], Diffie-Hellmann [DIF-76], ElGamal [ELG-84] και Rabin [RAB-78]. Τα ασύμμετρα κρυπτοσυστήματα χρησιμοποιούνται ευρέως για την κρυπτογράφηση μηνυμάτων που μεταδίδονται μέσω του Διαδικτύου. Η διαχείριση των δημόσιων κλειδιών γίνεται από την ΥΔΚ. Στην πράξη χρησιμοποιούνται υβριδικά συστήματα κρυπτογραφίας που συνδυάζουν τα πλεονεκτήματα των συμμετρικών με τα αντίστοιχα των κρυπτοσυστημάτων δημοσίου κλειδιού. Η κρυπτογράφηση των πραγματικών δεδομένων γίνεται με χρήση συμμετρικής κρυπτογραφίας ενώ το ιδιωτικό κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση, κρυπτογραφείται με το δημόσιο κλειδί του παραλήπτη του μηνύματος. Η υβριδική χρήση των δύο κρυπτοσυστημάτων, με τον παραπάνω τρόπο, συνιστά την έννοια του ψηφιακού φακέλου (digital envelope). Ένα χαρακτηριστικό παράδειγμα χρήσης ψηφιακών φακέλων συναντάται στο Pretty Good Privacy (PGP) [ZIM-95] όπου χρησιμοποιείται το συμμετρικό σύστημα IDEA και το ασύμμετρο RSA. Έλεγχος αυθεντικότητας Έλεγχος αυθεντικότητας είναι η διαδικασία επαλήθευσης της ορθότητας του ισχυρισμού ενός χρήστη ότι κατέχει μια συγκεκριμένη ταυτότητα [ΓΚΡ-96]. Τα συνθηματικά, τα PINS, η κρυπτογραφία, οι ψηφιακές υπογραφές, οι έξυπνες και οι PCMICIA κάρτες, συσκευές με δυνατότητες προς-τα-πίσω κλήσεων (call back devices), βιομετρικά στοιχεία και δεδομένα τοποθεσίας κλήσης περιλαμβάνονται στους μηχανισμούς που χρησιμοποιούνται για τον έλεγχο αυθεντικότητας. Ο ευρύτερα χρησιμοποιούμενος μηχανισμός ελέγχου αυθεντικότητας είναι οι ψηφιακές υπογραφές (digital signatures), τα αθροίσματα ελέγχου και οι συναρτήσεις σύνοψης (hash functions). Ψηφιακές υπογραφές Οικονομικό Πανεπιστήμιο Αθηνών Σελ 44

45 Η ψηφιακή υπογραφή είναι το ηλεκτρονικό αντίστοιχο της χειρόγραφης υπογραφής και βοηθά στην επαλήθευση της αυθεντικότητας του αποστολέα και της ακεραιότητας των δεδομένων που μεταδίδονται. Ένα ασφαλές σύστημα παροχής ψηφιακών υπογραφών αποτελείται από δύο υποσυστήματα: (α) το υποσύστημα παραγωγής της υπογραφής, που ανήκει στον αποστολέα και (β) το υποσύστημα επικύρωσης της υπογραφής, που ανήκει στον παραλήπτη ενός μηνύματος. Οι πιο διαδεδομένοι αλγόριθμοι που χρησιμοποιούνται για την δημιουργία ψηφιακών υπογραφών είναι οι: MD5 [RIV-92], SHA-1 και RIPEMD-160 [ISO ]. Έλεγχος προσπέλασης και επίβλεψη Επίβλεψη είναι μια συνεχής διαδικασία ανίχνευσης σχεδιασμένη να εξασφαλίσει την αναγνώριση των περιστατικών και των παραβιάσεων όταν εμφανίζονται [ΓΚΡ-96]. Οι ελεγκτές δικτύου, οι περιοδικοί έλεγχοι και τα αναχώματα είναι οι κυριότεροι μηχανισμοί επίβλεψης. Υπάρχουν δύο ειδών έλεγχοι προσπέλασης: (α) ο έλεγχος προσπέλασης συστήματος είναι ο περιορισμός της προσπέλασης στο σύστημα μόνο από εξουσιοδοτημένους χρήστες και (β) ο έλεγχος προσπέλασης πληροφοριών είναι ο περιορισμός της προσπέλασης των πληροφοριών μόνο στους εξουσιοδοτημένους χρήστες [ΓΚΡ-96]. Οι λίστες ελέγχου προσπέλασης, οι λίστες ικανοτήτων, η συσκευασία (wrapping) προγραμμάτων, οι ελεγκτές ακεραιότητας, οι αντιπρόσωποι και τα αναχώματα είναι οι σημαντικότεροι μηχανισμοί που χρησιμοποιούνται για έλεγχο προσπέλασης. Αναχώματα και αντιπρόσωποι Με τον όρο ανάχωμα (Firewall) [CHE-96], περιγράφονται σήμερα τα ολοκληρωμένα συστήματα ασφάλειας ενός ΠΣ. Ένα ανάχωμα είναι συνδυασμός κατάλληλου υλικού (δρομολογητές, εξυπηρέτες, κάρτες δικτύου) και λογισμικού. Παρεμβάλλεται του εσωτερικού δικτύου και του ανασφαλούς Διαδικτύου και προστατεύει το εσωτερικό δίκτυο από εξωτερικές επιθέσεις. Ανάλογα με την πολιτική ασφάλειας του οργανισμού, το ανάχωμα παίζει τον ρόλο ελεγκτή, τόσο για την πρόσβαση από το Διαδίκτυο στο εσωτερικό δίκτυο, όσο και αντίστροφα, ενεργώντας επιλεκτικά, σε άλλους επιτρέποντας την πρόσβαση και σε άλλους όχι. Ένα ανάχωμα προσφέρει, συνήθως, ανάμεσα στις άλλες και υπηρεσίες καταγραφής γεγονότων και ενεργειών χρηστών. Οι υπηρεσίες αυτές είναι χρήσιμες σε περιπτώσεις έλεγχων συμβάντων που σχετίζονται με την ασφάλεια του ΠΣ. Εξαιτίας όμως των προσωπικών δεδομένων που καταγράφουν (π.χ. ώρα πρόσβασης σε ένα σύστημα, προσπελάσιμες ιστοσελίδες), οι ίδιες υπηρεσίες μπορούν να προσβάλλουν την ιδιωτικότητα των υπαλλήλων ενός οργανισμού. Η λειτουργία των αντιπροσώπων (proxies) μοιάζει με αυτή των αναχωμάτων. Η κύρια διαφορά τους έγκειται στο ότι ο αντιπρόσωπος δρα εκ μέρους του προγράμματος-πελάτη και δεν αποκαλύπτει την ταυτότητα του χρήστη που τον χρησιμοποιεί. Για τον λόγο αυτό Οικονομικό Πανεπιστήμιο Αθηνών Σελ 45

46 αιτήσεις για πληροφορίες από πλευράς του χρήστη προωθούνται μέσω του αντιπροσώπου ενώ οι απαντήσεις επιστρέφονται στον αντιπρόσωπο και από αυτόν στον τελικό χρήστη. Στην περίπτωση των αναχωμάτων ο άμεσος παραλήπτης της πληροφορίας είναι ο χρήστης. Έλεγχος, καταγραφή και ανίχνευση εισβολών Ο έλεγχος ασφάλειας αναφέρεται στην διαδικασία καταγραφής γεγονότων που σχετίζονται με την ασφάλεια σε αρχείο το οποίο εξετάζεται για τον προσδιορισμό τυχόν παραβιάσεων ασφάλειας. Ένα σύστημα ανίχνευσης προσβολών (intrusion detection) ανιχνεύει τα αρχεία καταγραφής του ΠΣ με σκοπό την ανακάλυψη εισβολών ή πράξεων επίβουλης χρήσης των πόρων του συστήματος. Οι τεχνικές που χρησιμοποιούνται για την ανίχνευση εισβολών περιλαμβάνουν: 1. Τεχνικές ανίχνευσης ανώμαλης συμπεριφοράς: στην κατηγορία των τεχνικών ανίχνευσης ανώμαλης συμπεριφοράς κατατάσσονται (α) οι τεχνικές στατιστικής ανάλυσης, (β) τα νευρωνικά δίκτυα, (γ) οι τεχνικές αναγνώρισης διαθέσεων χρηστών, (δ) οι αυτόνομοι πράκτορες (autonomous agents) και (ε) η επιλογή χαρακτηριστικών και οι τεχνικές γράφων. 2. Τεχνικές ανίχνευσης κατάχρησης πόρων: στην κατηγορία των τεχνικών ανίχνευσης κατάχρησης πόρων κατατάσσονται: (α) τα έμπειρα συστήματα, (β) η αναγνώριση προτύπων, (γ) η τεχνική των μοντέλων, (δ) η τεχνική ανάλυσης αλλαγής καταστάσεων και (ε) η ανάλυση χαρακτηριστικών πληκτρολόγησης. Μια συγκριτική μελέτη πολλών συστημάτων ανίχνευσης προσβολών δίνεται στο [ΓKP-94]. Αντιμετώπιση ιομορφικού λογισμικού Οι μεθοδολογίες αντιμετώπισης του ιομορφικού λογισμικού χωρίζονται σε δύο κατηγορίες [ΓKP-94]: 1. Αντιμετώπιση ιών με μεθόδους βασισμένες στην εμφάνιση. Στην κατηγορία αυτή ανήκουν: οι ανιχνευτές (scanners) ιών, τα αντίδοτα, τα αρθροίσματα ελέγχου, η αυτό-άμυνα λογισμικού, το σφαλματοανθεκτικό λογισμικό, ο έλεγχος μεταβολών και τα κελύφη προστασίας. 2. Αντιμετώπιση ιών με μεθόδους βασισμένες στην συμπεριφορά. Στην κατηγορία αυτή ανήκουν: τα έμπειρα συστήματα, τα νευρωνικά δίκτυα και οι γλώσσες προσδιορισμού προδιαθέσεων. Αντίγραφα ασφάλειας Η τήρηση αντιγράφων ασφάλειας είναι η βασική τεχνική που χρησιμοποιείται για την ανάνηψη των δεδομένων από καταστροφές. Όλα τα σύγχρονα λειτουργικά συστήματα προσφέρουν λειτουργίες τήρησης αντιγράφων ασφάλειας: οι εντολές tar και dump στο σύστημα UNIX, η λειτουργία backup στα Windows. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 46

47 Ασφαλής σχεδιασμός, υλοποίηση και διαχείριση Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Στην κατηγορία αυτή ανήκουν τα εργαλεία και οι τεχνικές σχεδίασης, υλοποίησης, συντήρησης, εγκατάστασης και διαχείρισης ασφαλών συστημάτων. Περιλαμβάνει δοκιμασμένες ασφαλείς πρακτικές μηχανικής λογισμικού, τυπικές μεθόδους, έλεγχους (testing) και ανάλυση ευπαθειών του συστήματος, διαχείριση τεχνοδιαμόρφωσης (configuration) υπολογιστικών συστημάτων, ανθρώπινες δραστηριότητες και εκπαίδευση χρηστών Συσχέτιση απειλών και τεχνικών αντιμετώπισής τους Ο Πίνακας 4 απεικονίζει την συσχέτιση των απειλών κατά της ασφάλειας και των τεχνικών αντιμετώπισής τους [DEN-97]. Η φύση των αντιμέτρων χωρίζεται σε τρεις κατηγορίες: (α) πρόληψη (Π), (β) ανίχνευση (Α) και (γ) ανάνηψη (Αν). Πολλές από τις απειλές κατά της ασφάλειας μπορούν να προσβάλλουν και την ιδιωτικότητα. Για παράδειγμα η μη εξουσιοδοτημένη πρόσβαση σε αρχεία έχει σαν αποτέλεσμα την παραβίαση της ιδιωτικότητας του ιδιοκτήτη τους. Τέλος, η κρυπτογραφία, οι ψηφιακές υπογραφές, τα αναχώματα και οι αντιπρόσωποι είναι τεχνικές που χρησιμοποιούνται και για την αντιμετώπιση απειλών κατά της ιδιωτικότητας. Από αυτά συμπεραίνουμε την συσχέτιση της ασφάλειας με την προστασία της ιδιωτικότητας. Η συσχέτιση αυτή γίνεται ευκρινής κατά την διάρκεια των αμέσως επόμενων παραγράφων. Μηχανισμοί Απειλές Μη εξουσιοδοτημένη μεταβολή Υπερφόρτωση Ιομορφικό λογισμικό Λάθη στο σχεδιασμό Σπάσιμο κωδικών Μη εξουσιοδοτημένη πρόσβαση Ωτακουστές Πλαστοπροσωπία Κρυπτογραφία Έλεγχος αυθεντικότητας (ψηφιακές υπογραφές) Έλεγχος προσπέλασης και επίβλεψη Έλεγχος, Ανίχνευση εισβολών Αντιμετώπιση ιομορφικού λογισμικού Αντίγραφα ασφάλειας Ασφαλής σχεδιασμός Α Α Αν Π Π Α Π ΑΠ Π Α ΑΠ Π Π Α Π Π Π Α Π Π ΑΠ Α Π Π Π Πίνακας 4: Συσχέτιση απειλών κατά της ασφάλειας και τεχνικών αντιμετώπισής τους 2.5 Η ανάγκη για Τεχνολογίες Προάσπισης Ιδιωτικότητας Η κατακόρυφη αύξηση στην χρήση των υπηρεσιών του Διαδικτύου σηματοδοτήθηκε από την εφαρμογή των γραφικών διεπαφών χρήστη στα 1993 και την μετακίνηση της διαχείρισης του Διαδικτύου προς τον ιδιωτικό τομέα στα Αρχικά επρόκειτο για ένα φαινόμενο το οποίο εμφανίσθηκε στην Βόρεια Αμερική ενώ σήμερα το Διαδίκτυο αποτελεί παγκόσμιο Οικονομικό Πανεπιστήμιο Αθηνών Σελ 47

48 μέσο επικοινωνίας [EPI-02]. Η ανάπτυξη του Διαδικτύου αναμένεται να συνεχισθεί με γοργούς ρυθμούς στο άμεσο μέλλον εξαιτίας της απελευθέρωσης των τηλεπικοινωνιών, της μείωσης των τιμών του υλικού, του λογισμικού και της πρόσβασης στο Διαδίκτυο και της παροχής αξιόλογων απευθείας υπηρεσιών. Το Διαδίκτυο όμως δεν είναι ένα "φιλικό" προς την ιδιωτικότητα δίκτυο. Η ανοικτή αρχιτεκτονική του, οι απειλές κατά της ασφάλειας που παρουσιάσθηκαν παραπάνω, και το γεγονός ότι δεν ενσωματώθηκαν σε αυτό εξ' αρχής στοιχεία προάσπισης ιδιωτικότητας και ασφάλειας, το καθιστά ως το πλέον εχθρικό περιβάλλον για την επίτευξη ανώνυμων επικοινωνιών. Παρά τις αρχιτεκτονικές ελλείψεις του το Διαδίκτυο έχει προσελκύσει το επενδυτικό ενδιαφέρον των επιχειρηματιών. Η απελευθέρωση και η ανάπτυξη των τηλεπικοινωνιών πολλαπλασίασαν τα σημεία πρόσβασης. Διαμορφωτές/αποδιαμορφωτές (modem), φορητοί υπολογιστές και κινητά τηλέφωνα είναι μόνο μερικά από τα μέσα που χρησιμοποιούνται για την πρόσβαση στο Διαδίκτυο. Παράλληλα όμως με την αύξηση της χρήσης του, το Διαδίκτυο προσέλκυσε και το οικονομικό ενδιαφέρον του ιδιωτικού τομέα. Η μείωση του κόστους παραγωγής και διαφήμισης και η δημιουργία νέων αγορών είναι μόνο μερικά από τα κέρδη μια τέτοιας εμπορικής εκμετάλλευσης του Διαδικτύου από τους εμπόρους. Αποτέλεσμα των παραπάνω εξελίξεων είναι η συνεχόμενη αύξηση του ενδιαφέροντος των επιχειρηματιών για τα προσωπικά δεδομένα των χρηστών του Διαδικτύου. Με την συλλογή και επεξεργασία προσωπικών δεδομένων, οι ιδιοκτήτες διαδικτυακών τόπων πετυχαίνουν την καλύτερη προσαρμογή των υπηρεσιών και της γραμμής παραγωγής τους στις ανάγκες του χρήστη, την βελτίωση της διαφημιστικής τους εκστρατείας και την δημιουργία νέων ομάδων-στόχων καταναλωτών. Για τους λόγους αυτούς, συλλέγονται προσωπικές πληροφορίες κάθε φορά που ένας χρήστης συνδέεται με κάποιο διαδικτυακό τόπο. Στην συνέχεια οι πληροφορίες αυτές τυγχάνουν επεξεργασίας από εργαλεία data and knowledge mining και δημιουργούνται περιγράμματα (profiles) της καταναλωτικής συμπεριφοράς του χρήστη. Σήμερα τα περιγράμματα καταναλωτικής συμπεριφοράς αποτελούν έναν από τους πιο σημαντικούς πόρους εσόδων για πολλές επιχειρήσεις που δραστηριοποιούνται στο Διαδίκτυο. Σύμφωνα μάλιστα, με έρευνα που πραγματοποιήθηκε το 2003, η προσβολή της ιδιωτικότητας είναι το μείζων θέμα που απασχολεί τους χρήστες του Διαδικτύου. Άλλα θέματα, μικρότερης όμως σημασίας είναι η ευκολία χρήσης, η αποστολή αυτόκλητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, η ασφάλεια και το οικονομικό κόστος [TEL-03]. Οι προαναφερθείσες απειλές κατά της ιδιωτικότητας, ενεργοποίησαν την επιστημονική κοινότητα, μη κερδοσκοπικούς οργανισμούς, κρατικούς αλλά και ιδιωτικούς φορείς προς την ανεύρεση διεξόδου. Μέσα από τις δραστηριότητες των φορέων αυτών δημιουργήθηκαν, ανάμεσα σε άλλα, οι Τεχνολογίες Προάσπισης Ιδιωτικότητας (Privacy Enhancing Technologies, PETs). Παρά το γεγονός ότι οι ΤΠΙ χρησιμοποιούν πολλές από τις τεχνικές των τεχνολογιών ασφάλειας, διαφέρουν από αυτές διότι οι τελευταίες ασχολούνται με την ασφάλεια και όχι με τον περιορισμό της συλλογής και επεξεργασίας των δεδομένων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 48

49 Η καταγραφή των απειλών κατά της ιδιωτικότητας είναι το πρώτο βήμα για την διασφάλιση της προστασίας των προσωπικών δεδομένων που διακινούνται στο Διαδίκτυο. Μια τέτοια λεπτομερής παρουσίαση των απειλών κατά της ιδιωτικότητας στο Διαδίκτυο επιχειρείται στην επόμενη παράγραφο. 2.6 Απειλές κατά της ιδιωτικότητας των πληροφοριών Η ανθρώπινη φύση είναι η κύρια πηγή απειλών κατά της ιδιωτικότητας. Όπως είδαμε στις προηγούμενες παραγράφους, κατά την διάρκεια της ιστορίας, σε εποχές που δεν υπήρχε το Διαδίκτυο, η ιδιωτικότητα προσβάλλονταν από τους ανθρώπους. Σήμερα η αύξηση στη χρήση της τεχνολογίας και η διάχυση της πληροφορίας απλώς όξυναν το ήδη υπάρχον πρόβλημα. Η στρωματοποιημένη αρχιτεκτονική του Διαδικτύου θα χρησιμοποιηθεί ως οδηγός για την κατηγοριοποίηση των απειλών κατά της ιδιωτικότητας. Η αρχιτεκτονική του Διαδικτύου μπορεί να χωρισθεί σε δύο τμήματα: το επικοινωνιακό τμήμα που αναφέρεται στα χαμηλότερα επίπεδα (επίπεδα 1-3 κατά το μοντέλο OSI) και το τμήμα εφαρμογής που αναφέρεται στα ανώτερα επίπεδα (επίπεδα 4-7 κατά το μοντέλο OSI) Απειλές στο επικοινωνιακό επίπεδο Λόγο της ανοικτής αρχιτεκτονικής του Διαδικτύου, έχουν συμπεριληφθεί στον σχεδιασμό των πρωτοκόλλων του, περισσότερο από άγνοια παρά σκόπιμα, χαρακτηριστικά τα οποία μπορούν να χρησιμοποιηθούν για την προσβολή της ιδιωτικότητας των επικοινωνιών. Τα χαρακτηριστικά αυτά είναι: 1. Η δρομολόγηση των πακέτων γίνεται από ειδικά κατασκευασμένο υλικό που ονομάζεται δρομολογητής. Κάθε δρομολογητής αποφασίζει για την προώθηση των πακέτων, που λαμβάνει, με βάση κάποιους αλγόριθμους εξοικονόμησης χρόνου μετάδοσης εισερχόμενου μηνύματος (αλγόριθμοι μικρότερου μονοπατιού). Βάση αυτών των αλγορίθμων, η βέλτιστη απόσταση μεταξύ δύο δρομολογητών, και επομένως η δρομολόγηση ενός πακέτου, αποφασίζεται δυναμικά με βάση στοιχεία του δικτύου όπως ο φόρτος των γραμμών, το εύρος ζώνης της γραμμής κ.λ.π. Ο χρήστης δεν μπορεί να αποφασίσει την δρομολόγηση του πακέτου. Αν το πακέτο διέλθει μέσα από δρομολογητές που είναι εγκατεστημένοι σε χώρες που δεν διαθέτουν νόμους περί προστασίας προσωπικών δεδομένων τότε τα προσωπικά του δεδομένα βρίσκονται σε κίνδυνο. 2. Οι πληροφορίες καταλόγου, υπεύθυνες για την μετατροπή των ΙΡ διευθύνσεων σε ονόματα, μπορούν να χρησιμοποιηθούν για την καταγραφή των ηλεκτρονικών διευθύνσεων ή διευθύνσεων δικτυακών τόπων που προσπαθεί να προσπελάσει ένας χρήστης. 3. Η εντολή ping, χρήσιμη για την διαχείριση δικτύων, μπορεί να χρησιμοποιηθεί για την ανίχνευση στοιχείων ενός απομακρυσμένου συστήματος. Η απάντηση μιας εντολή ping Οικονομικό Πανεπιστήμιο Αθηνών Σελ 49

50 γίνεται με διαφανή προς τον χρήστη τρόπο. Ως εκ τούτου ο χρήστης έχει άγνοια του γεγονότος ότι ο υπολογιστής του απαντά σε μια τέτοια εντολή. 4. Κάθε πακέτο που ταξιδεύει στο Διαδίκτυο οριοθετείται από μια επικεφαλίδα. Βασικό στοιχείο αυτής της επικεφαλίδας είναι οι διευθύνσεις προορισμού και αποστολής. Δυστυχώς η πιο διαδεδομένη έκδοση του πρωτοκόλλου Διαδικτύου (ΙΡv4), δεν επιτρέπει κρυπτογράφηση των διευθύνσεων αποστολής και προορισμού. Ένας ωτακουστής (βλέπε παρ ) μπορεί να παρακολουθήσει τις διευθύνσεις αυτές και να προβεί σε ανάλυση της κίνησης (traffic analysis), ακόμα και αν τα πραγματικά δεδομένα είναι κρυπτογραφημένα, μεταξύ δύο επικοινωνούντων μερών. Η κρυπτογράφηση των διευθύνσεων αποστολής και προορισμού είναι μια από τις σημαντικότερες αλλαγές που προωθούνται με την νέα έκδοση (IΡv6) του πρωτοκόλλου Διαδικτύου. Τα δεδομένα δρομολόγησης και οι επικεφαλίδες των πακέτων χρησιμοποιούνται με αποκλειστικό σκοπό την επιτυχή μετάδοση των δεδομένων ή την τιμολόγηση των χρηστών του Διαδικτύου. Δεδομένα τέτοιου είδους είναι γνωστά με τον όρο δεδομένα κίνησης (traffic data) (αρ /58/ΕΚ). Η διαχείριση των δεδομένων κίνησης σε ένα ηλεκτρονικό επικοινωνιακό δίκτυο, υπόκειται σε συγκεκριμένες διατάξεις της Ευρωπαϊκής νομοθεσίας (αρ. 6,7 2002/58/ΕΚ). Ο χρόνος τήρησής τους, η ενημέρωση των υποκειμένων και οι προϋποθέσεις επεξεργασίας τους είναι οι βασικοί άξονες των διατάξεων αυτών. Ο διαχωρισμός των δεδομένων κίνησης από τα περιεχόμενα ενός μηνύματος δεν είναι σαφής από νομικής άποψης [ΜΙΤ-03]. Είναι ασαφές, για παράδειγμα, αν οι επικεφαλίδες ενός μηνύματος των ανώτερων επιπέδων της αρχιτεκτονικής του Διαδικτύου (HTTP, SMTP, FTP κ.λ.π) ανήκει στα δεδομένα κίνησης ή όχι [WPW-00], [DPW-00], [SCH-99]. Επομένως, ο πάροχος υπηρεσιών Διαδικτύου δεν γνωρίζει ποιά δεδομένα μπορεί να διατηρήσει ή να διαβιβάσει σε τρίτους. Η ασάφεια αυτή αποτελεί νέα απειλή που σχετίζεται με την παραβίαση των νόμων από πλευράς των παρόχων υπηρεσιών Διαδικτύου Απειλές στο επίπεδο εφαρμογής Οι απειλές αυτές σχετίζονται με τα χαρακτηριστικά του πρωτοκόλλου HTTP και την υλοποίηση των ευρύτερα χρησιμοποιούμενων εφαρμογών του Διαδικτύου. Στις απειλές του πρωτοκόλλου HTTP περιλαμβάνονται: 1. Η διαρροή των φυλλομετρητών (browser chat) παγκόσμιου ιστού αναφέρεται στα πλεονάζοντα δεδομένα που ανταλλάσσουν ο φυλλομετρητής με τον εξυπηρέτη παγκόσμιου ιστού σε κάθε επικοινωνία τους. Παραδείγματα τέτοιων δεδομένων, ανάμεσα σε άλλα, περιλαμβάνουν την έκδοση του λειτουργικού συστήματος, τις βοηθητικές εφαρμογές και τη γλώσσα που χρησιμοποιεί ο φυλλομετρητής. Κατ' αυτόν τον τρόπο παραβιάζεται η αρχή της αναλογικότητας (proportionality, βλ ) [WPW-00]. 2. Οι αόρατοι υπερ-σύνδεσμοι βοηθούν τους χρήστες να μετακινούνται από μια ιστοσελίδα σε άλλη. Μια από τις δυνατότητες του πρωτοκόλλου HTTP είναι η ενσωμάτωση σε μια ιστοσελίδα εικόνων οι οποίες δεν είναι αποθηκευμένες στον διαδικτυακό τόπο που Οικονομικό Πανεπιστήμιο Αθηνών Σελ 50

51 επισκέπτεται ο χρήστης αλλά σε κάποιον άλλον απομακρυσμένο. Με τον τρόπο αυτό λειτουργούν τα περισσότερα διαφημιστικά σήματα (banners). Μια εταιρεία που θέλει να διαφημιστεί μέσω μιας δημοφιλούς ιστοσελίδας προσθέτει ένα διαφημιστικό σήμα στην ιστοσελίδα. Οι ιστοσελίδες αυτές ανήκουν, συνήθως, σε μηχανές αναζήτησης, γνωστές εταιρείες κ.λ.π. Στοιχεία του χρήστη που επισκέπτεται την ιστοσελίδα μεταφέρονται και στον διαδικτυακό τόπο της εταιρείας που έχει εγκαταστήσει το διαφημιστικό σήμα. Κατά συνέπεια ο χρήστης δεν λαμβάνει γνώση των δεδομένων που συλλέγονται. 3. Τα Cookies [GOL-97], [CRA-99] είναι δεδομένα που δημιουργούνται από εξυπηρέτες υπηρεσιών παγκόσμιου ιστού. Τα δεδομένα αυτά βρίσκονται σε αρχείο το οποίο αποθηκεύεται στον σκληρό δίσκο του χρήστη. Αντίγραφο του αρχείου αυτού αποθηκεύεται και στον εξυπηρέτη υπηρεσιών παγκόσμιου ιστού. Τα cookies χρησιμοποιούνται για την αυθεντικοποίηση ενός χρήστη του Διαδικτύου που επισκέπτεται ένα διαδικτυακό τόπο. Στην πράξη όμως, εξυπηρετούν τη δημιουργία περιγραμμάτων της διαδικτυακής συμπεριφοράς και των συνηθειών του χρήστη, παρακολουθώντας και καταγράφοντας τους διαδικτυακούς τόπους που επισκέπτεται. Επίσης μπορούν να χρησιμοποιηθούν και για διαφημιστικούς λόγους. Τέλος, χρησιμοποιούνται και για λόγους προσωποποίησης (personalization) των επιλογών που θα είναι διαθέσιμες στον χρήστη, την επόμενη φορά που θα επισκεφθεί ένα διαδικτυακό τόπο. Δεδομένου ότι, δεν ζητείται πουθενά η άδεια του χρήστη για τις ενέργειες αυτές, τα cookies αποτελούν παραβίαση της ιδιωτικότητας. Περισσότερες λεπτομέρειες σχετικά με τον προβληματισμό που έχει αναπτυχθεί γύρω από τα cookies δίνονται στην παράγραφο 4.1. Στo Σχήμα 3 απεικονίζεται το περιεχόμενο ενός αρχείου cookie. Με την χρήση των cookies, ακόμα και όταν υπάρχει συγκατάθεση για την εγκατάσταση του στον σκληρό δίσκο, ο χρήστης δεν ενημερώνεται για το είδος των δεδομένων που συλλέγονται. Σχήμα 3: Παράδειγμα αρχείου cookie 4. Η συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου χρησιμοποιείται για την αποστολή αυτόκλητων μηνυμάτων ηλεκτρονικού ταχυδρομείου (spamming). Η αποστολή αυτόκλητων μηνυμάτων απαγορεύεται από την Ευρωπαϊκή νομοθεσία αν δεν υπάρχει συγκατάθεση των παραληπτών (άρθρο 13 της 2002/58/ΕΚ). Η διεύθυνση ηλεκτρονικού ταχυδρομείου αποτελεί πολύτιμο δεδομένο το οποίο συμπεριλαμβάνεται σε στοιχεία που χρησιμοποιούνται για την καταχώρηση (registration) υλικού/λογισμικού, την εγγραφή σε ομάδες κοινών ενδιαφερόντων και την αυθεντικοποίηση χρήστη σε εφαρμογές ανώνυμου ftp. Τα τελευταία χρόνια ακμάζει η υπηρεσία αποστολής ηλεκτρονικών μηνυμάτων με χρήση διεπαφής παγκόσμιου ιστού (Webmail). Η υπηρεσία αυτή πρόσθεσε νέες απειλές κατά της ιδιωτικότητας διότι είναι ευπαθής στην χρήση υποκλοπέων παγκόσμιου ιστού (Web bugs). Οι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 51

52 υποκλοπείς (βλ ) είναι προγράμματα τα οποία χρησιμοποιούν ειδικές ετικέτες και cookies προσπαθώντας να παρακάμψουν την ανωνυμία του χρήστη. 5. Η αυθεντικοποίηση του χρήστη κατά την διάρκεια ηλεκτρονικών πληρωμών. Στον φυσικό κόσμο η τοις μετρητοίς πληρωμή για την απόκτηση αγαθών προσφέρει πλήρη ανωνυμία στον αγοραστή. Δεν συμβαίνει όμως το ίδιο με πολλές κατηγορίες ηλεκτρονικών πληρωμών. Σε τέτοιου είδους συστήματα, απαιτείται ισχυρή αυθεντικοποίηση του αγοραστή με αποτέλεσμα να δίνεται η δυνατότητα στον πωλητή να δημιουργεί περίγραμμα της καταναλωτικής συμπεριφοράς του. Εκτός από τις παραπάνω απειλές που σχετίζονται με την αρχιτεκτονική του Διαδικτύου, υπάρχουν και άλλες οι οποίες δεν εντάσσονται στις παραπάνω κατηγορίες. Αυτές είναι: η μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα υλοποιείται μέσω της πραγματοποίησης επιθέσεων data diddling ή spoofing (βλ και 2.3.2). η παραβίαση των όρων που αναφέρονται στην πολιτική προστασίας δεδομένων ενός διαδικτυακού τόπου αναφέρεται στην προσπάθεια του ιδιοκτήτη του, να ξεγελάσει τους χρήστες σχετικά με τα πρότυπα προάσπισης ιδιωτικότητας που εφαρμόζει. Παρά το γεγονός ότι ο διαδικτυακός τόπος εμφανίζεται ως μέλος ομάδας που προασπίζει την ιδιωτικότητα, στην πράξη δεν ακολουθεί τα πρότυπα προάσπισης ιδιωτικότητας που προβλέπονται από την ομάδα. η συνωμοσία (collusion) των εμπλεκόμενων σε μια επικοινωνία μερών. Υπάρχουν περιπτώσεις όπου για την επίτευξη μιας επικοινωνίας απαιτείται η εμπλοκή περισσότερων μερών εκτός του αποστολέα και του παραλήπτη. Όταν κάποια (περισσότερα από ένα) από αυτά τα μέρη αποφασίσουν να συνδυάσουν τα επί μέρους στοιχεία της επικοινωνίας που διαθέτουν τίθεται σε κίνδυνο η ιδιωτικότητα του αποστολέα. Όσα αναφέρθηκαν για τα δεδομένα κίνησης που αφορούν το επικοινωνιακό επίπεδο, ισχύουν και για τα δεδομένα κίνησης του επιπέδου εφαρμογής του Διαδικτύου. Η καταγραφή των δεδομένων κίνησης (traffic data) για χρονικό διάστημα μεγαλύτερο από αυτό που προβλέπουν οι νόμοι τιμωρείται από την Ευρωπαϊκή νομοθεσία (άρθρο 6 Οδηγία 2002/58/ΕΚ). Η ασάφεια που σχετίζεται με τον διαχωρισμό των δεδομένων κίνησης από τα πραγματικά δεδομένα ισχύει για όλα τα ανώτερα επίπεδα της στρωματοποιημένης αρχιτεκτονικής του Διαδικτύου. Η διεύθυνση αποστολέα και παραλήπτη, η ημερομηνία αποστολής, το θέμα του μηνύματος και το σύνολο των εξυπηρετών ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκαν για την αποστολή ενός μηνύματος, αποτελούν παραδείγματα δεδομένων κίνησης για την υπηρεσία ηλεκτρονικού ταχυδρομείου και για την υπηρεσία ηλεκτρονικού ταχυδρομείου. Οι επικεφαλίδες και τα δεδομένα πλοήγησης είναι παραδείγματα δεδομένων κίνησης του πρωτοκόλλου HTTP. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 52

53 Παρά το γεγονός ότι η παρακολούθηση και καταγραφή του περιεχομένου ηλεκτρονικών μηνυμάτων απαγορεύεται, άρθρο 5 Οδηγία 2002/58/ΕΚ, δεν ισχύει το ίδιο για τα δεδομένα κίνησης που χρησιμοποιούνται για λόγους ελέγχου του δικτύου και τιμολόγησης των χρηστών. Η παρακολούθηση και καταγραφή τέτοιων δεδομένων όμως μπορεί να οδηγήσει στην παραβίαση της ιδιωτικότητας των χρηστών και πραγματοποιείται με την χρήση υλικούλογισμικού υποκλοπής (sniffers). Η παρακολούθηση των επικεφαλίδων των μηνυμάτων που στέλνει ένας χρήστης μπορεί να οδηγήσει στην ανάλυση της κίνησης του χρήστη ενώ η συσχέτιση των δεδομένων πλοήγησης μπορεί να οδηγήσει στην δημιουργία καταναλωτικών περιγραμμάτων. Μπροστά σε μια τέτοια κατάσταση οι πάροχοι υπηρεσιών Διαδικτύου γίνονται πολύ επιφυλακτικοί σχετικά με το είδος των δεδομένων που μπορούν να διατηρούν και να διαβιβάζουν σε τρίτους, ακόμα και όταν μια τέτοια διαβίβαση επιβάλλεται από το νόμο Τρόποι συλλογής προσωπικών δεδομένων στο Διαδίκτυο Τα προσωπικά δεδομένα των χρηστών του Διαδικτύου συλλέγονται με πολλούς τρόπους και με την εξέλιξη της τεχνολογίας οι τρόποι αυτοί θα αυξηθούν. Η συλλογή των δεδομένων χωρίζεται σε τρεις κατηγορίες: 1. Παθητική συλλογή δεδομένων απευθείας συναλλαγών. Τα δεδομένα πλοήγησης, per se, δεν αποτελούν προσωπικά δεδομένα. Η συσχέτισή τους όμως με προσωπικά δεδομένα όπως η ΙΡ διεύθυνση ή η διεύθυνση ηλεκτρονικού ταχυδρομείου, οδηγεί στην καταγραφή των συνηθειών του χρήστη. 2. Συλλογή προσωπικών δεδομένων χωρίς την συγκατάθεση του χρήστη. Πολλοί φυλλομετρητές είναι ρυθμισμένοι ώστε να συλλέγουν προσωπικά δεδομένα του χρήστη και να τα αποστέλλουν σε συγκεκριμένους δικτυακούς τόπους. Η δραστηριότητα αυτή γίνεται χωρίς την συγκατάθεση του χρήστη. 3. Ενεργητική συλλογή προσωπικών ή δεδομένων απευθείας συναλλαγών. Η δραστηριότητα αυτή επιτυγχάνεται με τα εξής τεχνικά μέσα: λογαριασμός χρήστη. Μερικοί διαδικτυακοί τόποι επιτρέπουν στους χρήστες την απευθείας δημιουργία λογαριασμών. Κατά την φάση της δημιουργίας τους, ζητείται η παροχή προσωπικών δεδομένων όπως τηλέφωνο, ταχυδρομική διεύθυνση και διεύθυνση ηλεκτρονικού ταχυδρομείου. απευθείας (on line) φόρμες. Αποτελεί τον δημοφιλέστερο τρόπο συλλογής προσωπικών δεδομένων. Η εγγραφή σε ομάδες και η καταχώρηση ή απόκτηση λογισμικού είναι οι πιο συχνά χρησιμοποιούμενες υπηρεσίες που απαιτούν την συμπλήρωση φορμών. τα cookies μπορούν να χωρισθούν σε δύο κατηγορίες: (α) τα συνεχή είναι αυτά που παραμένουν στο σκληρό δίσκο του χρήστη και μετά την παύση της σύνδεσης με τον Οικονομικό Πανεπιστήμιο Αθηνών Σελ 53

54 διαδικτυακό τόπο που εγκατέστησε το cookie και (β) τα cookies συνόδου είναι αυτά που διαγράφονται από το σκληρό δίσκο του χρήστη μετά την παύση της σύνδεσης με τον διαδικτυακό τόπο που εγκατέστησε το cookie οι υποκλοπείς παγκόσμιου ιστού (web bugs) είναι μικρές εικόνες (συνήθως 1 pixel), που χρησιμοποιούνται για την ανίχνευση και καταγραφή του χρήστη προς όφελος του διαδικτυακού τόπου στον οποίο ανήκει ο υποκλοπέας. Συνήθως χρησιμοποιούνται για την μέτρηση της κίνησης σε ένα διαδικτυακό τόπο. οι φυλλομετρητές που έχουν ενσωματωμένες υπηρεσίες ηλεκτρονικού ταχυδρομείου μπορούν να διαβιβάσουν στοιχεία της ηλεκτρονικής αλληλογραφίας του χρήστη κατόπιν σχετικής αίτησης από ένα διαδικτυακό τόπο. 2.7 Τεχνολογίες Προάσπισης Ιδιωτικότητας: Ανασκόπηση Οι ΤΠΙ αποτελούν ένα σημαντικό εργαλείο στην προώθηση της προστασίας προσωπικών δεδομένων. Η χρησιμότητα, η λειτουργικότητα, η τεχνική δομή και οι δυνατότητες τους ποικίλλουν. Παραταύτα, όλες έχουν σαν στόχο να βοηθήσουν τους χρήστες στον έλεγχο των προσωπικών τους δεδομένων. Πολλές φορές έχουν δεχθεί κριτική σχετικά με την δυσκολία χρήσης τους. Ο μεγαλύτερος όμως περιορισμός στην χρήση των ΤΠΙ είναι η έλλειψη ενημέρωσης των χρηστών και για αυτό το λόγο πολλές από αυτές είτε εγκαταλείφθηκαν είτε αναθεωρήθηκαν. Για την ανάπτυξη τους χρειάζεται η γνώση και η ενημέρωση των χρηστών σχετικά με τους περιορισμούς και τις δυνατότητές τους. Όταν οι χρήστες επιλέξουν να χρησιμοποιούν κάποια συγκεκριμένη τεχνολογία πρέπει να την χρησιμοποιούν συνέχεια και με συνέπεια. Τέλος, κάθε χρήστης πρέπει να επιλέγει τεχνολογίες που είναι κατασκευασμένες για να καλύψουν τις δικές του ανάγκες σχετικά με την συλλογή και επεξεργασία των προσωπικών του δεδομένων στο Διαδίκτυο. Στις σελίδες που ακολουθούν καταγράφονται όλες οι σύγχρονες ΤΠΙ, δίνοντας έμφαση στην κάλυψη όλου του φάσματος των διαθέσιμων τεχνολογιών. Η περιγραφή όμως κάθε τεχνολογίας είναι αρκετά συνεκτική και επικεντρώνει στις ανάγκες προστασίας δεδομένων που καλύπτει. Για τον απαιτητικό αναγνώστη παρατίθενται βιβλιογραφικές ή διαδικτυακές αναφορές προς αναζήτηση περισσότερων τεχνικών λεπτομερειών. Τέλος, μετά την ανασκόπηση γίνεται και ταξινόμηση τους με βάση διάφορα κριτήρια. Τα κριτήρια έχουν προκύψει από έγκυρες μελέτες [OEC-99], [OEC-02] και σκοπό έχουν την καλύτερη κατανόηση των συγκεκριμένων τεχνολογιών. Κρυπτογραφία Στην παράγραφο 2.4 δόθηκαν λεπτομέρειες σχετικά με την κρυπτογραφία. Ψηφιακές υπογραφές Οικονομικό Πανεπιστήμιο Αθηνών Σελ 54

55 Στην παράγραφο 2.4 δόθηκαν λεπτομέρειες σχετικά με τις ψηφιακές υπογραφές. Ειδική μνεία, σε αυτό το σημείο, γίνεται για τις τυφλές ψηφιακές υπογραφές ως κατ' εξοχήν μηχανισμού προστασίας της ανωνυμίας του αποστολέα ενός ηλεκτρονικού μηνύματος. Τυφλές ψηφιακές υπογραφές (Blind Digital Signatures) Οι τυφλές ψηφιακές υπογραφές είναι το ψηφιακό ανάλογο μιας χειρόγραφης υπογραφής που πιστοποιεί την γνησιότητα ενός εγγράφου χωρίς να γνωρίζει το περιεχόμενό του [CHA-90]. Για παράδειγμα, κάποιος προσκομίζει ένα, σφραγισμένο σε φάκελο, έγγραφο σε έναν συμβολαιογράφο, διότι δεν επιθυμεί ούτε ο συμβολαιογράφος να γνωρίζει το περιεχόμενο του εγγράφου. Ο φάκελος σφραγίζεται ή υπογράφεται από τον συμβολαιογράφο, χωρίς αυτός να γνωρίζει το περιεχόμενό του εγγράφου που περιέχεται, το οποίο μπορεί να είναι υπογεγραμμένο από το ίδιο τον αποστολέα ή και από κάποιον άλλο. Με τον τρόπο αυτό βεβαιώνεται η αυθεντικότητα του φακέλου και η μη τροποποίηση του περιεχομένου του, αλλά δεν τίθεται θέμα αποδοχής του περιεχομένου εφόσον αυτό είναι άγνωστο. Ο αποδέκτης έχει επιβεβαιώσει την αυθεντικότητα του εγγράφου, χωρίς να γνωρίζει τον αποστολέα του φακέλου. Μπορεί μόνο να αναγνωρίσει τον υπογράφοντα στο εσώκλειστο έγγραφο, εάν αυτό είναι υπογεγραμμένο, χωρίς να γνωρίζει ποιος προσκόμισε το έγγραφο στον συμβολαιογράφο. Ένας ψηφιακός τέτοιος φάκελος θα μπορούσε να είναι ένα ανώνυμο μήνυμα ηλεκτρονικού ταχυδρομείου υπογεγραμμένο «τυφλά», το οποίο θα μπορούσε να έχει συνημμένα ψηφιακά υπογεγραμμένα έγγραφα. Ο αποδέκτης έχει την επιβεβαίωση ότι το μήνυμα που έλαβε είναι αυθεντικό και δεν τροποποιήθηκε, χωρίς να μπορεί να αποκαλύψει τον αποστολέα του. Η λειτουργία ενός σχήματος τυφλής ψηφιακής υπογραφής δίνεται στο Σχήμα 4. Σχήμα 4: Λειτουργία τυφλών ψηφιακών υπογραφών Ο αποστολέας του μηνύματος χρησιμοποιεί την διαδικασία «τύφλωσης» (blinding process) ώστε να μην είναι δυνατή η ανάγνωση του περιεχομένου του μηνύματος από τον παραλήπτη. Στην συνέχεια δημιουργεί τον ψηφιακό φάκελο και τον στέλνει στον παραλήπτη να τον υπογράψει. Ο παραλήπτης υπογράφει το φάκελο χωρίς να διαβάσει τα περιεχόμενά του και στέλνει τον υπογεγραμμένο φάκελο, πίσω, στον αποστολέα του μηνύματος. Ο τελευταίος απομακρύνει το φάκελο και ανακτά το υπογεγραμμένο, πλέον, μήνυμα. Διαχείριση Cookies Οικονομικό Πανεπιστήμιο Αθηνών Σελ 55

56 Με τον όρο Διαχείριση Cookies (Cookies Management) εννοούμε το σύνολο των ενεργειών που έχουν σαν σκοπό την απαγόρευση της ανεξέλεγκτης δράσης των cookies, μέσω του ελέγχου προέλευσής τους, της αποθήκευσης και διαγραφής τους και της δυνατότητας άρνησης αποδοχής cookies, είτε επιλεκτικά, από ορισμένους αποστολείς, είτε καθολικά. Η καθολική απαγόρευση των cookies είναι, σύμφωνα με τις πρακτικές των ιδιοκτητών διαδικτυακών τόπων, πρακτικά ανέφικτη, διότι η μη αποδοχή τους, πολλές φορές, σημαίνει και απαγόρευση πρόσβασης στο συγκεκριμένο δικτυακό τόπο. Τα ευρέως διαδεδομένα σήμερα προγράμματα διαδικτυακής πλοήγησης, όπως ο Internet Explorer και ο Netscape Navigator, παρέχουν κάποιες δυνατότητες διαχείρισης των cookies. Επιπλέον υπάρχουν διαθέσιμα προϊόντα λογισμικού, γνωστά ως cookie busters, τα οποία παρέχουν όλες τις παραπάνω λειτουργίες [MAY-97]. Open Profiling Standard (OPS) Το Open Profiling Standard (OPS) [NET-97] προτάθηκε από τις εταιρείες Microsoft, Netscape και Firefly. Δημιουργήθηκε για να παρέχει στους σχεδιαστές διαδικτυακών τόπων μία ομοιόμορφη αρχιτεκτονική με τα εξής βασικά χαρακτηριστικά: α) αύξηση της αποδοτικότητας της πληροφορίας περιγράμματος, β) προσαρμοσμένο περιεχόμενο και γ) προάσπιση ιδιωτικότητας. Έχει διπλό σκοπό: να επιτρέψει στους ιδιοκτήτες διαδικτυακών τόπων την εξατομίκευση των σελίδων τους στις ανάγκες των χρηστών και να επιτρέψει στους χρήστες τον έλεγχο των προσωπικών πληροφοριών που μοιράζονται με τους ιδιοκτήτες διαδικτυακών τόπων. Ο τρόπος λειτουργίας του, στηρίζεται στην ελεγχόμενη από τον χρήστη δημιουργία περιγραμμάτων συμπεριφοράς. Τα περιγράμματα που δημιουργούνται αποθηκεύονται στους διαδικτυακούς τόπους επίσκεψης. Το προσωπικό περίγραμμα, το οποίο στην ουσία είναι ένα cookie διαμορφωμένο από τον χρήστη, περιλαμβάνει μεταξύ άλλων προσωπικές πληροφορίες του χρήστη (όνομα, διεύθυνση, κ.λ.π), πληροφορίες σύνδεσης και προτιμήσεις. Το OPS συμπληρώνεται από το πρωτόκολλο P3P (βλέπε παρακάτω), το οποίο προσθέτει επιπλέον αυτοματισμό στην όλη διαδικασία, και ενημερώνει τον χρήστη για την περαιτέρω χρήση των δεδομένων που θα διαθέσει. Ολική Διαγραφή Αρχείων (Disk/file erasers) Κατά την διαγραφή ενός αρχείου, το λειτουργικό σύστημα ενεργοποιεί μια σειρά από λειτουργίες με σκοπό την απελευθέρωση της μνήμης που καταλαμβάνει το αρχείο. Δεδομένου ότι οι λειτουργίες διαγραφής ενός αρχείου είναι χρονοβόρες, τα στοιχεία του δεν διαγράφονται πραγματικά παρά μόνο όταν εγγραφούν νέα δεδομένα. Στο μεσοδιάστημα όμως, παρέχεται η δυνατότητα σε έναν επιτιθέμενο, με τις κατάλληλες γνώσεις και τον κατάλληλο εξοπλισμό, να αποκτήσει πρόσβαση στα δεδομένα του διαγραμμένου αρχείου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 56

57 Για τον λόγο αυτό έχουν αναπτυχθεί τεχνολογίες που διαγράφουν πλήρως τα δεδομένα ενός αρχείου από το μαγνητικό μέσο, αποτρέποντας την παραπάνω απειλή. Οι τεχνολογίες αυτές είναι γνωστές ως «Ολικοί Διαγραφείς Αρχείων» ( File Erasers ή Disk Erasers ). Οι Ολικοί Διαγραφείς Αρχείων χρησιμοποιούν διάφορες τεχνικές [GOO-96]. Αυτές που απαντώνται συχνότερα είναι: 1. Μορφοποίηση (Formatting) του μαγνητικού μέσου: είναι συνηθισμένη τεχνική, η οποία παρέχεται συνήθως και από το λειτουργικό σύστημα. Δεν μπορεί να εφαρμοσθεί επιλεκτικά σε αρχεία, παρά μόνο σε ολόκληρη την επιφάνεια του μαγνητικού μέσου. Επαναφέρει την επιφάνεια αποθήκευσης στην αρχική της κατάσταση συμβατότητας με το λειτουργικό σύστημα. 2. Magnetic force microscopy (MFM) και Magnetic force scanning tunneling microscopy (STM): είναι τεχνικές που επιτυγχάνουν την ολική διαγραφή μεμονωμένων αρχείων. Η ιδέα στην οποία βασίζονται είναι η αλλαγή της πολικότητας της μαγνητικής επιφάνειας που καταλαμβάνει το αρχείο, χρησιμοποιώντας πολύ προσεκτικά επιλεγμένα δείγματα από όλο τον σκληρό δίσκο. Φίλτρα Τα Φίλτρα (Filters), γνωστά και ως «φίλτρα περιεχομένου» (content filters), ή «λογισμικό αναχαίτισης» (blocking software), είναι προϊόντα λογισμικού που αναχαιτίζουν την μετάδοση δεδομένων στο Διαδίκτυο [CHE-96]. Τα φίλτρα περιεχομένου αποτελούν μία από τις πολλές κατηγορίες εργαλείων που ο χρήστης έχει στη διάθεσή του για τη διαχείριση των προσωπικών πληροφοριών που μεταδίδει στο Διαδίκτυο, ή το τοπικό εσωτερικό δίκτυο. Υπάρχουν πολλά διαθέσιμα φίλτρα περιεχομένου [EPI-02]. Μέσω αυτών ο χρήστης, μπορεί να καθορίζει παραμέτρους όπως, HTML επικεφαλίδες που δεν επιθυμεί να δέχεται, συνδέσεις που απαγορεύονται στο σύστημά του, κατηγορίες δεδομένων που δεν είναι ευπρόσδεκτες, αναχαίτιση διαφημιστικών applets κ.α. Αναχώματα και αντιπρόσωποι Στην παράγραφο 2.4 δόθηκαν λεπτομέρειες σχετικά με τα αναχώματα και τους αντιπρόσωπους. Ψηφιακές ετικέτες Οι ψηφιακές ετικέτες αποτελούν έναν εναλλακτικό τρόπο απευθείας ενημέρωσης των χρηστών σχετικά με την πολιτική προστασίας δεδομένων που ακολουθεί ένας διαδικτυακός τόπος. Η βασική ιδέα πίσω από τις ψηφιακές ετικέτες είναι η χρήση ενός κοινά αποδεκτού λεξιλογίου για την απευθείας περιγραφή των πολιτικών προστασίας προσωπικών δεδομένων. Το λεξιλόγιο αυτό δημιουργείται από κάποια κοινότητα χρηστών ή έναν κοινής αποδοχής οργανισμό. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 57

58 Platform for Privacy Preferences (P3P) Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Το P3P είναι ένα πρωτόκολλο που σχεδιάσθηκε από το W3C με σκοπό να βοηθήσει, από την μια, τους ιδιοκτήτες διαδικτυακών τόπων να παρουσιάσουν τις πολιτικές προστασίας προσωπικών δεδομένων που ακολουθούν και, από την άλλη, τους χρήστες να επιλέγουν ποιας διαχείρισης θέλουν να τύχουν τα προσωπικά τους δεδομένα που διοχετεύονται στο Διαδίκτυο [W3C-00]. Η έκδοση 1.0 είναι ήδη πρότυπο και έχει ενσωματωθεί στο HTTP. Το P3P έρχεται να συμπληρώσει το πρότυπο OPS (βλ. παραπάνω), παρέχοντας αυτοματοποίηση της αποδοχής μιας πολιτικής προστασίας προσωπικών δεδομένων μέσω του προγράμματος πλοήγησης που χρησιμοποιεί ο χρήστης (βλ 2.1.6). Η επικοινωνία με χρήση του P3P έχει δύο στάδια: (α) στο στάδιο των διαπραγματεύσεων (negotiation) η δομή δεδομένων που περιέχει την πολιτική προστασίας δεδομένων, αποστέλλεται στον χρήστη και αυτός αποφασίζει εάν την αποδέχεται ή όχι. Εάν τελικά την αποδεχθεί, μία επίσης τυποποιημένη δομή δεδομένων που περιλαμβάνει τα ζητούμενα δεδομένα, αποστέλλεται από τον χρήστη στον εξυπηρέτη του διαδικτυακού τόπου και (β) στο στάδιο της συναλλαγής, εφόσον έχει προηγηθεί αποδοχή, ο χρήστης αποκτά πρόσβαση στις υπηρεσίες του εξυπηρέτη και εκτελεί συναλλαγές μαζί του. Το P3P έχει αναπτυχθεί για να αυτοματοποιήσει την διαδικασία πληροφόρησης του χρήστη σχετικά με την πολιτική προστασίας δεδομένων που ακολουθεί ένας διαδικτυακός τόπος, παρέχοντάς του άμεση σύγκριση με τις δικές του επιλογές διάθεσης των προσωπικών του στοιχείων. Ο χρήστης πληροφορείται, με αυτοματοποιημένο τρόπο, σχετικά με τα προσωπικά δεδομένα που θα συλλεχθούν κατά την είσοδό του σε ένα διαδικτυακό τόπο και επιλέγει να συναινέσει ή να αρνηθεί στην παραχώρησή τους. Για την ανάπτυξη εφαρμογών, που βασίζονται στο P3P, έχει δημιουργηθεί η γλώσσα APPEL (η έκδοση 1.0 της APPEL είναι επίσης πρότυπο του W3C), προκειμένου να περιγραφούν με τυποποιημένο τρόπο: (α) οι δομές δεδομένων που ανταλλάσσονται μεταξύ του εξυπηρέτη παγκόσμιου ιστού και του φυλλομετρητή του πελάτη, (β) τα δεδομένα που απαιτεί το σύστημα και (γ) η επιβεβαίωση αποδοχής από τον χρήστη. Το P3P έχει δεχθεί αρκετή κριτική. Δεν παρέχει καμία δυνατότητα εφαρμογής τεχνικών ιδιωτικότητας (κρυπτογραφία, ψευδωνυμία, ανωνυμία κλπ). Εάν ο χρήστης θέλει να κάνει χρήση ψευδωνύμου, τότε η όλη διαδικασία διαπραγμάτευσης πρέπει να γίνει με το ψευδώνυμό του και όχι με τα πραγματικά του στοιχεία. Επιπλέον, δεν παρέχει καμία διαβεβαίωση εάν το ΠΣ πράγματι είναι ειλικρινές σχετικά με την χρήση των στοιχείων του χρήστη και δεν εξασφαλίζει ότι αυτά δεν θα χρησιμοποιηθούν με διαφορετικό τρόπο από αυτόν που δηλώνεται. Παρόλο που το P3P παρέχει υπηρεσίες αυτοματισμού της αποδοχής ή απόρριψης μιας πολιτικής προστασίας προσωπικών δεδομένων, οι περισσότεροι διαδικτυακοί τόποι που το εφαρμόζουν, αρκούνται στο να συμπεριλαμβάνουν στην σελίδα τους μια δήλωση (P3P statement), η οποία απλώς πληροφορεί τους υποψήφιους χρήστες περί του είδους των Οικονομικό Πανεπιστήμιο Αθηνών Σελ 58

59 προσωπικών στοιχείων που πρόκειται να συλλεχθούν, καθώς και για την περαιτέρω χρήση αυτών των στοιχείων από τον ιδιοκτήτη του διαδικτυακού τόπου. Τέλος, πολλοί υποστηρίζουν ότι το Ρ3Ρ έχει σχεδιασθεί περισσότερο για να εξυπηρετήσει την διακίνηση προσωπικών δεδομένων μεταξύ των εταιρειών παρά τον περιορισμό της αποκάλυψής τους [EPI-00]. Ψηφιακές σφραγίδες Η συνηθισμένη πρακτική πολλών διαδικτυακών τόπων είναι η συμμετοχή τους σε ένα πρόγραμμα ψηφιακής σφραγίδας με σκοπό να εμπνέουν στους χρήστες τους εμπιστοσύνη για τον τρόπο που διαχειρίζονται τα προσωπικά τους δεδομένα. Τα προγράμματα αυτά τα διαχειρίζονται οργανισμοί με εμπειρία στο χώρο της προστασίας ιδιωτικότητας οι οποίοι υιοθετούν κάποια πρότυπα προστασίας. Οι οργανισμοί που θέλουν να συμμετέχουν στο πρόγραμμα δεσμεύονται ότι θα ακολουθούν τα πρότυπα προστασίας ιδιωτικότητας. Μερικά από αυτά τα προγράμματα παρέχουν και υπηρεσίες παρακολούθησης και ελέγχου συμβατότητας των οργανισμών-μελών τους με τα υιοθετημένα πρότυπα. Επίσης παρέχουν συμβουλές που σχετίζονται με την ιδιωτικότητα, μηχανισμούς επίλυσης διαφορών σε περιπτώσεις διενέξεων και επιβάλλουν κυρώσεις στους παραβάτες οργανισμούς-μέλη. Τα γνωστότερα προγράμματα ψηφιακών σφραγίδων (μεταξύ άλλων TRUSTe, BBBOnline, WebTrust, DMA) λειτουργούν στις ΗΠΑ σε περιβάλλον που καθορίζεται από το καθεστώς της αυτορρύθμισης. Σύμφωνα με έκθεση που πραγματοποίησε η εταιρεία Forrester στα 1999 [FOR-99], οι εταιρείες που διαχειρίζονται αυτά τα προγράμματα είναι εξαρτημένες από τις εταιρείες-συνδρομητές τους και γι αυτό καταλήγουν να γίνονται περισσότερο συνήγοροι των επιχειρήσεων παρά προστάτες της ιδιωτικότητας των καταναλωτών-χρηστών. Μηχανική Γνώσης Προστασίας Δεδομένων Η Μηχανική Γνώσης Προστασίας Δεδομένων (Privacy Knowledge Engineering, PYKE) είναι ένας νέος κλάδος τεχνολογιών προάσπισης ιδιωτικότητας που προτάθηκε από τους Kenny και Borking το 2002 [KEN-02]. Ο στόχος της γνωστικής αυτής περιοχής είναι η μετατροπή των νόμων σε κώδικα που είναι κατανοητός από υπολογιστικές μηχανές. Οι εμπνευστές της δημιούργησαν μια μεθοδολογία, γνωστή με τον όρο Σχεδιασμός Ενσωματωμένης Διαχείρισης Κινδύνων κατά της Προστασίας Δεδομένων (Design Embedded Privacy Risk Management, DEPRM), με σκοπό την ενσωμάτωση των αρχών της 95/46/ΕΚ σε προγράμματα λογισμικού [KEN-02]. Τα αποτελέσματα αυτής της μεθοδολογίας δεν έχουν οδηγήσει, προς το παρόν, στην παραγωγή κάποιου εμπορικού προϊόντος. Ανώνυμοι επανα-ταχυδρομητές Η υπηρεσία του ανώνυμου ηλεκτρονικού ταχυδρομείου βασίζεται στην ιδέα επαναδιαβίβασης ενός μηνύματος προς τον τελικό του αποδέκτη, με προηγούμενη τροποποίηση ή και απαλοιφή των στοιχείων του αποστολέα, έτσι ώστε να επιτυγχάνεται η ανωνυμία του τελευταίου [GOL-97]. Τα προγράμματα που υλοποιούν την παραπάνω υπηρεσία ονομάζονται ανώνυμοι επανα-ταχυδρομητές (anonymous r ers). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 59

60 Ένας ανώνυμος επανα-ταχυδρομητής μπορεί να συνδυάσει τις τεχνικές της τροποποίησης ή απαλοιφής της επικεφαλίδας και την διαδικασία επανα-διαβίβασης, με αυτοματοποιημένο τρόπο, μέσω κατάλληλου λογισμικού. Υπάρχουν τρεις τύποι επαναταχυδρομητών [BLE-98]: (α) anon.penet.fi (type 0 ), (β) cypherpunk-style (type I) και (γ) mixmaster (type II). Η κατηγοριοποίησή τους γίνεται με βάση την ασφάλεια που παρέχουν και την χρονολογική σειρά κατά την οποία εμφανίστηκαν οι τεχνικές που εφαρμόζονται. Οι τεχνικές που χρησιμοποιούν ποικίλλουν από την απογύμνωση των επικεφαλίδων των εξερχόμενων μηνυμάτων, την αλυσιδωτή (chaining) προώθηση ενός μηνύματος μέσω διαφορετικών ανώνυμων επανα-ταχυδρομητών και την χρήση κρυπτογραφίας. Ο τρίτος τύπος επαναταχυδρομητή είναι ο πιο σύγχρονος και θεωρείται ο πιο ασφαλής. Re-webbers Η τεχνολογία αυτή βασίζεται στην τεχνική των φωλιασμένων ενδεικτών (nested locators) και υποστηρίζεται από ένα δίκτυο κατάλληλα διαρθρωμένων εξυπηρετών υπηρεσιών παγκόσμιου ιστού (re-webbers). Οι εξυπηρέτες έχουν την ικανότητα να μεταφράζουν και να δρομολογούν φωλιασμένους ενοποιημένους ενδείκτες πόρων (Unified Resource Locators, URLs). Ο χρήστης δεν συνδέεται απ ευθείας με τον διαδικτυακό τόπο που επιθυμεί αλλά με κάποιον από τους εξυπηρέτες του δικτύου. Ο εξυπηρέτης με τον οποίο συνδέθηκε ο χρήστης αναλαμβάνει το φώλιασμα και δρομολόγηση της αίτησης σύνδεσης του χρήστη προς τον πραγματικό διαδικτυακό τόπο. Στην εικόνα 2 απεικονίζεται η λειτουργία των φωλιασμένων ενδεικτών. Τελικό αποτέλεσμα της παραπάνω διαδικασίας είναι η δημοσίευση στο Διαδίκτυο ενός ενδείκτη, ο οποίος δείχνει στην διεύθυνση του επιθυμητού διαδικτυακού τόπου, χωρίς να φαίνεται ποια είναι αυτή. Για την αύξηση της ασφάλειας του δικτύου γίνεται και κρυπτογράφηση των ενδεικτών [GOL-97]. Υπάρχουν αρκετά δίκτυα που χρησιμοποιούν την τεχνολογία των re-webbers. Τα πιο διαδεδομένα από αυτά είναι το δίκτυο των εξυπηρετών TAZ και το Crowds ([GOL-98], [REI-98]). Δίκτυα Ιδιωτικότητας Σχήμα 5 Λειτουργία Rewebber Η λειτουργία των δικτύων προστασίας μοιάζει με αυτή του ανώνυμου ηλεκτρονικού ταχυδρομείου, των αντιπροσώπων και των φωλιασμένων ενδεικτών. Σκοπός τους είναι η απόκρυψη της πραγματικής ταυτότητας του χρήστη. Στην προσπάθεια τους αυτή, τα δίκτυα προστασίας ιδιωτικότητας προσφέρουν επιπρόσθετες υπηρεσίες που τα διαφοροποιούν από τις προαναφερθείσες τεχνολογίες. Τυπικά, προσφέρουν στους χρήστες τους περισσότερες Οικονομικό Πανεπιστήμιο Αθηνών Σελ 60

61 επιλογές σχετικά με τον έλεγχο και διαχείριση των προσωπικών τους δεδομένων. Για παράδειγμα, τα cookies που προορίζονται για έναν συγκεκριμένο χρήστη αποθηκεύονται σε κόμβους του δικτύου και όχι στον υπολογιστή του χρήστη. Για την παροχή αυτών των υπηρεσιών οι ιδιοκτήτες των δικτύων προστασίας ιδιωτικότητας συνεργάζονται με παρόχους υπηρεσιών Διαδικτύου, οργανισμούς προστασίας ιδιωτικότητας και άλλους σχετικούς φορείς. Παράλληλα, σε μερικά από αυτά, γίνεται χρήση ειδικά εξοπλισμένου υλικού και λογισμικού με σκοπό την υλοποίηση των πολύπλοκων αλγορίθμων που υλοποιούν για να προσφέρουν προστασία των δεδομένων του τελικού χρήστη. Μερικά από τα πιο διαδεδομένα δίκτυα προστασίας ιδιωτικότητας είναι το Mix-nets και η υπηρεσία Passport της εταιρείας Microsoft ([FIS-01]). Το EPIC (Electronic Privacy Information Center) έχει ασκήσει έντονη κριτική για την ποιότητα της προστασίας ιδιωτικότητας που παρέχει το τελευταίο. Παράλληλα ισχυρίζεται ότι χρησιμοποιείται από την Microsoft για την δημιουργία καταναλωτικών περιγραμμάτων σε παγκόσμια κλίμακα ([EPI-01a], [EPI-01b]). Onion Routing Πρόκειται για μια τεχνική μεταγωγής πακέτων σε ένα δημόσιο δίκτυο η οποία βασίζεται στην ίδια λογική με αυτή της τεχνολογίας των re-webbers. Η διαφορά της οφείλεται στο γεγονός ότι το onion routing δρα στο επίπεδο δικτύου ενώ η τεχνολογία των re-webbers δρα στο επίπεδο εφαρμογής της στρωματοποιημένης αρχιτεκτονικής του Διαδικτύου. Το onion routing [SYV-00], είναι μια ευέλικτη επικοινωνιακή υποδομή, που παρέχει ανεξάρτητη, πραγματικού χρόνου και ανώνυμη αμφίδρομη σύνδεση, η οποία μπορεί να αντέξει σε επιθέσεις από ωτακουστές και ανάλυση κυκλοφορίας (βλ , 2.6.1). Αντί να παρέχεται πληροφορία πηγής και προορισμού, τα πακέτα κινούνται μέσα σε μια ανώνυμη σύνδεση περιέχοντας πληροφορία μόνο για το προηγούμενο και επόμενο βήμα (hop). Το δίκτυο αποτελείται από ένα σύνολο από onion δρομολογητές. Κάθε ένας έχει μια μόνο σύνδεση με κάθε γειτονικό του onion router και μιλά μόνο με τους γειτονικούς του. Σαν αποτέλεσμα η ανώνυμη σύνδεση είναι μια σειρά από γειτονικούς onion δρομολογητές. Τα δεδομένα «ταξιδεύουν» στο δίκτυο υπό την μορφή onion («κρεμμύδι»). Η ονομασία αυτή έχει προκύψει διότι κάθε onion δρομολογητής που στέλνει ένα πακέτο, το κρυπτογραφεί χρησιμοποιώντας το δημόσιο κλειδί του επομένου δρομολογητή. Με αυτό τον τρόπο, σε κάθε onion δρομολογητή από τον οποίο περνά το πακέτο, προστίθεται ένας επίπεδο κρυπτογράφησης, με αποτέλεσμα το μήνυμα που ταξιδεύει στο δίκτυο να είναι ένα ψηφιακό ανάλογο ενός κρεμμυδιού (onion). Η κρυπτογράφηση γίνεται με κρυπτογραφία δημοσίου κλειδιού. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 61

62 Σχήμα 6: Onion Ψηφιακά πιστοποιητικά Τα ψηφιακά πιστοποιητικά είναι τεκμήρια τα οποία εκδίδονται από Έμπιστες Τρίτες Οντότητες (ΕΤΟ). Έχουν την μορφή δυαδικών αρχείων και η λειτουργία τους στηρίζεται στην κρυπτογραφία δημοσίου κλειδιού. Μπορούν να χρησιμοποιηθούν για τον περιορισμό της αποκάλυψης της ταυτότητας του χρήστη ενσωματώνοντας ψευδώνυμα αντί της πραγματικής ταυτότητάς του. Μερικά από τα προβλήματα της χρήσης ψηφιακών πιστοποιητικών, αναφορικά με την προστασία προσωπικών δεδομένων, σχετίζονται με την αλλαγή στοιχείων του πιστοποιητικού σε διάφορα χρονικά διαστήματα και τη διατήρηση μεγάλου όγκου προσωπικών δεδομένων από τις ΕΤΟ. Δικτυοενδιάμεσοι Ο όρος δικτυοενδιάμεσος (infomediary) προέρχεται από τη σύνθεση των λέξεων πληροφορία (information) και ενδιάμεσος (intermediary). Δικτυοενδιάμεσος είναι μια επιχείρηση που διαχειρίζεται δεδομένα πελατών για όφελος του πελάτη. Ο πελάτης επιτρέπει στον δικτυοενδιάμεσο να συλλέγει πληροφορίες που σχετίζονται με τις διαδικτυακές δραστηριότητες και προτιμήσεις του, με αντάλλαγμα την γρήγορη αναζήτηση του Διαδικτύου για χρήσιμες διαφημίσεις [HAG-97]. Οι δικτυοενδιάμεσοι λειτουργούν σε συνδρομητική βάση, συλλέγουν προσωπικές πληροφορίες και τις διαπραγματεύονται με τις εταιρείες. Ο πελάτης διατηρεί τον έλεγχο της πληροφορίας και μπορεί να απαγορεύσει την διαπραγμάτευσή της σε συγκεκριμένους διαδικτυακούς τόπους. Ο δικτυοενδιάμεσος δρα για λογαριασμό του πελάτη του και μπορεί να του προσφέρει σημαντικά οφέλη. Από την άλλη πλευρά, έχει ασκηθεί αρκετή κριτική στους δικτυοενδιάμεσους με κεντρικό άξονα την έλλειψη ρυθμιστικού πλαισίου της λειτουργίας των οντοτήτων αυτών. Συστήματα ανώνυμων πληρωμών Μερικά συστήματα πληρωμών αποκαλύπτουν λιγότερες προσωπικές πληροφορίες σε σχέση με άλλα. Για παράδειγμα πληρώνοντας με χρήση πιστωτικής κάρτας αποκαλύπτονται περισσότερες προσωπικές πληροφορίες συγκριτικά με τις πληρωμές τοις μετρητοίς. Κατ' αυτήν την έννοια η πληρωμή τοις μετρητοίς είναι πλήρως ανώνυμη. Τα συστήματα ανώνυμων πληρωμών προσπαθούν να προσομοιώσουν τα πλεονεκτήματα, από πλευράς προστασίας της ανωνυμίας του χρήστη, των πληρωμών τοις μετρητοίς. Στηρίζονται στην Οικονομικό Πανεπιστήμιο Αθηνών Σελ 62

63 χρήση της κρυπτογραφίας και των τυφλών ψηφιακών υπογραφών. Υπάρχουν αρκετά συστήματα ανώνυμων πληρωμών για χρήση στο Διαδίκτυο. Τα πιο δημοφιλή από αυτά είναι το Ecash και το Mondex. Παρά τα ευεργετήματα που προσφέρουν τα συστήματα ανώνυμων πληρωμών περιορίζουν σημαντικά τους χρήστες τους: (α) τα περισσότερα είναι συνδεδεμένα με την χρήση συγκεκριμένης, συνήθως μη πρότυπης τεχνολογίας, (β) για την παράδοση των προϊόντων στους αγοραστές απαιτείται η χρήση του ονόματος και της ταχυδρομικής διεύθυνσης παράδοσης 3 και (γ) πολλοί φοβούνται ότι τα συστήματα αυτά μπορούν να χρησιμοποιηθούν για το "ξέπλυμα" χρήματος που είναι προϊόν αξιόποινων πράξεων. Εργαλεία υλοποίησης των περισσότερων από τις παραπάνω τεχνικές παρέχονται στην διαδικτυακή τοποθεσία Μετά την ολοκλήρωση της ανασκόπησής τους σειρά έχει η ταξινόμηση των ΤΠΙ με χρήση ποικίλλων κριτηρίων Ταξινόμηση των ΤΠΙ Έχουν προταθεί διάφορα μοντέλα για την ομαδοποίηση των ΤΠΙ. Στην συνέχεια θα παρουσιασθούν τρία μοντέλα κατηγοριοποίησης που χρησιμοποιούν σαν κριτήριο: (α) τον σκοπό, (β) την τεχνολογία και (γ) την υπηρεσία για την οποία χρησιμοποιείται μια συγκεκριμένη ΤΠΙ Κατηγοριοποίηση με βάση τον σκοπό Οι σκοποί χρήσης μιας συγκεκριμένης ΤΠΙ είναι [OEC-99]: ελαχιστοποίηση της αποκάλυψης και συλλογής προσωπικών δεδομένων ενημέρωση υποκειμένων σχετικά με την πολιτική προστασίας δεδομένων στο διαδίκτυο παροχή εναλλακτικών επιλογών στο υποκείμενο σχετικά με την αποκάλυψη και χρήση των προσωπικών του δεδομένων παροχή πρόσβασης του υποκειμένου στα προσωπικά του δεδομένα 3 Στο παράγραφο 4.4, θα παρουσιασθεί το επιχειρηματικό μοντέλο των δικτυοενδιάμεσων, το οποίο δύναται να συνδυασθεί με κάποιο από τα συστήματα ανώνυμων πληρωμών με σκοπό την άρση αυτού του περιορισμού. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 63

64 προστασία της ιδιωτικότητας με χρήση συμβολαίων διασυνοριακής ροής δεδομένων εφαρμογή αρχών ιδιωτικότητας εκπαίδευση-ενημέρωση χρηστών και ιδιωτικών φορέων. O Πίνακας 5 περιλαμβάνει την αντιστοίχιση των ΤΠΙ με τους παραπάνω σκοπούς. Τεχνολογίες Σκοποί Ελαχιστοποίηση αποκάλυψης και συλλογής Ενημέρωση για πολιτική προστασίας δεδομένων στο διαδίκτυο Παροχή εναλλακτικών επιλογών Παροχή πρόσβασης Προστασία με χρήση συμβολαίων διασυνοριακής ροής Εφαρμογή αρχών ιδιωτικότητας Εκπαίδευση Κρυπτογραφία Ψηφιακές υπογραφές Διαχείριση cookies OPS Ολική Διαγραφή Αρχείων Φίλτρα Αναχώματα &Αντιπρόσωποι P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επανα-ταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές Πίνακας 5: Κατηγοριοποίηση των ΤΠΙ με βάση τον σκοπό Κατηγοριοποίηση με βάση την τεχνολογία Οι ΤΠΙ δύναται να βασίζονται σε [OEC-02]: τεχνολογίες προσωπικού υπολογιστή τεχνολογίες παγκόσμιου ιστού δικτυακές τεχνολογίες. O Πίνακας 6 αντιστοιχίζει τις ΤΠΙ με τις παραπάνω τεχνολογίες. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 64

65 Υποκείμενες Τεχνολογίες Τεχνολογίες Προάσπισης Ιδιωτικότητας Τεχνολογία προσωπικού υπολογιστή Τεχνολογίες παγκόσμιου ιστού Δικτυακές τεχνολογίες Κρυπτογραφία Ψηφιακές υπογραφές Διαχείριση cookies OPS Ολική Διαγραφή Αρχείων Φίλτρα Αναχώματα &Αντιπρόσωποι P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επανα-ταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές Πίνακας 6: Κατηγοριοποίηση των ΤΠΙ με βάση την υποκείμενη τεχνολογία Κατηγοριοποίηση με βάση την υπηρεσία Οι ΤΠΙ χρησιμοποιούν τις παρακάτω υπηρεσίες Διαδικτύου [ΠAN-01]: ανώνυμο ηλεκτρονικό ταχυδρομείο ανώνυμη πλοήγηση στο Διαδίκτυο δημιουργία ψευδωνύμων κρυπτογράφηση αποκρυπτογράφηση φιλτράρισμα ή διήθηση ψηφιακές υπογραφές απευθείας ενημέρωση για πολιτικές προστασίας προσωπικών δεδομένων διαγραφή αρχείων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 65

66 O Πίνακας 7 περιλαμβάνει την αντιστοίχιση των ΤΠΙ με τις παραπάνω υπηρεσίες: Τεχνολογίες Υπηρεσίες Ανώνυμο ηλεκτρονικό ταχυδρομείο Ανώνυμη πλοήγηση στο Διαδίκτυο Δημιουργία Ψευδωνύμων Κρυπτογράφηση Αποκρυπτογράφηση Διήθηση Ψηφιακές υπογραφές Απευθείας ενημέρωση για πολιτικές προστασίας προσωπικών δεδομένων Διαγραφή αρχείων Κρυπτογραφία Ψηφιακές υπογραφές Διαχείριση cookies OPS Ολική Αρχείων Φίλτρα Διαγραφή Αναχώματα &Αντιπρόσωποι P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επαναταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές Πίνακας 7: Κατηγοριοποίηση των ΤΠΙ με βάση την προσφερόμενη υπηρεσία Συσχέτιση των ΤΠΙ με απειλές κατά της ιδιωτικότητας Με βάση όσα έχουν αναφερθεί στις παραγράφους 2.6 και 2.7 κάθε επί μέρους ΤΠΙ μπορεί να χρησιμοποιηθεί για την αντιμετώπιση συγκεκριμένων απειλών κατά της ιδιωτικότητας των δεδομένων στο Διαδίκτυο. Η μεταξύ τους αντιστοίχιση δίνεται στον παρακάτω πίνακα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 66

67 Απειλές ΕΠΙΚΟΙΝΩΝΙΑΚΟ ΕΠΙΠΕΔΟ ΕΠΙΠΕΔΟ ΕΦΑΡΜΟΓΗΣ ΔΙΑΦΟΡΕΣ Τεχνολογίες προάσπισης Κρυπτογραφία Δρομολόγηση Πληροφορίες Καταλόγου Ping Ανάλυση κίνησης Δεδομένα Κίνησης 4 Περιεχόμενα Διαρροή φυλλομετρητών Αόρατοι υπερ-σύνδεσμοι Cookies Spamming Δεδομένα κίνησης Περιεχόμενα Μη εξουσιοδοτημένη πρόσβαση Παραβίαση πολιτικής προσωπικών δεδομένων Αυθεντικοποίηση ηλεκτρονικών συναλλαγών Ψηφιακές υπογραφές Διαχείριση cookies OPS Ολική Διαγραφή Αρχείων Φίλτρα Αναχώματα &Αντιπρόσωποι P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επαναταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές Πίνακας 8: Συσχέτιση ΤΠΙ με απειλές κατά της ιδιωτικότητας Συσχέτιση απειλών και αρχών ιδιωτικότητας που παραβιάζουν Ο Πίνακας 9 συσχετίζει τις απειλές με τις αρχές-δικαιώματα προστασίας δεδομένων (βλ ). 4 η δυνατότητα αυτή δίνεται στο ΙΡv6 Οικονομικό Πανεπιστήμιο Αθηνών Σελ 67

68 Απειλές Αρχές που προσβάλλονται Αρχή νομιμότητας-τιμιότητας Αρχή αναλογικότητας Αρχή σκοπού Αρχή ασφάλειας Δικαίωμα πρόσβασης Αρχή της ακρίβειας Χρόνος τήρησης (αρχή ανωνυμίας) Αρχή επίβλεψης Δρομολόγηση Πληροφορίες Καταλόγου Ping Ανάλυση κίνησης Δεδομένα Κίνησης Περιεχόμενα Διαρροή φυλλομετρητών Αόρατοι υπερ-σύνδεσμοι Cookies Spamming Δεδομένα κίνησης Περιεχόμενα Μη εξουσιοδοτημένη πρόσβαση Παραβίαση πολιτικής προστασίας προσωπικών δεδομένων Αυθεντικοποίηση ηλεκτρονικών συναλλαγών Πίνακας 9: Συσχέτιση απειλών και αρχών ιδιωτικότητας που προσβάλλονται Η συσχέτιση των στοιχείων του Πίνακα 8 με τα στοιχεία του Πίνακα 9, μας αποκαλύπτει τις ΤΠΙ που δύναται να χρησιμοποιηθούν για να υποστηρίξουν τις βασικές αρχές-δικαιώματα προστασίας δεδομένων. 2.8 Σύνοψη Τα γενικά συμπεράσματα που μπορούν να εξαχθούν από τη σύντομη ανασκόπηση του οργανοτεχνικού πλαισίου προστασίας δεδομένων είναι: η προστασία δεδομένων είναι υποσύνολο της προστασίας της ιδιωτικότητας. υπάρχουν δύο όψεις του δικαιώματος πληροφοριακού αυτοπροσδιορισμού του ατόμου: (α) η "αμυντική" αντιμετωπίζει την ιδιωτικότητα ως περιουσιακό στοιχείο και (β) η "επιθετική" αντιμετωπίζει την ιδιωτικότητα ως μέσο επικοινωνίας και ανάπτυξης της προσωπικότητας του ατόμου. Τα σύγχρονα νομικά κείμενα προστασίας έχουν επηρεασθεί και από τις δύο τάσεις. παρά την διαφορετικότητα των πλαισίων προστασίας δεδομένων, σε όλα τα νομικά κείμενα αναγνωρίζονται οι εξής ρόλοι: (α) Υποκείμενο επεξεργασίας, (β) Υπεύθυνος επεξεργασίας, (γ) Εκτελών την επεξεργασία και (δ) Αρχή Ελέγχου. παρά την διαφορετικότητα των πλαισίων προστασίας δεδομένων, σε όλα τα νομικά κείμενα αναγνωρίζονται οι παρακάτω αρχές-δικαιώματα που πρέπει να ισχύουν για την προστασία των προσωπικών δεδομένων: (1) αρχή της νομιμότητας και τιμιότητας (2) αρχή του σκοπού (3) αρχή της αναλογικότητας (4) αρχή της ακρίβειας (5) δικαίωμα πρόσβασης (6) αρχή της ασφάλειας (7) αρχή της ανωνυμίας και (8) αρχή της επίβλεψης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 68

69 τα μέτρα που λαμβάνει ο υπεύθυνος επεξεργασίας για την υποστήριξη των αρχώνδικαιωμάτων διατυπώνονται σε ένα κείμενο που ονομάζεται πολιτική προστασίας δεδομένων. το Διαδίκτυο δεν έχει σχεδιασθεί με τρόπο που να διασφαλίζει την ασφάλεια και την ιδιωτικότητα των διακινούμενων πληροφοριών και για αυτό το λόγο είναι περιβάλλον εχθρικό προς την προστασία δεδομένων. υπάρχουν απειλές κατά της ασφάλειας των πληροφοριών που διακινούνται στο Διαδίκτυο και αντιμετωπίζονται από τις ΤΑΠΕ (Πίνακας 4). υπάρχουν απειλές κατά της ιδιωτικότητας (παραβίαση των αρχών ιδιωτικότητας) των πληροφοριών που διακινούνται στο Διαδίκτυο και αντιμετωπίζονται από τις ΤΠΙ (Πίνακας 8). υπάρχει συσχέτιση της ασφάλειας πληροφοριών και της προάσπισης προσωπικών δεδομένων. Η σχέση αυτή λειτουργεί σε δύο επίπεδα: (α) στο κανονιστικό επίπεδο υπογραμμίζεται από την ενσωμάτωση άρθρων που σχετίζονται με την ασφάλεια σε όλα τα σύγχρονα κείμενα προστασίας προσωπικών δεδομένων και (β) στο τεχνολογικό επίπεδο, είναι πολλές οι κοινές τεχνικές που εφαρμόζονται τόσο για την αντιμετώπιση απειλών ασφάλειας όσο και για την αντιμετώπιση απειλών κατά της ιδιωτικότητας στο Διαδίκτυο. οι περισσότερες ΤΠΙ χρησιμοποιούν κρυπτογραφικές μεθόδους για να επιτύχουν τους στόχους τους (κρυπτογραφία, ψηφιακές υπογραφές, ψηφιακές σφραγίδες, ανώνυμοι επαναταχυδρομητές, re-webbers, δίκτυα ιδιωτικότητας, onion routing, ψηφιακά πιστοποιητικά, δικτυοενδιάμεσοι 5, ανώνυμες πληρωμές). το πρώτο στάδιο προς την κατεύθυνση της εφαρμογής του υπάρχοντος οργανοτεχνικού πλαισίου στο Διαδίκτυο, είναι η διερεύνηση των απειλών κατά της ιδιωτικότητας και η συσχέτισή τους τόσο με τις τεχνολογίες προάσπισής της όσο και με τις βασικές αρχέςδικαιώματα προστασίας δεδομένων που αυτές παραβιάζουν. 5 Το υπάρχον μοντέλο δικτυοενδιάμεσων δεν κάνει χρήση κρυπτογραφικών μεθόδων. Θα δειχθεί όμως, κατά την διάρκεια της διατριβής, ότι αυτό το γεγονός αποτελεί πηγή κινδύνων κατά της ασφάλειας και της ιδιωτικότητας των πληροφοριών των χρηστών του. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 69

70 3 ΤΟ ΕΠΙΣΤΗΜΟΛΟΓΙΚΟ ΠΛΑΙΣΙΟ ΤΗΣ ΕΡΕΥΝΑΣ Στο κεφάλαιο αυτό επιχειρείται να καταγραφεί το επιστημολογικό πλαίσιο στο οποίο αναπτύσσεται η διατριβή. Θεωρείται ότι αυτό είναι ιδιαίτερα συγγενικό με το επιστημολογικό πλαίσιο των κοινωνικών επιστημών, άποψη η οποία έχει ήδη καταγραφεί τόσο στη θεωρία των συστημάτων όσο και στην οργανωσιακή θεωρία [CHE-81], [HIR-95]. Η θεωρία των συστημάτων ταξινομείται συχνά σε αναλογία με την κοινωνική θεωρία. Τα Παραδείγματα (paradigms) στη θεωρία των συστημάτων αντιστοιχούνται στα Παραδείγματα της κοινωνικής θεωρίας. Ο λόγος είναι ότι κάποιο αντικείμενο των θεωριών αυτών συμπίπτει, συνήθως είτε η έννοια της κοινωνίας είτε η έννοια του οργανισμού. Τα ζητήματα που καταγράφονται και διαμορφώνουν τα διαφορετικά Παραδείγματα, αφορούν κυρίως στην αντικειμενικότητα ή υποκειμενικότητα του ερευνητή και της παρατήρησής του και στη συναινετική ή συγκρουσιακή φύση των συστημάτων υπό μελέτη. Με βάση τις απαντήσεις που δίνονται στα ζητήματα αυτά, προκύπτουν και οι διαφοροποιήσεις στις μεθόδους έρευνας και μέτρησης [ΚΩΝ-02]. Αρχικά γίνεται μια σύντομη παρουσίαση των διαφορετικών Παραδειγμάτων-παραδοχών και παρουσιάζονται οι παραδοχές και η μεθοδολογία του ερευνητή. Στη συνέχεια επιχειρείται η απεικόνιση των παραδοχών αυτών στην προστασία δεδομένων στο διαδίκτυο. Αυτή η απεικόνιση στηρίζεται στην επισκόπηση του τομέα της προστασίας δεδομένων σε κανονιστικό και τεχνολογικό επίπεδο (βλ. Κεφάλαιο 2). 3.1 Οντολογικές και επιστημολογικές παραδοχές Κάθε ερευνητική προσπάθεια στηρίζεται σε κάποιες θεμελιώδεις παραδοχές, έστω και αν αυτές δεν εκφράζονται ρητά. Οι παραδοχές αυτές περιλαμβάνουν, μεταξύ άλλων [ΚΟΚ-02]: οντολογικές παραδοχές για τη φύση της (φυσικής και κοινωνικής) πραγματικότητας επιστημολογικές παραδοχές για την απόκτηση γνώσης σε σχέση με τον πραγματικό κόσμο Οικονομικό Πανεπιστήμιο Αθηνών Σελ 70

71 μεθοδολογικές παραδοχές για τις μεθόδους και τα μέσα που μπορούν να χρησιμοποιηθούν για την απόκτηση γνώσης και την παρέμβαση στην κοινωνική πραγματικότητα. Το σύνολο των παραδοχών που γίνονται καθολικά αποδεκτές από μια επιστημονική κοινότητα αποκαλείται συνήθως παράδειγμα. Τα παραδείγματα στη θεωρία συστημάτων αντιστοιχίζονται στα παραδείγματα της κοινωνικής θεωρίας. Ο λόγος είναι ότι κάποιο αντικείμενο των θεωριών αυτών συμπίπτει, συνήθως είτε η έννοια της κοινωνίας είτε η έννοια του οργανισμού [ΚΩΝ-02]. Τέσσερα είναι τα παραδείγματα παραδοχών, σύμφωνα με τον Hirschheim και άλλους ερευνητές, και οριοθετούνται από δύο βασικούς άξονες: (α) υποκειμενικότητα-αντικειμενικότητα (subjective-objective) και (β) τάξη-σύγκρουση (orderconflict) [HIR-95], [BUR-79]. Στα τέσσερα τεταρτημόρια, που σχηματίζονται από τους δύο άξονες, εντάσσονται τέσσερα παραδείγματα (βλ. Σχήμα 7): Λειτουργισμός (functionalism) Ερμηνευτική προσέγγιση (interpretivism) Ριζοσπαστικός δομισμός (radical structuralism) Νεοανθρωπισμός (neohumanism) Σχήμα 7: Τέσσερα παραδείγματα στον τομέα των ΠΣ Οι δύο άξονες ερμηνεύονται ως εξής [ΚΟΚ-01]: 1. Ο άξονας "τάξη-σύγκρουση" εκφράζει την αντίθεση ανάμεσα στις απόψεις (α) ότι η κοινωνική πραγματικότητα χαρακτηρίζεται από τάξη (υπάρχουν δεδομένοι κοινωνικοί νόμοι αντίστοιχοι των φυσικών) και (β) ότι η κοινωνική πραγματικότητα χαρακτηρίζεται από τη σύγκρουση (ατόμων και ομάδων). 2. Ο άξονας "αντικειμενικότητα-υποκειμενικότητα" αναφέρεται στις απόψεις ότι (α) η κοινωνική πραγματικότητα μπορεί να μελετηθεί αντικειμενικά (από αντικειμενικούς παράγοντες), όπως η φυσική πραγματικότητα και (β) ότι η κοινωνική πραγματικότητα δεν μπορεί να μελετηθεί αντικειμενικά παρά μόνο να ερμηνευθεί υποκειμενικά. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 71

72 Η παράθεση των παραδοχών των τεσσάρων παραδειγμάτων, και η κριτική τους ανάλυση, θεωρείται ότι ξεφεύγει των ορίων της διατριβής και θα κουράσουν τον αναγνώστη. Για λόγους που σχετίζονται με την μεθοδολογία της παρούσας διατριβής (βλ. 3.2) παρατίθονται τα πολύ βασικά στοιχεία που αφορούν το παράδειγμα του λειτουργισμού και της ερμηνευτικής προσέγγισης: 1. Λειτουργισμός: ο λειτουργισμός αποτελεί το κυρίαρχο παράδειγμα στο χώρο των ΠΣ. Σύμφωνα με το λειτουργισμό, στη μελέτη των κοινωνικών φαινομένων πρέπει να αναζητούμε τις αιτίες που τα προκαλούν και τις λειτουργίες που πραγματοποιούνται. Βασίζεται στην υπόθεση ότι τα κοινωνικά φαινόμενα μπορούν να μελετηθούν με τον ίδιο τρόπο με τα φυσικά φαινόμενα. Η επίδραση του λειτουργισμού στο χώρο των ΠΣ αποτυπώνεται στις μεθόδους και πρακτικές με τις οποίες αντιμετωπίζονται τα ζητήματα ενώ η κατανόηση των ΠΣ επιχειρείται μέσα από αφαιρετικές κατασκευές (μοντέλα, τεχνικές απεικόνισης και καταγραφής), μεθόδους μάθησης και εξαγωγής γνώσης, καθώς και μέσα από νοητικά σχήματα (έννοιες, θεωρίες, υποθέσεις). Οι βασικές υποθέσεις του λειτουργισμού για τα ΠΣ περιλαμβάνουν [WIN-86], [ROB-97], [HIR-95]: υπόθεση της αντικειμενικής πραγματικότητας. Η άποψη αυτή υιοθετεί τις παραδοχές ότι κατοικούμε σε έναν "πραγματικό" κόσμο που αποτελείται από αντικείμενα που έχουν ιδιότητες και οι πράξεις μας λαμβάνουν χώρα σε αυτόν τον κόσμο. Επιπλέον, υπάρχουν αντικειμενικά γεγονότα για τον πραγματικό κόσμο τα οποία δεν εξαρτώνται από την ερμηνεία κάποιου ανθρώπου. μηχανιστική αντίληψη της κοινωνικής πραγματικότητας. Υπάρχουν γενικοί νόμοι με τους οποίους μπορούμε να προβλέψουμε και να ελέγξουμε την κοινωνική πραγματικότητα. Οι αντικειμενικοί στόχοι και τα προβλήματα είναι σαφή και καλά ορισμένα και επομένως ζητήματα πολιτικής είναι έξω από το πεδίο της επιστημονικής αναζήτησης. επαναλαμβανόμενες, αντικειμενικές και εμπειρικές παρατηρήσεις μπορούν να χρησιμοποιηθούν για την εξαγωγή γενικών συμπερασμάτων και συνεπώς η εμπειρία του παρελθόντος μπορεί να μας βοηθήσει για το μέλλον. 2. Ερμηνευτική προσέγγιση: η ερμηνευτική προσέγγιση στηρίζεται στις οντολογικές και επιστημολογικές της φαινομενολογίας, σύμφωνα με την οποία, δεν υπάρχει μια μοναδική πραγματικότητα, παρά μόνο διαφορετικές προσλήψεις της πραγματικότητας. Η καθημερινή πραγματικότητα κατασκευάζεται μέσα από τις ανθρώπινες δραστηριότητες. Οι βασικές υποθέσεις της ερμηνευτικής προσέγγισης για τα ΠΣ περιλαμβάνουν [ΚΟΚ-02]: η χρήση, ο σχεδιασμός και η μελέτη των ΠΣ είναι μια ερμηνευτική διαδικασία η υποκειμενικότητα είναι αναπόφευκτη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 72

73 δεν υπάρχουν σωστές ή λάθος θεωρίες παρά μόνο διαφορετικοί τρόποι να δούμε τον κόσμο ο αναλυτής παίζει το ρόλο του καταλύτη και του φορέα αλλαγών οι οργανισμοί δεν έχουν προκαθορισμένους και σταθερούς στόχους και δεν υπάρχουν καλά-ορισμένα προβλήματα προς επίλυση. Οι μεθοδολογίες που ακολουθούν το Paradigm I, ονομάζονται συστηματικές και στηρίζονται στις παρακάτω παραδοχές: 1. Η πραγματικότητα, όπως την αντιλαμβανόμαστε, είναι συστημική, δηλαδή ο κόσμος περιέχει συστήματα και 2. Η μεθοδολογία που χρησιμοποιείται για την διερεύνηση της πραγματικότητας δύναται να είναι συστηματική. Οι συστηματικές μεθοδολογίες, ακολουθώντας το παράδειγμα του λειτουργισμού, αντιμετωπίζουν την συμπλοκότητα του προβλήματος κατά τρόπο συστηματικό, βήμα προς βήμα, αναλύοντας το πρόβλημα σε μικρότερα προβλήματα, τα οποία επιλύουν ένα προς ένα. Χαρακτηριστικό των συστηματικών μεθοδολογιών είναι ο προσδιορισμός καλά ορισμένων σταδίων και βημάτων τα οποία εκτελούνται σειριακά. Σε αυτή την κατηγορία, για παράδειγμα, ανήκουν οι μεθοδολογίες που στηρίζονται στον παραδοσιακό κύκλο ζωής, όπου το πρόβλημα της ανάπτυξης και λειτουργίας ενός ΠΣ ανάγεται σε μικρότερα προβλήματα, όπως η ανάλυση απαιτήσεων, ο σχεδιασμός, η υλοποίηση κ.λ.π. Οι μεθοδολογίες που ακολουθούν το Paradigm ΙI, ονομάζονται συστημικές και στηρίζονται στις παρακάτω παραδοχές: 1. Η πραγματικότητα έτσι όπως την αντιλαμβανόμαστε είναι προβληματική, ενώ 2. Η μεθοδολογία που χρησιμοποιείται για την διερεύνηση της πραγματικότητας δύναται να είναι συστημική. Εδώ, οι μεθοδολογίες δεν χρησιμοποιούνται για την επίλυση καλά ορισμένων προβλημάτων, αλλά χρησιμοποιούνται για την αντιμετώπιση μιας προβληματικής κατάστασης, με σκοπό να επιτύχουν τη βελτίωση της κατάστασης. Η πραγματικότητα, εφόσον μας ενδιαφέρει, είναι προβληματική και εμείς βρισκόμαστε απέναντι, ή μέσα, σε μια προβληματική κατάσταση. Η προβληματική κατάσταση όμως, δεν μπορεί να αναλυθεί σε επιμέρους καλά-ορισμένα προβλήματα και η επίλυση των τελευταίων δεν μπορεί να οδηγήσει σε πλήρη άρση της προβληματικότητας. Στο Paradigm ΙI οι μεθοδολογίες είναι συστημικές, δηλαδή οι ίδιες οι μεθοδολογίες μπορούν να ειδωθούν ως συστήματα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 73

74 3.2 Η μεθοδολογία της παρούσας έρευνας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Κάθε ερευνητική προσπάθεια υιοθετεί κάποιες θεμελιώδεις παραδοχές, οι οποίες αφενός καθορίζουν τον τρόπο που ο ερευνητής προσεγγίζει το αντικείμενό του αφετέρου χρησιμεύουν στον αναγνώστη για την κατανόηση της λογικής δομής της προσπάθειας. Ο κάθε ερευνητής μπορεί να επιλέξει από ένα πλήθος προσεγγίσεων Παραδοχές της έρευνας Αναγνωρίζοντας την ανάγκη μιας τεχνολογικής διαδικτυακής Υποδομής Προστασίας Δεδομένων σε παγκόσμιο επίπεδο η οποία είναι ανεξάρτητη τεχνολογίας υλοποίησης, ο ερευνητής ξεκινά από το εννοιολογικό-αφαιρετικό μοντέλο προστασίας δεδομένων, το οποίο προκύπτει από τη μελέτη των διεθνών νομικών και κανονιστικών κειμένων, και θα προτείνει ένα εικονικό-λειτουργικό μοντέλο της, υιοθετώντας, κατά κύριο λόγο, το παράδειγμα του λειτουργισμού. Οι κύριες παραδοχές, για την επίτευξη αυτού του σκοπού, που υιοθετούνται στην παρούσα διατριβή είναι: 1. Το πλαίσιο προστασίας δεδομένων, ως ένα ΠΣ το οποίο επεξεργάζεται προσωπικά δεδομένα, εμπεριέχει ένα αφαιρετικό μοντέλο (ρόλοι και μεταξύ τους σχέσεις) που προέρχεται από τον πραγματικό κόσμο και ένα μηχανισμό αντίληψης πραγματικών γεγονότων και μεταγλώττισής τους σε αυτό το μοντέλο (Υπόθεση αντικειμενικής πραγματικότητας). Το μοντέλο κατασκευάζεται με βάση τους ρόλους και τις γενικές αρχές της προστασίας δεδομένων (βλ ). 2. Δεδομένου του προηγούμενου αφαιρετικού μοντέλου, αντικειμενικό στόχος της διατριβής είναι η συγκρότηση του εικονικού-λειτουργικού μοντέλου. 3. Για την μετάβαση από το αφαιρετικό-εννοιολογικό στο εικονικό μοντέλο, ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: απαιτήσεις χρήστη υπηρεσίες μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική τεχνολογίες υλοποίησης Μεθοδολογία της έρευνας Η έρευνα που παρουσιάζεται, ασχολείται με το ζήτημα της προστασίας δεδομένων στο διαδίκτυο και συγκεκριμένα με την συγκρότηση ενός εικονικού μοντέλου προστασίας δεδομένων που λαμβάνει υπ' όψη του το οργανοτεχνικό πλαίσιο προστασίας δεδομένων. Η έρευνα επικεντρώθηκε στην αντιμετώπιση τριών ζητημάτων: Ζήτημα 1 ο. Αποτύπωση του εννοιολογικού-αφαιρετικού μοντέλου αναφοράς των διαφορετικών μοντέλων ιδιωτικότητας. Ζήτημα 2 ο. Αντιμετώπιση τεχνολογικών ζητημάτων που εμποδίζουν την δημιουργία μιας κλιμακούμενης, επεκτάσιμης και στηριγμένης σε πρότυπα διαδικτυακής ΥΠΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 74

75 Ζήτημα 3 ο. Αποτύπωση μοντέλου αναφοράς και συγκρότηση λειτουργικού μοντέλου της τεχνολογικής διαδικτυακής ΥΠΔ. Η αντιμετώπιση του πρώτου ζητήματος στηρίχθηκε: 1. Στη βιβλιογραφική μελέτη των πιο γνωστών κανονιστικών πλαισίων προστασίας δεδομένων. 2. Στη βιβλιογραφική και συγκριτική μελέτη των ΤΠΙ. Το αποτέλεσμα της ερευνητικής προσπάθειας είναι η αποτύπωση ενός αφαιρετικού εννοιολογικού μοντέλου αναφοράς, το οποίο είναι ανεξάρτητο μοντέλου ιδιωτικότητας, της προστασίας δεδομένων. Το μοντέλο περιγράφει τους ρόλους (βλ ), τις σχέσεις (βλ ) που αναπτύσσονται από τις μεταξύ τους αλληλεπιδράσεις και το απαραίτητο τεχνολογικό υπόβαθρο της υποστήριξής τους στο διαδικτυακό περιβάλλον. Η αντιμετώπιση του δεύτερου ζητήματος στηρίχθηκε στα εξής: 1. Βιβλιογραφική και συγκριτική μελέτη των τεχνολογιών που υποστηρίζουν, απευθείας, κάθε μια από τις σχέσεις που προσδιορίσθηκαν από την επίλυση του πρώτου ζητήματος. 2. Εντοπισμός τεχνολογικών ζητημάτων με βάση βιβλιογραφικές αναφορές και την παρατήρηση του ερευνητή. 3. Αντιμετώπιση των εντοπισθέντων τεχνολογικών ζητημάτων με την πρόταση για ανάλογους μηχανισμούς που αξιοποιούν τις υπηρεσίες του μοντέλου που προέκυψε από την έρευνα του πρώτου ζητήματος. Για την περιγραφή των μηχανισμών, ανάλογα με την περίπτωση, ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: ανάλυση απαιτήσεων χρήστη καθορισμός υπηρεσιών μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική τεχνολογίες υλοποίησης λεπτομέρειες σχεδίασης λειτουργικών μονάδων. Το αποτέλεσμα της ερευνητικής προσπάθειας συνίσταται στην ανάλυση των επιμέρους σχέσεων του εννοιολογικού-αφαιρετικού μοντέλου με στόχο την πρόταση για μηχανισμούς που υποστηρίζουν το λειτουργικό μοντέλο της διαδικτυακής τεχνολογικής ΥΠΔ. Τμήματα της συγκεκριμένης έρευνας έχουν πραγματοποιηθεί στα πλαίσια Ευρωπαϊκών ερευνητικών προγραμμάτων και η ορθότητά τους έχει ελεγχθεί από τις αρμόδιες αρχές της ΕΕ. Η αντιμετώπιση του τρίτου ζητήματος στηρίχθηκε στα εξής: 1. Σύνθεση των προσεγγίσεων που προτάθηκαν κατά την διάρκεια αντιμετώπισης του δεύτερου ζητήματος. 2. Για την συγκρότηση του λειτουργικού μοντέλου, ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: ανάλυση απαιτήσεων χρήστη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 75

76 καθορισμός υπηρεσιών μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική. Το αποτέλεσμα της ερευνητικής προσπάθειας συνίσταται στην αποτύπωση του λειτουργικού μοντέλου της τεχνολογικής διαδικτυακής ΥΠΔ λαμβάνοντας υπ' όψη τα αποτελέσματα από την αντιμετώπιση του δεύτερου ζητήματος της έρευνας. Η σύνθεση των συμπερασμάτων της παραπάνω έρευνας αποτελεί το ζητούμενο εικονικό-λειτουργικό μοντέλο. 3.3 Εννοιολογικό μοντέλο προστασίας δεδομένων Για την αποτύπωση του εννοιολογικού μοντέλου προστασίας δεδομένων απαιτείται ο προσδιορισμός των ρόλων και των μεταξύ τους σχέσεων (βλ. Σχήμα 8). Οι ρόλοι που αναγνωρίζονται στο υπάρχον οργανοτεχνικό πλαίσιο προστασίας δεδομένων είναι (βλ 2.1.6): υποκείμενο επεξεργασίας, υπεύθυνος επεξεργασίας, εποπτεύουσα Αρχή και εκτελών την επεξεργασία. Οι σχέσεις μεταξύ των παραπάνω ρόλων οριοθετούνται από τις εξής βασικές αρχές-δικαιώματα προστασίας προσωπικών δεδομένων: αρχή της νομιμότητας και τιμιότητας, αρχή του σκοπού, αρχή της αναλογικότητας, αρχή της ακρίβειας, δικαίωμα πρόσβασης, αρχή της ασφάλειας, αρχή της ανωνυμίας και αρχή της επίβλεψης. Σχήμα 8: Εννοιολογικό μοντέλο αναφοράς προστασίας δεδομένων Οικονομικό Πανεπιστήμιο Αθηνών Σελ 76

77 Για να αποτελέσει το εννοιολογικό μοντέλο αναφοράς της προστασίας δεδομένων το εφαλτήριο για τη συγκρότηση του μοντέλου αναφοράς της τεχνολογικής διαδικτυακής ΥΠΔ πρέπει να χρησιμοποιηθούν οι ΤΠΙ (βλ ). Επιπλέον, και σύμφωνα με όσα περιγράφηκαν στην παράγραφο 2.8, οι ΤΑΠΕ αποτελούν την βάση για την υποστήριξη των ΤΠΙ. 3.4 Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Το πρώτο βήμα προς την κατεύθυνση περιγραφής του λειτουργικού μοντέλου Υποδομής Προστασίας Δεδομένων στο Διαδίκτυο, είναι η τεκμηρίωση του γεγονότος ότι η προστασία δεδομένων αποτελεί ένα ΠΣ το οποίο επεξεργάζεται προσωπικές πληροφορίες. Στην συνέχεια, θα καταγραφούν οι απαιτήσεις χρήσης του ΠΣ, και οι υπηρεσίες που θα προσφέρει Η προστασία προσωπικών δεδομένων ως σύστημα Οι παραπάνω ρόλοι και αρχές-δικαιώματα συνιστούν ένα σύστημα το οποίο διαμορφώθηκε με την πάροδο του χρόνου, σύμφωνα με όσα αναφέρθηκαν στο Κεφάλαιο 2 της διατριβής, και έχει σαν σκοπό την προστασία των προσωπικών δεδομένων. Η εισαγωγή της έννοιας του συστήματος έδωσε τη δυνατότητα να αναπτυχθεί μία γενική θεωρία για τη μελέτη και ερμηνεία των φυσικών και κοινωνικών φαινομένων. Η θεωρία αυτή είναι γνωστή ως Γενική Θεωρία Συστημάτων και ασχολείται με την ανάλυση των χαρακτηριστικών μίας οντότητας, σύμφωνα με τα οποία μπορεί να θεωρηθεί ότι αποτελεί ένα σύστημα. Ένας συχνά χρησιμοποιούμενος ορισμός για την έννοια σύστημα έχει δοθεί από το [SCH-90]: Σύστημα είναι ένα σύνολο από αντικείμενα μαζί με τις σχέσεις μεταξύ των αντικειμένων και των γνωρισμάτων τους, τα οποία είναι σε αλληλοσυσχέτιση μεταξύ τους και με το περιβάλλον, έτσι ώστε να αποτελούν μία ολότητα. Στο Οικονομικό Πανεπιστήμιο Αθηνών Σελ 77

78 Σχήμα 9 απεικονίζεται το πλαίσιο προστασίας δεδομένων ως σύστημα του οποίου: τα αντικείμενα είναι οι ρόλοι που εμπλέκονται σε αυτό η συλλογή, επεξεργασία και διαβίβαση δεδομένων καθορίζουν τις σχέσεις μεταξύ των αντικειμένων οι βασικές αρχές-δικαιώματα προστασίας δεδομένων αποτελούν τα γνωρίσματα των αντικειμένων και καθορίζουν τη νομιμότητα των μεταξύ τους σχέσεων η αλληλοσυσχέτιση μεταξύ των διαφορετικών ρόλων του συστήματος πηγάζει από την επεξεργασία των προσωπικών δεδομένων που λαμβάνει χώρα εντός του συστήματος. η συλλογή των δεδομένων αποτελεί την είσοδο και η διαβίβασή τους αποτελεί την έξοδο του συστήματος. Η αλληλοσυσχέτιση με το περιβάλλον στηρίζεται στην συλλογή και διαβίβαση των δεδομένων από και προς το περιβάλλον. Στα παλαιότερα νομικά συστήματα, η προστασία της ιδιωτικότητας είχε κατασταλτικό (postactive) χαρακτήρα. Ο νόμος επιβαλλόταν κατόπιν του τετελεσμένου γεγονότος. Αντίθετα, στα σύγχρονα νομοθετικά κείμενα, η προστασία προσωπικών δεδομένων λαμβάνει χαρακτήρα συστημικού δικαίου με προληπτικό (proactive) χαρακτήρα, πράγμα που σημαίνει ότι ρυθμίζει κανονιστικά την επεξεργασία προσωπικών δεδομένων σε όλες τις φάσεις της: (α) στην αλληλεπίδραση του συστήματος με το περιβάλλον (συλλογή-είσοδος, διαβίβασηέξοδος) και (β) εντός του ίδιου του συστήματος (επεξεργασία) [DON-98]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 78

79 Σχήμα 9: Η προστασία προσωπικών δεδομένων ως σύστημα Γενικά διακρίνονται τέσσερις κατηγορίες συστημάτων: (1) φυσικά συστήματα, (2) σχεδιασμένα φυσικά συστήματα, (3) σχεδιασμένα αφηρημένα συστήματα και (4) συστήματα ανθρώπινης δραστηριότητας. Τα πρώτα δημιουργούνται και λειτουργούν, χωρίς να απαιτείται η παρέμβαση του ανθρώπου (π.χ. πλανητικό σύστημα), τα δεύτερα είναι κατασκευασμένα από τον άνθρωπο και έχουν φυσική υπόσταση (π.χ. τεχνητή λίμνη), τα τρίτα έχουν κατασκευαστεί από τον άνθρωπο, αλλά έχουν μόνο νοητική υπόσταση (π.χ. αριθμητικό σύστημα) και τέλος τα συστήματα ανθρώπινης δραστηριότητας είναι εκείνα που ορίζονται στο [CHE-98] ως: Ένα νοητικό σκόπιμο σύστημα, το οποίο εκφράζει κάποια σκόπιμη ανθρώπινη δραστηριότητα, η οποία θα μπορούσε γενικά να υπάρξει στον πραγματικό κόσμο. Αυτά τα συστήματα είναι νοητικά με την έννοια ότι δεν είναι περιγραφές δραστηριοτήτων του πραγματικού κόσμου (που είναι ένα εξαιρετικά περίπλοκο φαινόμενο), αλλά είναι διανοητικά κατασκευάσματα. Είναι ιδεατοί τύποι που χρησιμοποιούνται σε ένα διάλογο για τις πιθανές αλλαγές που μπορούν να γίνουν σε μία προβληματική κατάσταση του πραγματικού κόσμου. Ειδικά για τα συστήματα ανθρώπινης δραστηριότητας, ιδιαίτερη σημασία έχουν δύο χαρακτηριστικά τους: η αναζήτηση ενός σκοπού και ο δυναμικός τους χαρακτήρας. Τα συστήματα ανθρώπινης δραστηριότητας συγκροτούνται και λειτουργούν για την επίτευξη κάποιου σκοπού. Αυτό δεν σημαίνει ότι ο σκοπός είναι πάντα δεδομένος και σαφής ή ότι όλα τα συμμετέχοντα μέρη αντιλαμβάνονται το σκοπό του συστήματος με τον ίδιο τρόπο. Το σύστημα προστασίας δεδομένων είναι ένα σύστημα ανθρώπινης δραστηριότητας διότι: 1. Οι πληροφορίες που προστατεύονται αναφέρονται σε ανθρώπους (προσωπικές ή ευαίσθητες, βλ ). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 79

80 2. Είναι ένα νοητικό σύστημα καθώς η προστασία δεδομένων δεν υπάρχει στον φυσικό κόσμο (δεν είναι φυσικό φαινόμενο). 3. Εμπεριέχει την έννοια της αλλαγής με την πάροδο του χρόνου. 4. Ο τελικός σκοπός των στοιχείων του συστήματος προστασίας προσωπικών δεδομένων, ως μία ολότητα, είναι η προστασία των προσωπικών δεδομένων των υποκειμένων χωρίς αυτό να αποτελεί εμπόδιο στην εύρυθμη λειτουργία της ανθρώπινης κοινωνίας. Τα ΠΣ είναι συστήματα ανθρώπινης δραστηριότητας [ΚΟΚ-00]: Πληροφοριακό σύστημα είναι ένα σύστημα ανθρώπινης δραστηριότητας το οποίο αποτελείται από πέντε στοιχεία: ανθρώπους, λογισμικό, υλικό, διαδικασίες και δεδομένα, τα οποία αλληλεπιδρούν μεταξύ τους και με το περιβάλλον, με σκοπό την παραγωγή και διαχείριση πληροφορίας για την υποστήριξη ανθρώπινων δραστηριοτήτων, στα πλαίσια ενός οργανισμού. Το σύστημα προστασίας δεδομένων είναι ένα ΠΣ καθώς είναι ένα σύστημα ανθρώπινης δραστηριότητας και υπό τον όρο, στα πλαίσια της παρούσας διατριβής, να γίνουν οι παρακάτω παραδοχές: 1. Η επεξεργασία των προσωπικών δεδομένων γίνεται είτε με χρήση αυτοματοποιημένων (υλικό, λογισμικό, Διαδίκτυο) είτε μη αυτοματοποιημένων διαδικασιών. 2. Η επεξεργασία δεδομένων δεν γίνεται μόνο στα πλαίσια ενός οργανισμού αλλά και στα πλαίσια μιας κοινότητας που υιοθετεί κάποιο από τα μοντέλα ιδιωτικότητας. Από τα παραπάνω. μπορούμε να διατυπώσουμε τον παρακάτω ορισμό για την διαδικτυακή Υποδομή Προστασίας Δεδομένων (ΥΠΔ): Η διαδικτυακή Υποδομή Προστασίας Δεδομένων είναι ένα Πληροφοριακό Σύστημα, με σκοπό την προστασία δεδομένων στο Διαδίκτυο, στα πλαίσια μιας συλλογικότητας που ακολουθεί ένα συγκεκριμένο μοντέλο ιδιωτικότητας. Για την περιγραφή της ΥΠΔ ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: απαιτήσεις χρήστη υπηρεσίες μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική Απαιτήσεις χρήστη Με βάση τους παράγοντες που αποτέλεσαν το κίνητρο της παρούσας διατριβής (βλ. 1.2) και τις διαπιστώσεις από την αποτύπωση του υπάρχοντος πλαισίου προστασίας δεδομένων (βλ. 2.8), καταγράφονται οι παρακάτω απαιτήσεις χρήσης, ανά ρόλο, της τεχνολογικής διαδικτυακής ΥΠΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 80

81 Λειτουργικές απαιτήσεις Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Υπεύθυνος επεξεργασίας 1. Υποστήριξη των αρχών-δικαιωμάτων προστασίας δεδομένων (βλ ). Ο υπεύθυνος επεξεργασίας ενδιαφέρεται για τις εξής αρχές-δικαιώματα προστασίας: αρχή της νομιμότητας και τιμιότητας. Η νομιμότητα συλλογής και επεξεργασίας αναφέρεται στο γεγονός ότι το υποκείμενο επεξεργασίας πρέπει να λαμβάνει γνώση των δεδομένων που συλλέγονται (διαφάνεια). Η τιμιότητα αναφέρεται στο γεγονός ότι ο τρόπος που ο υπεύθυνος συλλέγει και επεξεργάζεται τα προσωπικά δεδομένα επηρεάζει την εμπιστοσύνη των υποκειμένων επεξεργασίας. Για το λόγο αυτό πρέπει να ενημερώνεται το υποκείμενο σχετικά με τις διαδικασίες επεξεργασίας και να μην υπάρχουν αποκλείσεις από την ενημέρωση που έχει λάβει το υποκείμενο. αρχή του σκοπού. Τα δεδομένα πρέπει να συλλέγονται για συγκεκριμένο και νόμιμο σκοπό. αρχή της αναλογικότητας: Δεν πρέπει να συλλέγονται προσωπικά δεδομένα που δεν σχετίζονται με τον σκοπό συλλογής και επεξεργασίας. αρχή της ακρίβειας. Μη εξουσιοδοτημένη πρόσβαση και αλλαγή στα προσωπικά δεδομένα πρέπει να αποτρέπεται. δικαίωμα πρόσβασης. Πρέπει να παρέχεται στο υποκείμενο επεξεργασίας η πρόσβαση στα προσωπικά δεδομένα που το αφορούν. αρχή της ασφάλειας. Πρέπει να λαμβάνονται όλα τα οργανοτεχνικά μέτρα που είναι απαραίτητα για την προστασία της ασφάλειας των δεδομένων. Η επάρκεια των μέτρων πρέπει να είναι εύκολο να αποδειχθεί. αρχή της ανωνυμίας. Τα δεδομένα πρέπει να διατηρούνται για συγκεκριμένο χρονικό διάστημα. αρχή της επίβλεψης. Σε περιπτώσεις ελέγχου από την αρμόδια Αρχή Ελέγχου πρέπει να είναι εύκολη η απόδειξη της επάρκειας των μέτρων προστασίας. Επιπλέον, η πολιτική προστασίας δεδομένων (βλ ) πρέπει να υποβάλλεται για έλεγχο από την αρμόδια Αρχή Ελέγχου και τα υποκείμενα επεξεργασίας να μπορούν να επιβεβαιώσουν την εγκυρότητά της. 2. Παράκαμψη ανωνυμίας σε περιπτώσεις διενέξεων. Οι τεχνολογίες ανωνυμίας (ή ψευδωνυμίας) που ενδέχεται να χρησιμοποιεί το υποκείμενο, πρέπει να παρέχουν τη δυνατότητα αποκάλυψης της ταυτότητάς του σε περιπτώσεις διενέξεων με τον υπεύθυνο επεξεργασίας. Στη συνέχεια, ο υπεύθυνος επεξεργασίας (ή κάποιος έμπιστος αντιπρόσωπος) Οικονομικό Πανεπιστήμιο Αθηνών Σελ 81

82 θα χρησιμοποιήσει την ταυτότητα ως αποδεικτικό στοιχείο για την επίλυση της διένεξης παρουσιάζοντάς τη σε κάποιο δικαστήριο ή ανεξάρτητη Διοικητική Αρχή Αρχή Ελέγχου Υποστήριξη της αρχής επίβλεψης (βλ ). Η Αρχή Ελέγχου ενδιαφέρεται πρώτιστα, οι υπεύθυνοι, να συμπεριφέρονται με υπεύθυνο τρόπο απέναντι στα υποκείμενα επεξεργασίας, σχετικά με τις δεσμεύσεις που αναλαμβάνουν ανακοινώνοντας την πολιτική προστασίας δεδομένων. Για το λόγο αυτό πρέπει να ελέγχουν τους υπεύθυνους επεξεργασίας και ταυτόχρονα να παρέχεται η δυνατότητα στα υποκείμενα να επιβεβαιώσουν την διενέργεια ελέγχου Υποκείμενο επεξεργασίας 1. Υποστήριξη των αρχών-δικαιωμάτων προστασίας δεδομένων. Το υποκείμενο επεξεργασίας ενδιαφέρεται για τις εξής αρχές-δικαιώματα προστασίας: αρχή της νομιμότητας και τιμιότητας. Η νομιμότητα συλλογής και επεξεργασίας αναφέρεται στο γεγονός ότι το υποκείμενο επεξεργασίας πρέπει να λαμβάνει γνώση των δεδομένων που συλλέγονται (διαφάνεια). Η τιμιότητα αναφέρεται στο γεγονός ότι, το υποκείμενο πρέπει να ενημερώνεται σχετικά με τις διαδικασίες επεξεργασίας και να μην υπάρχουν αποκλίσεις από την ενημέρωση που έχει λάβει το υποκείμενο. αρχή του σκοπού. Τα δεδομένα πρέπει να συλλέγονται για συγκεκριμένο και νόμιμο σκοπό. αρχή της αναλογικότητας. Πρέπει να παρέχονται οι ελάχιστες δυνατές προσωπικές πληροφορίες που είναι απαραίτητες για την εξυπηρέτηση του σκοπού συλλογής. αρχή της ακρίβειας. Οι προσωπικές πληροφορίες που διατηρεί ο υπεύθυνος επεξεργασίας πρέπει να είναι ακριβείς. δικαίωμα πρόσβασης. Το υποκείμενο επεξεργασίας πρέπει να έχει πρόσβαση στα προσωπικά δεδομένα που το αφορούν. αρχή της ασφάλειας. Τα οργανοτεχνικά μέτρα που λαμβάνει ο υπεύθυνος επεξεργασίας για την προστασία της ασφάλειας των δεδομένων πρέπει να ανακοινώνονται στο υποκείμενο επεξεργασίας. αρχή της ανωνυμίας. Τα δεδομένα πρέπει να διατηρούνται για συγκεκριμένο χρονικό διάστημα. αρχή της επίβλεψης. Το υποκείμενο επεξεργασίας ενδιαφέρεται να λαμβάνει έγκυρη ενημέρωση σχετικά με το γεγονός ότι ο υπεύθυνος επεξεργασίας σέβεται τις αρχέςδικαιώματα προστασίας δεδομένων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 82

83 2. Επιλογή αποκάλυψης ταυτότητας. Το υποκείμενο επεξεργασίας πρέπει να έχει τη δυνατότητα να επιλέξει αν θέλει να παραχωρήσει τα προσωπικά του στοιχεία ή να παραμείνει ανώνυμο (βλ ) Μη λειτουργικές απαιτήσεις Ανεξαρτήτως ρόλου, οι οντότητες που συμμετέχουν στην τεχνολογική διαδικτυακή ΥΠΔ έχουν τις παρακάτω μη λειτουργικές απαιτήσεις: 1. Απαίτηση για προστασία από τις απειλές κατά της ασφάλειας των πληροφοριών στο Διαδίκτυο (βλ. 2.4). 2. Απαίτηση για προστασία από τις απειλές κατά της ιδιωτικότητας πληροφοριών στο Διαδίκτυο (βλ ). 3. Απαίτηση για τεχνολογίες που ενσωματώνονται εύκολα και είναι συμβατές με την υπάρχουσα διαδικτυακή υποδομή. Όπως παρατηρεί ο αναγνώστης οι ανάγκες του χρήστη, που αναφέρεται ως εκτελών την επεξεργασία, δεν έχουν συμπεριληφθεί στον κατάλογο των απαιτήσεων χρήσης. Ο λόγος για τον οποίο έγινε αυτό, σχετίζεται με το γεγονός ότι σε όλα τα κανονιστικά πλαίσια προστασίας δεδομένων, η ευθύνη της τήρησης των διατάξεων του νόμου βαρύνει τον υπεύθυνο επεξεργασίας, ο οποίος, για να περιχαρακώσει την προστασία των δεδομένων, που διαβιβάζει στον εκτελούντα την επεξεργασία, υπογράφει συμφωνία που περιέχει ειδικές παραγράφους περί εχεμύθειας και τήρησης απορρήτου των δεδομένων [OEC-97]. Η υπογραφή τέτοιου είδους συμφωνιών δεν αποτελεί αντικείμενο της παρούσας έρευνας Υπηρεσίες Το λειτουργικό μοντέλο της τεχνολογικής διαδικτυακής ΥΠΔ, θα προσφέρει ένα σύνολο υπηρεσιών που ικανοποιούν τις απαιτήσεις χρήσης. Μια υπηρεσία μπορεί να καλύπτει μια ή περισσότερες απαιτήσεις και μια ή περισσότερες υπηρεσίες μπορούν να καλύπτουν διαφορετικά τμήματα μιας συγκεκριμένης απαίτησης. Επιπλέον, σε μια υπηρεσία μπορεί να αναμειγνύονται ένας ή περισσότεροι ρόλοι. Αυτό έχει σαν αποτέλεσμα την διάσπαση της λειτουργίας σε επί μέρους λειτουργίες. Η λεπτομερής ανάλυση των υπηρεσιών δεν γίνεται σε αυτό το σημείο αλλά στα υπόλοιπα κεφάλαια της διατριβής. Η επιλογή αυτή στηρίχθηκε στο γεγονός ότι η παρουσίαση, μέρους εκ, των υπηρεσιών είναι αρκετά σύνθετη και για το λόγο αυτό αφιερώνεται ένα κεφάλαιο σε κάθε μια. Στο σημείο αυτό θα γίνει μόνο μια συνοπτική παρουσίασή τους Υπηρεσία πρόσβασης σε ανώνυμα περιγράμματα Κανένα κανονιστικό πλαίσιο προστασίας δεδομένων δεν απαγορεύει την δημιουργία και επεξεργασία ανώνυμων περιγραμμάτων καταναλωτικής συμπεριφοράς των υποκειμένων. Κατ' αυτή την έννοια η δημιουργία και επεξεργασία ανώνυμων περιγραμμάτων: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 83

84 (α) είναι ανεξάρτητη μοντέλου ιδιωτικότητας και δύναται να συμπεριληφθεί στην ΥΠΔ. (β) σχετίζεται με την απαίτηση τήρησης της αρχής της νομιμότητας, γιατί όλα τα πλαίσια προστασίας δεδομένων νομιμοποιούν τη συλλογή και επεξεργασία ανώνυμων περιγραμμάτων. (γ) σχετίζεται με την απαίτηση τήρησης της αρχής της αναλογικότητας, γιατί δεν διαβιβάζονται προσωπικά δεδομένα Υπηρεσία ενημέρωσης Η υπηρεσία αυτή σχετίζεται με την ανάγνωση, από το υποκείμενο επεξεργασίας, της πολιτικής προστασίας δεδομένων του υπευθύνου επεξεργασίας. Την χρησιμοποιεί και ο υπεύθυνος επεξεργασίας για να δημιουργήσει την πολιτική προστασίας δεδομένων, σε μορφότυπο κατάλληλο για ανάγνωση στο Διαδίκτυο. Στην πολιτική προστασίας δεδομένων συμπεριλαμβάνονται όλα τα μέτρα που λαμβάνει ο υπεύθυνος για να προασπίσει τις βασικές αρχές-δικαιώματα προστασίας δεδομένων. Κάνοντας χρήση αυτής της υπηρεσίας: (α) ο υπεύθυνος επεξεργασίας μπορεί να προσδιορίσει την πολιτική προστασίας δεδομένων του, και (β) το υποκείμενο επεξεργασίας μπορεί να προσδιορίσει την πολιτική προστασίας δεδομένων του και να διαπραγματευθεί τις απαιτήσεις ιδιωτικότητάς του με την πολιτική του υπευθύνου επεξεργασίας Υπηρεσία επίβλεψης Η υπηρεσία αυτή σχετίζεται με την απαίτηση για διατήρηση της αρχής επίβλεψης και περιλαμβάνει τις παρακάτω επιμέρους λειτουργίες: (1) Υποβολή πολιτικής προστασίας δεδομένων από τον υπεύθυνο επεξεργασίας στην Αρχή Ελέγχου για έλεγχο, (2) Έλεγχος και έκδοση σφραγίδας πιστοποίησης της πολιτικής προστασίας δεδομένων και (3) Επικύρωση της σφραγίδας από το υποκείμενο Υπηρεσία ασφάλειας Σχετίζεται με την απαίτηση για τήρηση της αρχής ασφάλειας από την πλευρά του υπευθύνου επεξεργασίας και περιλαμβάνει τις εξής γενικές λειτουργίες: (1) Καθορισμός μέτρων ασφάλειας και, (2) Διαχείριση μέτρων ασφάλειας Υπηρεσία πρόσβασης Σχετίζεται με το δικαίωμα πρόσβασης του υποκειμένου στα προσωπικά του δεδομένα και περιλαμβάνει τις παρακάτω επιμέρους λειτουργίες: (1) Αίτηση από το υποκείμενο προς τον υπεύθυνο επεξεργασίας και (2) Παροχή πρόσβασης από τον υπεύθυνο επεξεργασίας στα προσωπικά δεδομένα του υποκειμένου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 84

85 Υπηρεσία επιλογής αποκάλυψης ταυτότητας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Καλύπτει την απαίτηση του υποκειμένου να επιλέγει αν θα παραχωρήσει τα προσωπικά του δεδομένα ή θα παραμείνει ανώνυμος. Περιλαμβάνει τις εξής επιμέρους υπηρεσίες: (1) Ανωνυμία, (2) Ψευδωνυμία και (3) Προστασία δεδομένων. Τέλος, η παράκαμψη ανωνυμίας δεν θα παρέχεται σαν μια ανεξάρτητη υπηρεσία, αλλά θα ενσωματώνεται σε κάθε υπηρεσία στην οποία εμπλέκεται το υποκείμενο με τον υπεύθυνο επεξεργασίας. Ο Πίνακας 10 απεικονίζει τις απαιτήσεις χρήσης με τις προσφερόμενες υπηρεσίες. Υπηρεσίες Ανώνυμα Ενημέρωση Επίβλεψη Ασφάλεια Πρόσβαση Επιλογή αποκάλυψης Απαιτήσεις περιγράμματα Αρχή νομιμότητας συλλογής Αρχή σκοπού Αρχή αναλογικότητας Αρχή ακρίβειας Δικαίωμα πρόσβασης Αρχή ασφάλειας Αρχή ανωνυμίας Αρχή επίβλεψης Επιλογή αποκάλυψης Παράκαμψη ανωνυμίας Πίνακας 10: Αντιστοίχιση υπηρεσιών ΥΠΔ και απαιτήσεων χρήσης Η μη λειτουργική απαίτηση για την προστασία από τις απειλές κατά της ιδιωτικότητας των πληροφοριών στο Διαδίκτυο μπορεί να ικανοποιηθεί από τις ΤΠΙ (βλ. 2.7). Η μη λειτουργική απαίτηση για προστασία από τις απειλές κατά της ασφάλειας των πληροφοριών στο Διαδίκτυο απαιτεί την χρήση κρυπτογραφίας δημοσίου κλειδιού (βλ 2.4). Η χρήση των υπηρεσιών κρυπτογραφίας δημοσίου κλειδιού, με την σειρά της, απαιτεί την ύπαρξη μιας ΥΔΚ. Το παρακάτω σχήμα απεικονίζει τη σχέση μεταξύ απαιτήσεων χρήσης και υπηρεσιών της τεχνολογικής διαδικτυακής ΥΠΔ, ΤΠΙ και ΥΔΚ. Μερική εκπλήρωση Οικονομικό Πανεπιστήμιο Αθηνών Σελ 85

86 Σχήμα 10: Σχέση υπηρεσιών ΥΠΔ, ΤΠΙ και ΥΔΚ Ο Πίνακας 12 απεικονίζει συνοπτικά τη μεθοδολογία ανάπτυξης των υπηρεσιών και τις σελίδες της διατριβής όπου ο αναγνώστης δύναται να αναζητήσει τα αποτελέσματα της ερευνητικής προσπάθειας. Ρόλος Υποκείμενο επεξεργασίας Υπεύθυνος επεξεργασίας Αρχή Ελέγχου Υπηρεσίες ΥΠΔ Ανώνυμα περιγράμματα Ενημέρωση Επίβλεψη Ασφάλεια Πρόσβαση Επιλογή αποκάλυψης Πίνακας 11: Ρόλοι του εννοιολογικού μοντέλου που εμπλέκονται στην παροχή των υπηρεσιών ΥΠΔ Οι ΤΠΙ, σε μεγάλο βαθμό, χρησιμοποιούν υπηρεσίες κρυπτογράφησης δημοσίου κλειδιού (βλ. 2.8). Επιπλέον, η χρήση κρυπτοβιβλιοθηκών μπορεί να υποστηρίξει την ανάπτυξη υπηρεσιών προάσπισης της ιδιωτικότητας στο Διαδίκτυο [MOU-00b]. Κατά συνέπεια, οι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 86

87 υπηρεσίες της τεχνολογικής διαδικτυακής ΥΠΔ μπορούν να στηριχθούν στη χρήση κρυπτογραφίας δημοσίου κλειδιού. Υπηρεσίες ΥΠΔ Απαιτήσεις χρήστη Επιμέρους υπηρεσίες Μοντέλο αναφοράς Λειτουργίες Λειτουργική αρχιτεκτονική Τεχνολογίες υλοποίησης Σχέση με ΕΤΟ Πρόσβαση ανώνυμα περιγράμματα σε Σελ. 96 & Σελ. 104 Σελ. 106 Σχήμα 13 6 Σελ. 257 Δεν απαιτείται Πίνακας 15 Πίνακας 13 7 Ενημέρωση Σελ. 121 Σελ. 121 Σχήμα 14 Σελ. 121 Δεν απαιτείται 121 Δεν υπάρχει Επίβλεψη Σελ. 122 Σελ. 133 Σχήμα 15 Σελ. 133 Δεν απαιτείται Πίνακας 16 Δεν απαιτείται Ασφάλεια Σελ.138 Σελ. 146 Σχήμα 20 Σελ. 146 Σχήμα 19 Δεν υπάρχει Πρόσβαση Σελ. 181 Σελ. 181 Δεν απαιτείται Σελ. 181 Δεν απαιτείται Σελ. 181 Σελ. 181 Επιλογή αποκάλυψης Σελ. 158 Σελ 159 Σχήμα 23 Σελ. 162 Σχήμα 24 Πίνακας 18 Πίνακας 12: Συνοπτική παρουσίαση της ανάλυσης των υπηρεσιών της ΥΠΔ Σελ. 169 Το προτεινόμενο λειτουργικό μοντέλο για την τεχνολογική ΥΠΔ στο διαδίκτυο στηρίζεται στο αφαιρετικό μοντέλο σχέσεων και ρόλων που παρουσιάσθηκε στην παράγραφο 3.3. Οι αρχές και οι ρόλοι έχουν προκύψει από τη μελέτη των σύγχρονων κανονιστικών πλαισίων έτσι όπως αυτά έχουν διαμορφωθεί από τη δεκαετία του 70 ως σήμερα. Μεταβολή κάποιας από τις αρχές ή τους ρόλους που εμπλέκονται στο αφαιρετικό μοντέλο θα επηρεάσει και το λειτουργικό μοντέλο που προτείνεται. Σε αυτή την περίπτωση, πρέπει να προσδιορισθεί εκ νέου το αφαιρετικό μοντέλο και να ακολουθηθεί η προτεινόμενη μεθοδολογία (βλ ) ώστε να συγκροτηθεί το νέο λειτουργικό μοντέλο. 6 Μόνο για δικτυοενδιάμεσους. 7 Μόνο για τριτεγγύηση ταυτότητας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 87

88 3.5 Σύνοψη Τα συμπεράσματα του παρόντος κεφαλαίου μπορούν να συνοψισθούν ως εξής: Το πλαίσιο προστασίας δεδομένων, ως ένα ΠΣ το οποίο επεξεργάζεται προσωπικά δεδομένα, εμπεριέχει ένα εννοιολογικό-αφαιρετικό μοντέλο, ρόλων και σχέσεων, που προέρχεται από τον πραγματικό κόσμο και ένα μηχανισμό αντίληψης πραγματικών γεγονότων και μεταγλώττισής τους σε αυτό το μοντέλο. Το μοντέλο κατασκευάζεται με βάση τους ρόλους και τις γενικές αρχές της προστασίας δεδομένων (βλ. Σχήμα 8). Με δεδομένη την ύπαρξη ενός αφαιρετικού μοντέλου, ο στόχος της διατριβής είναι η συγκρότηση του λειτουργικού μοντέλου προστασίας δεδομένων. Η διαδικτυακή τεχνολογική ΥΠΔ είναι ένα ΠΣ και για την μετάβαση από το εννοιολογικό στο εικονικό μοντέλο, ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: απαιτήσεις χρήστη υπηρεσίες μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική τεχνολογίες υλοποίησης. Οι παραπάνω παραδοχές συνθέτουν μια επιστημονική προσέγγιση η οποία κινείται στο τεταρτημόριο του λειτουργισμού (βλ. Σχήμα 7). προσδιορίστηκαν οι απαιτήσεις χρήσης της διαδικτυακής τεχνολογικής ΥΠΔ και οι υπηρεσίες που τις ικανοποιούν (Πίνακας 10). οι υπηρεσίες της ΥΠΔ περιλαμβάνουν: επιλογή αποκάλυψης ταυτότητας, πρόσβαση σε ανώνυμα περιγράμματα, ενημέρωση, επίβλεψη, ασφάλεια και πρόσβαση. η υποστήριξη των παραπάνω υπηρεσιών απαιτεί την ύπαρξη μιας ΥΔΚ. Στο σημείο αυτό ολοκληρώνεται το Α' μέρος της διατριβής. Πριν προχωρήσουμε στο Β' μέρος, που σχετίζεται με τεχνολογικά ζητήματα των υπηρεσιών της τεχνολογικής διαδικτυακής ΥΠΔ, κρίνεται απαραίτητη η παρεμβολή του σχήματος 11, που απεικονίζει τη διαγραμματική περίληψη από την αρχή της διατριβής έως αυτό το σημείο, και προετοιμάζει την εισαγωγή στο επόμενο μέρος της διατριβής. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 88

89 Σχήμα 11: Διαγραμματική απεικόνιση σχέσης μεταξύ Α και Β μερών της διατριβής Οικονομικό Πανεπιστήμιο Αθηνών Σελ 89

90 ΜΕΡΟΣ Β' 4 ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ Με την εμφάνιση των απευθείας (on-line) συναλλαγών και του ηλεκτρονικού εμπορίου, πολλοί διαδικτυακοί τόποι διατηρούν ίχνη των επισκεπτών τους και συλλέγουν πληροφορίες που τους αφορούν με σκοπό τη προσαρμογή τους (των διαδικτυακών τόπων) στις απαιτήσεις των χρηστών. Η IP διεύθυνση του υπολογιστή, ο χρησιμοποιούμενος φυλλομετρητής, ο τύπος του υπολογιστή που χρησιμοποίησε ο χρήστης σε προηγούμενες επισκέψεις του σε ένα ή περισσότερους διαδικτυακούς τόπους περιλαμβάνονται, μεταξύ άλλων, στα ίχνη που αφήνει κάποιος χρήστης κατά την διάρκεια της πλοήγησής του στο Διαδίκτυο. Τα ίχνη αυτά ονομάζονται δεδομένα συναλλαγής (transactional data), click stream data ή mouse droppings. Τα δεδομένα αυτά συνήθως είναι ελλιπή και δεν μπορούν, από μόνα τους, να χρησιμεύσουν για την αναγνώριση ενός συγκεκριμένου επισκέπτη. Η κατ' επανάληψη όμως συλλογή των στοιχείων αυτών, σε διάφορα μέρη του Διαδικτύου και η συσχέτισή τους μπορεί να οδηγήσει στην δημιουργία περιγραμμάτων (profiles) της συμπεριφοράς ενός χρήστη κατά την διάρκεια των επισκέψεων του στο Διαδίκτυο. Η δημιουργία καταναλωτικών περιγραμμάτων συνιστά παραβίαση των βασικών αρχών προστασίας δεδομένων. Αυτό οφείλεται, στη συνήθη πρακτική των υπευθύνων επεξεργασίας να συλλέγουν προσωπικά δεδομένα εν αγνοία των υποκειμένων. Οι βασικές αρχές που παραβιάζονται είναι: η αρχή της τιμιότητας και νομιμότητας διότι το υποκείμενο δεν λαμβάνει γνώση της συλλογής. η αρχή της ανωνυμίας διότι δεν ανακοινώνεται ο χρόνος τήρησης των δεδομένων. η αρχή της αναλογικότητας διότι δύναται να συλλεχθούν δεδομένα υπερβάλλοντα του σκοπού συλλογής. Η αρχή της τιμιότητας και νομιμότητας (βλ ), προβλέπει ότι το υποκείμενο λαμβάνει γνώση των προσωπικών δεδομένων που διαβιβάζει στον υπεύθυνο επεξεργασίας. Το μοναδικό όπλο του υποκειμένου κατά της παραβίασης της αρχής της τιμιότητας και νομιμότητας στο διαδίκτυο, είναι η ανωνυμία ή/και ψευδωνυμία. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 90

91 Με την χρήση κάποιου ψευδώνυμου το υποκείμενο μπορεί να αποκτήσει πρόσβαση σε ανώνυμα περιγράμματα καταναλωτικής συμπεριφοράς. Ως ανώνυμα θεωρούνται τα περιγράμματα των οποίων οι τιμές δεν μπορούν να προσδιορίσουν ένα φυσικό πρόσωπο. Η πρόσβαση σε ανώνυμα περιγράμματα εξασφαλίζει αφενός την επιλογή του υποκειμένου σχετικά με την αποκάλυψη των προσωπικών του δεδομένων και αφετέρου την νομιμότητα της συλλογής των δεδομένων από τη στιγμή που κανένα κανονιστικό πλαίσιο δεν αντιτίθεται στην συλλογή ανωνυμοποιημένων προσωπικών δεδομένων. Ο προστάτης ταυτότητας, που παρουσιάζεται στο έκτο κεφάλαιο της διατριβής, δίνει τη δυνατότητα ανωνυμίας ή/και ψευδωνυμίας στο υποκείμενο, ικανοποιώντας παράλληλα την απαίτηση για επιλογή αποκάλυψης της ταυτότητάς του στα πλαίσια του οργανισμού στον οποίο δρα. Από την άλλη πλευρά, ο προστάτης ταυτότητας δεν είναι κατάλληλος για διενέργεια απευθείας εμπορικών συναλλαγών διότι απαιτείται ο υπεύθυνος επεξεργασίας να έχει εμπιστοσύνη στις διαδικασίες παράκαμψης ανωνυμίας που ακολουθεί ο διαχειριστής του ΠΣ του υποκειμένου. Αυτή η συνθήκη ικανοποιείται σπάνια σε ένα ανοικτό περιβάλλον όπως το Διαδίκτυο (θα πρέπει ο υπεύθυνος επεξεργασίας να γνωρίζει τον διαχειριστή του ΠΣ). Υπάρχουν δύο λύσεις για να υπερκερασθεί το πρόβλημα της έλλειψης εμπιστοσύνης στις διαδικασίες παράκαμψης ανωνυμίας, σε περιπτώσεις όπου το υποκείμενο είναι ανώνυμο, και ταυτόχρονα να αποκτήσει πρόσβαση σε ένα ανώνυμο περίγραμμα: α) να αποκτήσει το υποκείμενο ένα ανώνυμο πιστοποιητικό από κάποια ΕΤΟ που εμπιστεύονται το υποκείμενο και ο υπεύθυνος επεξεργασίας, και στην συνέχεια να έλθει σε απ' ευθείας επικοινωνία με τον υπεύθυνο επεξεργασίας. β) να αποκτήσει το υποκείμενο ένα ανώνυμο πιστοποιητικό από κάποια ΕΤΟ και στην συνέχεια να έλθει σε επικοινωνία με τον υπεύθυνο επεξεργασίας μέσω κάποιου ενδιάμεσου (intermediary) τον οποίο εμπιστεύονται και οι δύο. Στόχος του παρόντος κεφαλαίου είναι η παρουσίαση αυτών των δύο εναλλακτικών επιλογών ανωνυμίας, που επιτρέπουν την πρόσβαση του υποκειμένου σε ανώνυμα περιγράμματα. Αυτό γίνεται με την παρουσίαση δύο πρωτότυπων μηχανισμών πρόσβασης σε ανώνυμα περιγράμματα (βλ και 4.4.3). Η επίτευξη του στόχου γίνεται ακολουθώντας τα παρακάτω βήματα: 1. Ανάλυση των τεχνικών που χρησιμοποιούν οι υπεύθυνοι επεξεργασίας και οδηγούν στην ανάγκη για χρήση ανώνυμων περιγραμμάτων. 2. Παρουσίαση των εναλλακτικών επιλογών απόκτησης πρόσβασης σε ανώνυμα περιγράμματα. 3. Παρουσίαση της υπηρεσίας της διαδικτυακής τεχνολογικής ΥΠΔ, "Πρόσβαση σε ανώνυμα περιγράμματα" που επιτρέπει στα υποκείμενα επεξεργασίας να έχουν πρόσβαση σε ανώνυμα περιγράμματα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 91

92 4.1 Μηχανισμοί συλλογής προσωπικών δεδομένων και δημιουργία περιγραμμάτων συμπεριφοράς στο διαδίκτυο Τα cookies (βλ ) και οι απευθείας φόρμες είναι οι ευρύτερα χρησιμοποιούμενοι μηχανισμοί συλλογής προσωπικών δεδομένων στο Διαδίκτυο. Ο σκοπός της χρήσης των μηχανισμών αυτών είναι διττός: 1. Αυθεντικοποίηση: Κάθε υποκείμενο αντιστοιχίζεται με ένα μοναδικό αναγνωριστικό που το αυθεντικοποιεί στον διαδικτυακό τόπο που επισκέπτεται. Έτσι, κάθε φορά που το υποκείμενο επανέρχεται στο διαδικτυακό τόπο δεν χρειάζεται να εισάγει εκ νέου στοιχεία αναγνώρισης και ταυτοποίησης. 2. Δημιουργία περιγραμμάτων συμπεριφοράς: Ως περίγραμμα (profile), νοείται μια ιεραρχική συλλογή από προσωπικές πληροφορίες, της οποίας τα χαρακτηριστικά και οι σχετικές τιμές προσδιορίζουν ένα υποκείμενο δεδομένων. Τα περιγράμματα χρησιμοποιούνται για την εξατομίκευση (personalization) ή προσαρμογή στις απαιτήσεις των πελατών (customization) των διαδικτυακών τόπων, με απώτερο σκοπό την παροχή καλύτερων υπηρεσιών από τους ιδιοκτήτες των διαδικτυακών τόπων (υπεύθυνοι επεξεργασίας) προς τους πελάτες τους (υποκείμενα επεξεργασίας). Η ολοκληρωμένη επεξεργασία των περιγραμμάτων οδηγεί στην αποκάλυψη πλευρών της ιδιωτικής ζωής του ατόμου και επομένως αποτελεί παραβίαση του κανονιστικού πλαισίου προστασίας προσωπικών δεδομένων. Σχετικές, με την συμπεριφορά των χρηστών στο διαδίκτυο, έρευνες ([TEL-03], [KOC-02], [ATT-99]) δείχνουν ότι οι χρήστες του Διαδικτύου είναι πολύ επιφυλακτικοί στην διαβίβαση των προσωπικών τους δεδομένων ειδικά όταν αυτή γίνεται εν αγνοία τους. Η πρακτική των παραπάνω μηχανισμών έχει τα παρακάτω αρνητικά αποτελέσματα: α) λόγω της επιφυλακτικότητάς τους, τα υποκείμενα τροφοδοτούν τις απευθείας φόρμες με ψευδή στοιχεία [FOX-00]. Αυτό έχει σαν αποτέλεσμα την υποβάθμιση της ποιότητας των στοιχείων που συλλέγονται για την προσαρμογή των διαδικτυακών τόπων στις απαιτήσεις των υποκειμένων. Επομένως οι απευθείας φόρμες εκφυλίζουν, επί του πρακτέου, τον σκοπό για τον οποίο αυτές κατασκευάσθηκαν. β) η εισαγωγή ενός cookie στο υπολογιστικό σύστημα γίνεται, με πλήρη (αποδοχή του χωρίς πρότερη γνώση της ύπαρξής του) ή μερική άγνοια του υποκειμένου (αποδοχή του με πρότερη γνώση της ύπαρξής του αλλά χωρίς γνώση του περιεχομένου ή των συνεπειών εγκατάστασής του). Σε κάθε περίπτωση εγκατάστασης του cookie, το υποκείμενο δεν έχει πλήρη επίγνωση της πράξης του. γ) η επιλογή να μην παραχωρήσει τα προσωπικά του δεδομένα ή να απορρίψει την εγκατάσταση ενός cookie στον υπολογιστή του, συνοδεύεται από υποβάθμιση της υπηρεσίας που προσφέρει ο διαδικτυακός τόπος στο συγκεκριμένο υποκείμενο επεξεργασίας. Η πρακτική αυτή συνιστά, ουσιαστικά, έμμεσο εκβιασμό που καταργεί την ελευθερία επιλογής και επηρεάζει (bias) την έκφραση βούλησης του υποκειμένου επεξεργασίας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 92

93 δ) οι παραπάνω μηχανισμοί έχουν σχεδιασθεί χωρίς πρόβλεψη για την εξισορρόπηση των διαφορετικών απαιτήσεων (πολύπλευρης) ασφάλειας και των συμφερόντων των υποκειμένων και των υπευθύνων επεξεργασίας. Για παράδειγμα, κανένας από τους παραπάνω μηχανισμούς δεν διασφαλίζει τον υπεύθυνο σε περιπτώσεις όπου το υποκείμενο επεξεργασίας αποποιείται (repudiate) τις απευθείας δραστηριότητές του. Από τα παραπάνω προβλήματα, γίνεται φανερό ότι οι υπάρχοντες απευθείας μηχανισμοί συλλογής προσωπικών δεδομένων είτε οδηγούν σε εκφυλισμό του στόχου για τον οποίο κατασκευάσθηκαν (αφορά στις απευθείας φόρμες) είτε παραβιάζουν την αρχή της τιμιότητας και νομιμότητας (αφορά στα cookies). Με δεδομένα τα προβλήματα των υπαρχόντων μηχανισμών συλλογής προσωπικών δεδομένων, η δημιουργία και επεξεργασία ανώνυμων περιγραμμάτων συμπεριφοράς των υποκειμένων προβάλλουν ως βιώσιμοι εναλλακτικοί μηχανισμοί νομιμοποίησης της απευθείας συλλογής δεδομένων. Η χρήση όμως ψευδωνύμων, προϋποθέτει την ύπαρξη τεχνολογιών κατάλληλων για την διαχείριση των διαφορετικών ψευδωνύμων που υιοθετεί το υποκείμενο επεξεργασίας στο ψηφιακό κόσμο. 4.2 Ανώνυμη πρόσβαση στα περιγράμματα συμπεριφοράς Ανώνυμο είναι το περίγραμμα συμπεριφοράς που τα χαρακτηριστικά και σχετικές τιμές δεν επιτρέπουν την ταυτοποίηση του υποκειμένου που τις δημιούργησε. Πρακτικά, αυτό σημαίνει ότι για να χαρακτηρισθεί ένα περίγραμμα συμπεριφοράς ως ανώνυμο πρέπει είτε να απουσιάζουν τα προσωπικά δεδομένα ταυτοποίησης φυσικών προσώπων (πλήρης ανωνυμοποίηση), είτε να αντικατασταθούν με τυχαίες συμβολοσειρές (ψευδώνυμα). Υπάρχει διαβάθμιση στα ανώνυμα περιγράμματα σχετικά με την δυνατότητα εξατομίκευσης των καταναλωτικών αναγκών του υποκειμένου. Ένας παράγοντας που καθορίζει την ποιότητα της εξατομίκευσης, ανάμεσα σε άλλους, είναι το είδος της ανωνυμίας που χρησιμοποιείται. Στις περιπτώσεις διακριβώσιμης ή μόνιμης ψευδωνυμίας (ή ανωνυμίας, βλ , υπ.,15 και 16), όπου το υποκείμενο χρησιμοποιεί το ίδιο ψευδώνυμο για ικανό χρονικό διάστημα, ο υπεύθυνος επεξεργασίας έχει τη δυνατότητα καλύτερης εξατομίκευσης στηριζόμενος στο ψευδώνυμο που χρησιμοποιεί το υποκείμενο κατά την διάρκεια των επισκέψεών του στο δικτυακό τόπο. Αντίθετα στις περιπτώσεις μη διακριβώσιμης ή προσωρινής ψευδωνυμίας (ή ανωνυμίας), όπου το υποκείμενο δεν χρησιμοποιεί το ίδιο ψευδώνυμο (αλλάζει ψευδώνυμο γρήγορα), οι δυνατότητες εξατομίκευσης ελαχιστοποιούνται. Η υπηρεσία "Πρόσβαση σε ανώνυμα περιγράμματα" της τεχνολογικής διαδικτυακής ΥΠΔ, πρέπει να παρέχει και τις δύο δυνατότητες στα υποκείμενα. Ο προστάτης ταυτότητας (βλ. 6.2) δεν μπορεί να χρησιμοποιηθεί για την διενέργεια συναλλαγών στο Διαδίκτυο, παρά το γεγονός ότι προσφέρει και τα δύο είδη ανωνυμίας (βλ 6.4.1). Αυτό οφείλεται στο γεγονός ότι δεν υπάρχει εμπιστοσύνη του υπευθύνου επεξεργασίας στις διαδικασίες παράκαμψης ανωνυμίας (βλ ). Η εμπιστοσύνη μπορεί να δημιουργηθεί μόνο αν υπάρχει κάποιος έμπιστος ενδιάμεσος, ο οποίος δεν εμπλέκεται, στις συναλλαγές μεταξύ υποκειμένου και Οικονομικό Πανεπιστήμιο Αθηνών Σελ 93

94 υπευθύνου επεξεργασίας (μέσω των υπηρεσιών ΕΤΟ). Δύο τρόποι παρέχονται για την διαμεσολάβηση: 1. Να αποκτήσει το υποκείμενο ένα ανώνυμο πιστοποιητικό από κάποια ΕΤΟ, που εμπιστεύονται το υποκείμενο και ο υπεύθυνος επεξεργασίας, και στην συνέχει να έλθει σε απ' ευθείας επικοινωνία με τον υπεύθυνο επεξεργασίας. Στην περίπτωση αυτή το υποκείμενο μπορεί να κάνει χρήση δύο εναλλακτικών τεχνικών λύσεων: (α) να αποκτήσει ένα πιστοποιητικό το οποίο αναγράφει ένα ψευδώνυμο αντί της πραγματικής ταυτότητάς του (ανώνυμο πιστοποιητικό). Η λύση αυτή προσφέρει διακριβώσιμη ψευδωνυμία (ή ανωνυμία) στο υποκείμενο επεξεργασίας. (β) να αποκτήσει ένα πιστοποιητικό που δεν αναγράφει ταυτότητα (ούτε ψευδώνυμο), παρέχοντας παράλληλα τη δυνατότητα στον υπεύθυνο επεξεργασίας να εξακριβώσει ότι η ΕΤΟ, την οποία εμπιστεύεται ο υπεύθυνος, γνωρίζει την ταυτότητα του υποκειμένου επεξεργασίας. Η λύση αυτή είναι γνωστή στη βιβλιογραφία με τον όρο Τριτεγγύηση Ταυτότητας (Identity Escrow) και η ανάλυσή της δίνεται στις επόμενες παραγράφους (βλ 4.3.2). 2. Να αποκτήσει το υποκείμενο ένα ανώνυμο πιστοποιητικό από κάποια ΕΤΟ και στην συνέχεια να έλθει σε επικοινωνία με τον υπεύθυνο επεξεργασίας μέσω κάποιου δικτυοενδιάμεσου (infomediary) τον οποίο εμπιστεύονται και οι δύο (βλ 4.4). Τα ανώνυμα πιστοποιητικά και η τριτεγγύηση ταυτότητας μπορούν να χρησιμοποιηθούν σε συνδυασμό με τους δικτυοενδιάμεσους. 4.3 Πρόσβαση σε ανώνυμα περιγράμματα χωρίς διαμεσολάβηση τρίτου Ανώνυμα πιστοποιητικά Η χρήση των ανώνυμων πιστοποιητικών είναι πολύ απλή. Το υποκείμενο, ζητά την έκδοση ενός πιστοποιητικού από μια ΕΤΟ, την οποία εμπιστεύεται το υποκείμενο και ο υπεύθυνος επεξεργασίας, στο οποίο δεν αναγράφεται η πραγματική ταυτότητα του υποκειμένου. Η ΕΤΟ προχωρά σε αυθεντικοποίηση του υποκειμένου, καταγράφει σε κάποιο τοπικό αρχείο, την αντιστοίχιση μεταξύ φυσικής ταυτότητας και ψευδωνύμου και στην συνέχεια προχωρά στην έκδοση πιστοποιητικού στο οποίο αναγράφεται το ψευδώνυμο. Το υποκείμενο, μπορεί να χρησιμοποιεί, πλέον, το ανώνυμο πιστοποιητικό για να το εμπιστευθεί ο υπεύθυνος επεξεργασίας. Σε περίπτωση διένεξης μεταξύ υποκειμένου και υπευθύνου επεξεργασίας, ο τελευταίος μπορεί να αιτηθεί την ενεργοποίηση των διαδικασιών παράκαμψης ανωνυμίας (βλ ). Το υποκείμενο επεξεργασίας μπορεί να αιτηθεί την έκδοση ενός ανώνυμου πιστοποιητικού κάνοντας χρήση των σχετικών υπηρεσιών του προστάτη ταυτότητας (βλ ). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 94

95 4.3.2 Τριτεγγύηση ταυτότητας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Η έννοια της τριτεγγύησης ταυτότητας πρωτοεμφανίστηκε από τους Joe Kilian και Erez Petrank στα 1997 στο άρθρο τους με τίτλο "Identity Escrow" και αποτελεί εφαρμογή των αρχών της τριτεγγύησης κλειδιού (key escrow) στην αυθεντικοποίηση προσώπων [KIL-97]. Το κίνητρο για την παραγωγή της, υπήρξε η παρατήρηση των συγγραφέων ότι η πραγματική ταυτότητα δύο οντοτήτων που επικοινωνούν είναι απαραίτητη μόνο σε εξαιρετικές περιπτώσεις (π.χ. αποποίηση ευθύνης κάποιας πράξης). Στις περιπτώσεις όπου δεν υπάρχει διένεξη μεταξύ των ενδιαφερομένων μερών, δεν υπάρχει ανάγκη επίδειξης της πραγματικής ταυτότητας και αρκεί η απόδειξη ότι κάποια κοινή, τρίτη και έμπιστη οντότητα γνωρίζει την ταυτότητα τους. Η προσέγγισή αυτή, δημιουργεί δύο επίπεδα αυθεντικοποίησης: (α) στο κατώτερο επίπεδο, κανονική λειτουργία του μοντέλου, τα εμπλεκόμενα στην επικοινωνία μέρη δίνουν μόνο τόσες πληροφορίες όσες είναι απολύτως απαραίτητες για την επικοινωνία (αρχή αναλογικότητας, βλ 2.1.6) και (β) στο ανώτερο επίπεδο, επίλυση συγκρούσεων, τα εμπλεκόμενα μέρη αποκαλύπτουν την πραγματική τους ταυτότητα με την βοήθεια μιας τρίτης οντότητας. Οι μηχανισμοί που χρησιμοποιούν την τριτεγγύηση ταυτότητας ικανοποιούν τα παρακάτω χαρακτηριστικά: α) παρέχουν τεκμήρια για την επίλυση συγκρούσεων μεταξύ των διαφορετικών επιδιώξεων ασφάλειας και συμφερόντων των εμπλεκόμενων στην επικοινωνία μερών. β) τα εμπλεκόμενα μέρη έχουν διαφορετικές επιδιώξεις από την επικοινωνία: ο αποστολέας θέλει να διατηρήσει την ανωνυμία του (κατώτερο επίπεδο του μοντέλου) ενώ ο παραλήπτης θέλει να αποφύγει περιπτώσεις αποποίησης ευθύνης του αποστολέα (ανώτερο επίπεδο του μοντέλου). Η τριτεγγύηση ταυτότητας εξισορροπεί την τάση για μη διακριβώσιμη ανωνυμία (βλ ) των χρηστών του Διαδικτύου με την τάση για χρήση μηχανισμών ισχυρής αυθεντικοποίησης των ιδιοκτητών διαδικτυακών τόπων. Επιπλέον, η χρήση των έμπιστων τρίτων οντοτήτων διασφαλίζει την ύπαρξη μηχανισμού επίλυσης συγκρούσεων (βλ ). γ) δεν απαιτείται η ύπαρξη εμπιστοσύνης μεταξύ των εμπλεκόμενων μερών ενώ χρειάζεται η ελάχιστη εμπιστοσύνη στην τεχνολογία που χρησιμοποιεί η ΕΤΟ για την έκδοση της ταυτότητας και την επιβεβαίωσή της σε περιπτώσεις διενέξεων. Το αρχικό μοντέλο τριτεγγύησης ταυτότητας στηρίζεται στην χρήση ψηφιακών πιστοποιητικών, γνωστών κρυπτογραφικών συστημάτων ([RIV-78], [ELG-84]) ενώ η απόδειξη κατοχής ψηφιακού πιστοποιητικού γίνεται με την χρήση ενός πρωτοκόλλου μηδενικής γνώσης (zero knowledge protocol). Το υποκείμενο δεν χρησιμοποιεί το ψηφιακό πιστοποιητικό του για να αυθεντικοποιηθεί, -κάτι τέτοιο θα αποκάλυπτε την ταυτότητά τουαλλά παρέχει μια απόδειξη, στον υπεύθυνο επεξεργασίας, ότι κατέχει ψηφιακό Οικονομικό Πανεπιστήμιο Αθηνών Σελ 95

96 πιστοποιητικό από μια οντότητα που εμπιστεύονται και οι δύο. Η επιβεβαίωση αυτής της απόδειξης αποτελεί ουσιαστικά την τριτεγγύηση ταυτότητας. Τα πλεονεκτήματα της παραπάνω προσέγγισης είναι: (α) προσφέρει μη διακριβώσιμη ανωνυμία στο υποκείμενο επεξεργασίας και (β) εξισορροπεί την τάση για μη διακριβώσιμη ανωνυμία των χρηστών του Διαδικτύου με την τάση για χρήση μηχανισμών ισχυρής αυθεντικοποίησης των ιδιοκτητών δικτυακών τόπων. Το κύριο μειονέκτημά της είναι ότι η πρακτική χρήση αγνωστικών πρωτοκόλλων είναι μηδαμινή και για το λόγο αυτό είναι δύσκολο να ενσωματωθεί στην υπάρχουσα τεχνολογική διαδικτυακή υποδομή. Αυτό έρχεται σε αντίθεση με την απαίτηση χρήσης της ΥΠΔ, που αναφέρεται στην ευκολία ενσωμάτωσης των προτεινόμενων τεχνολογιών (βλ ). Επιπλέον, στην αρχική της μορφή, δεν παρέχεται μηχανισμός επικύρωσης της εγκυρότητας του πιστοποιητικού που κατέχει ο αποστολέας. Στην παρούσα διατριβή, προτείνεται η αντικατάσταση του αγνωστικού πρωτοκόλλου με την ύπαρξη ενός ψηφιακού τεκμηρίου που η σχεδίασή του στηρίζεται στην χρήση συναρτήσεων σύνοψης (βλ. 2.4) [GRI-01a] Η χρήση συναρτήσεων σύνοψης στην τριτεγγύηση ταυτότητας Στο μοντέλο τριτεγγύησης ταυτότητας που παρουσιάζεται συμμετέχουν οι παρακάτω οντότητες: 1. Η ΕΤΟ (ΕΤΟ) παρέχει τις υπηρεσίες τριτεγγύησης ταυτότητας στα πλαίσια μιας πρόσθετης υπηρεσίας προστασίας της ανωνυμίας των συνδρομητών της. 2. Το υποκείμενο (Υκ) επεξεργασίας κατέχει ένα ψηφιακό τεκμήριο τριτεγγύησης ταυτότητας. 3. Ο υπεύθυνος (Υθ) επεξεργασίας επικυρώνει το τεκμήριο τριτεγγύησης ταυτότητας. Επιπλέον, αποστέλλει ψηφιακές αποδείξεις, προκειμένου να αποκαλυφθεί η πραγματική ταυτότητα του υποκειμένου, στην ΕΤΟ, σε περιπτώσεις όπου το τελευταίο αποποιείται τις ευθύνες των πράξεών του. Τα εμπλεκόμενα μέρη εκτελούν τα παρακάτω πρωτόκολλα: 1. Έκδοση ψηφιακού τεκμηρίου τριτεγγύησης ταυτότητας κατόπιν αιτήσεως του Υκ προς την ΕΤΟ. 2. Επικύρωση ψηφιακού τεκμηρίου τριτεγγύησης ταυτότητας του Υκ από τον Υθ. 3. Αποκάλυψη πραγματικής ταυτότητας του Υκ, κατόπιν προσκόμισης ψηφιακών αποδείξεων, από πλευράς του Υθ προς την ΕΤΟ Απαιτήσεις ασφάλειας Οι απαιτήσεις από ένα ασφαλές σχήμα τριτεγγύησης ταυτότητας είναι [KIL-97]: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 96

97 1. Επιτυχής λειτουργία του πρωτοκόλλου έκδοσης του τεκμηρίου. Αν το Υκ λάβει ένα τεκμήριο από την ΕΤΟ ακολουθώντας το πρωτόκολλο έκδοσης τεκμηρίου, τότε η πιθανότητα να πείσει τον Υθ ότι η ΕΤΟ γνωρίζει την ταυτότητα του Υκ ισούται με Είναι δύσκολη η προσποίηση κατοχής νόμιμου τεκμηρίου. Ένα Υκ το οποίο παρουσιάζει ένα πλαστό τεκμήριο θα αποτύχει να πείσει τον Υθ με πιθανότητα Η πραγματική ταυτότητα του υποκειμένου δεν αποκαλύπτεται. Ο Υθ λαμβάνει εγγύηση μόνο περί του γεγονότος ότι το Υκ κατέχει ένα νόμιμο ψηφιακό πιστοποιητικό από την ΕΤΟ (επομένως η ΕΤΟ, και μόνο, γνωρίζει την πραγματική του ταυτότητα). 4. Είναι δύσκολη η παράκαμψη της τριτεγγύησης. Η πιθανότητα, ένα Υκ να ολοκληρώσει επιτυχώς το πρωτόκολλο επικύρωσης του τεκμηρίου και η αποκάλυψη της πραγματικής του ταυτότητας να αποτύχει, είναι 0. Για την παρουσίαση των παραπάνω πρωτοκόλλων ακολουθούνται οι παρακάτω συντομογραφίες: H n (CertΥκ, RV): το αποτέλεσμα της εφαρμογής n επαναλήψεων μιας συνάρτησης σύνοψης, ελεύθερης συγκρούσεων (collision free), με δεδομένα εισόδου το πιστοποιητικό του χρήστη (CertΥκ) και έναν ψευδοτυχαίο αριθμό (RV). Πληροφορία Ταυτοποίησης της ΕΤΟ (ΠΤΕΤΟ): πληροφορίες σχετικές με την ταυτότητα της ΕΤΟ. Ο ακρογωνιαίος λίθος του σχήματος τριτεγγύησης ταυτότητας που προτείνεται είναι ένα κρυπτογραφικό σύμβολο (τεκμήριο) το οποίο ονομάζεται Σύμβολο Αυθεντικοποίησης που Προστατεύει την Ιδιωτικότητα ΣΑΠΙ, (Privacy-Protected Authentication Token) [GRI-01a], το οποίο μπορεί να εκδοθεί από μια ΕΤΟ (βλ ). Το υποκείμενο επεξεργασίας μπορεί να ζητήσει την έκδοση ενός ΣΑΠΙ με χρήση των υπηρεσιών του προστάτη ταυτότητας (βλ ). Για την απόκτηση ενός τέτοιου τεκμηρίου από το υποκείμενο, ο αιτών απαιτείται όπως έχει στην κατοχή του ένα ψηφιακό πιστοποιητικό που έχει εκδοθεί από την ΕΤΟ που πρόκειται να εκδώσει το ΣΑΠΙ. Το ΣΑΠΙ αποτελείται από τις πληροφορίες {H n (CertΥκ, RV), ΠΤΕΤΟ, URLRS, DIΣΑΠΙ, EDΣΑΠΙ} υπογεγραμμένες με το ιδιωτικό κλειδί της ΕΤΟ (ΙΚΕΤΟ) όπου: URLRS: ένας URL που δείχνει σε έναν δικτυακό τόπο που περιέχει πληροφορίες σχετικές με την κατάσταση απόσυρσης (revocation status) του ΣΑΠΙ. ΗΕΣΑΠΙ: ημερομηνία έκδοσης του ΣΑΠΙ. ΗΛΣΑΠΙ: ημερομηνία λήξης εγκυρότητας του ΣΑΠΙ Έκδοση ψηφιακού τεκμηρίου τριτεγγύησης ταυτότητας Για την έκδοση του ΣΑΠΙ λαμβάνουν χώρα οι παρακάτω ενέργειες: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 97

98 Βήμα 1. Αρχικά το Υκ στέλνει στην ΕΤΟ την αίτηση (R) έκδοσης ΣΑΠΙ, που περιέχει το CertΥκ, κρυπτογραφημένη με το δημόσιο κλειδί της. Υκ->ΕΤΟ: {R}ΔΚΕΤΟ Βήμα 2. Η ΕΤΟ υπολογίζει το χρόνο n που μεσολαβεί από την ημερομηνία παραλαβής της αίτησης μέχρι την ημερομηνία λήξης εγκυρότητας του πιστοποιητικού του Υκ (n=σημερινή ημερομηνία - ΗΛCertΥκ). Υπολογίζει το H n (CertΥκ, RV). Βήμα 3. Συλλέγει τις πληροφορίες ΠΤΕΤΟ, URLRS, ΗΕΣΑΠΙ, ΗΛΣΑΠΙ και υπογράφει ψηφιακά τα παραπάνω στοιχεία με το ιδιωτικό της κλειδί (βλ ). Βήμα 4. Το ΣΑΠΙ αποστέλλεται στο Υκ μαζί με τις παρακάτω πληροφορίες: H(Cert Υκ, RV), n, RV. ΕΤΟ->Υκ: ΣΑΠΙΥκ, H(CertΥκ, RV), n, RV Βήμα 5. Η ΕΤΟ αποθηκεύει στην τοπική βάση δεδομένων που διατηρεί, το ΣΑΠΙ του Υκ μαζί με ένα σύνδεσμο (link) προς το πιστοποιητικό του (ΣΑΠΙΥκ-> CertΥκ). Αναγκαία συνθήκη για την ασφαλή λειτουργία του πρωτοκόλλου είναι ότι η ημερομηνία λήξης εγκυρότητας του ΣΑΠΙ θα πρέπει να είναι ίση με την ημερομηνία λήξης εγκυρότητας του πιστοποιητικού του χρήστη. Βήμα 6. Το Υκ αποθηκεύει το ΣΑΠΙ Επικύρωση τεκμηρίου ΗΛΣΑΠΙ = ΗΛCertΥκ, (4.1) Έστω το Υκ επικοινωνεί με τον Υθ και ζητείται από τον Υθ η αυθεντικοποίηση του Υκ έτσι ώστε να μην μπορεί αργότερα να αποποιηθεί τις ευθύνες του κατά την διάρκεια της επικοινωνίας. Σε αυτή την περίπτωση λαμβάνουν χώρα οι παρακάτω ενέργειες: Βήμα 1. Το Υκ υπολογίζει την τιμή k που ισοδυναμεί με τις μονάδες χρόνου που έχουν περάσει από την στιγμή που εκδόθηκε το ΣΑΠΙΥκ. Βήμα 2. Στην συνέχεια υπολογίζει την τιμή H n-k εφαρμόζοντας την συνάρτηση H n-k-1 φορές στην τιμή H(CertΥκ, RV) και την αποστέλλει στον Υθ. Υκ->Υθ: ΣΑΠΙΥκ, H n-k (CertΥκ, RV) Βήμα 3. Ο Υθ επιβεβαιώνει την εγκυρότητα του ΣΑΠΙ που λαμβάνει χρησιμοποιώντας το URLRS. Ένα ΣΑΠΙ ακυρώνεται όταν παύει να ισχύει η συνθήκη (4.1) ή έχει ανακληθεί το CertΥκ. Βήμα 4. Σε περίπτωση που είναι έγκυρο υπολογίζει και αυτός την τιμή k και επιβεβαιώνει την αυθεντικότητα της τιμής H n (CertΥκ, RV) που περιέχεται στο ΣΑΠΙΥκ δεδομένου ότι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 98

99 (Η k (H n-k (CertΥκ, RV))= H n (CertΥκ, RV)). Κατ αυτόν τον τρόπο το Υκ αυθεντικοποιείται από τον Υθ διότι μόνο το Υκ (και η ΕΤΟ) θα μπορούσαν να έχουν υπολογίσει την τιμή H n- k (CertΥκ, RV) στην συγκεκριμένη χρονική στιγμή k. Από την άλλη πλευρά το Υκ παραμένει ανώνυμο καθώς δεν έχει αποστείλει κανενός είδους προσωπική πληροφορία στον Υθ. Βήμα 5. Ο Υθ χρονοσφραγίζει την ταυτότητα του (CertΥθ) και τις πληροφορίες H n-k, ΣΑΠΙΥκ αποστέλλοντας αίτηση στην ΕΤΟ υπογεγραμμένα με το ιδιωτικό κλειδί του. Υθ->ΕΤΟ: {H n-k (CertΥκ, RV), CertΥθ}ΙΚΥθ Βήμα 6. Η ΕΤΟ επικυρώνει την υπογραφή και επιστρέφει στον Υθ μια χρονοσφραγίδα των πληροφοριών CertΥθ, H n-k, ΣΑΠΙΥκ την οποία επαληθεύει και αποθηκεύει στην τοπική του Βάση Δεδομένων. ΕΤΟ->Υθ: Χk{ CertΥθ, H n-k, ΣΑΠΙΥκ} Αποκάλυψη πραγματικής ταυτότητας Βήμα 1. Σε περίπτωση που το Υκ αποποιείται την επικοινωνία του με τον Υθ την χρονική στιγμή k, (αποποιείται την ύπαρξη ενός έγκυρου H n-k (CertΥκ, RV)), ο Υθ αποστέλλει στην ΕΤΟ την χρονοσφραγίδα που έχει λάβει σε προγενέστερο χρόνο ως ψηφιακή απόδείξη της προσπάθειας αποποίησης ευθυνών του Υκ, και το ψηφιακό πιστοποιητικό του. Υθ->ΕΤΟ: Χk{ CertΥθ, H n-k, ΣΑΠΙΥκ}, CertΥθ Βήμα 2. Η ΕΤΟ επικυρώνει την εγκυρότητα του CertΥθ. Στην συνέχεια, η λειτουργική μονάδα παροχής ψηφιακών αποδείξεων (βλ ) υπολογίζει το H n /H n-k και προσδιορίζει την στιγμή k που πραγματοποιήθηκε η συναλλαγή. Χρησιμοποιεί το ΣΑΠΙ Υκ για να ανασύρει από την τοπική βάση το H n (CertΥκ, RV) υπολογίζει το H n-k (CertΥκ, RV) και το συγκρίνει με το H n-k που παρουσίασε ο Υθ. Βήμα 3. Αν ταυτίζονται, τότε η λειτουργική μονάδα παροχής αποδείξεων ξεκινά διαδικασίες παράκαμψης ανωνυμίας του Υκ με τη βοήθεια της λειτουργικής μονάδας καταχώρησης (βλ ). Αποτέλεσμα της εσωτερικής διαδικασίας της ΕΤΟ, είναι η φυσική ταυτότητα του Υκ (ΤΥκ). Βήμα 4. Η φυσική ταυτότητα επιστρέφεται στον Υθ υπογεγραμμένη με το ιδιωτικό κλειδί της ΕΤΟ και κρυπτογραφημένη με το ΔΚΥθ. ΕΤΟ->Υθ: {{ΤΥκ} ΙΚΕΤΟ}ΔΚΥθ Βήμα 5. Τέλος, ο Υθ χρησιμοποιεί το δημόσιο κλειδί του, αποκρυπτογραφεί το παραπάνω μήνυμα επικυρώνει την υπογραφή της ΕΤΟ και μαθαίνει την ταυτότητα του Υκ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 99

100 Ικανοποίηση απαιτήσεων ασφάλειας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Το σχήμα τριτεγγύησης ταυτότητας, με χρήση συναρτήσεων σύνοψης, ικανοποιεί τις απαιτήσεις ασφάλειας της παραγράφου , ως εξής: 1. Επιτυχής λειτουργία του πρωτοκόλλου έκδοσης του τεκμηρίου. Η τιμή H n (CertΥκ, RV) υπολογίζεται σε έγκυρο πιστοποιητικό που έχει εκδώσει η ΕΤΟ. Επιπλέον, ο Υθ επιβεβαιώνει την εγκυρότητα του ΣΑΠΙ (βλ , βήμα 3). Δεδομένου ότι ο Υθ εμπιστεύεται την ΕΤΟ, θα πεισθεί, για την φερεγγυότητα του ΣΑΠΙ με πιθανότητα Είναι δύσκολη η προσποίηση κατοχής νόμιμου τεκμηρίου. Αν το υποκείμενο υπολογίσει την τιμή H n-k (CertΥκ, RV) επί ενός πλαστού πιστοποιητικού, τότε η διαδικασία επικύρωσης θα είναι ανεπιτυχής (βλ , βήμα 4). 3. Η πραγματική ταυτότητα του υποκειμένου δεν αποκαλύπτεται. Σε κανένα πρωτόκολλο του σχήματος δεν αποκαλύπτεται το πιστοποιητικό του υποκειμένου, εκτός της περίπτωσης αποποίησης ευθυνών του Υκ (βλ ). 4. Είναι δύσκολη η παράκαμψη της τριτεγγύησης. Με το πέρας της επιτυχούς ολοκλήρωσης του πρωτοκόλλου έκδοσης του ΣΑΠΙ, η μονάδα καταχώρησης της ΕΤΟ αποθηκεύει στην τοπική βάση δεδομένων που διατηρεί το ΣΑΠΙ του Υκ μαζί με ένα σύνδεσμο (link) προς το πιστοποιητικό του (βλ , βήμα 5) Επεκτάσεις Οι ΕΤΟ μπορούν να υποστηρίξουν τη λειτουργία του σχήματος τριτεγγύησης ταυτότητας που παρουσιάσθηκε, με τη μορφή μιας υπηρεσίας προστιθέμενης αξίας. Ο Πίνακας 13 απεικονίζει τα πρωτόκολλα που παρουσιάσθηκαν παραπάνω με τις υπηρεσίες ΕΤΟ (βλ ) που τα υποστηρίζουν. Πρωτόκολλο Έκδοση Επικύρωση Αποκάλυψη ταυτότητας Υπηρεσίες ΕΤΟ Καταχώρηση Διαχείριση πιστοποιητικών Υπηρεσίες καταλόγου Ψηφιακές υπογραφές Χρονοσήμανση Αρχειοθέτηση Κρυπτογράφηση Παροχή αποδείξεων Πίνακας 13: Αντιστοίχιση υπηρεσιών ΕΤΟ και πρωτοκόλλου τριτεγγύησης ταυτότητας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 100

101 Κάθε φορά που το υποκείμενο έρχεται σε επικοινωνία με τον υπεύθυνο επεξεργασίας, παρουσιάζει ένα τμήμα του ΣΑΠΙ, το οποίο είναι συνάρτηση της χρονικής στιγμής που λαμβάνει χώρα η επικοινωνία. Το ζητούμενο στην λειτουργία του σχήματος είναι η διακρίβωση της μονοσήμαντης συνθήκης ότι το τμήμα του ΣΑΠΙ που παρουσιάζεται αποτελεί μέρος ενός ΣΑΠΙ που έχει εκδοθεί από την ΕΤΟ. Σε περίπτωση θετικής επιβεβαίωσης η επικοινωνία μπορεί να συνεχισθεί προσφέροντας ανωνυμία στον υποκείμενο αλλά και εξασφάλιση στον υπεύθυνο επεξεργασίας στις περιπτώσεις αξιόποινων πράξεων. Η λειτουργία του πρωτοκόλλου στηρίζεται στον μηχανισμό των συναρτήσεων σύνοψης για την διακρίβωση της παραπάνω μονοσήμαντης συνθήκης. Το σχήμα τριτεγγύησης ταυτότητας που παρουσιάσθηκε διασφαλίζει την αρχή της αναλογικότητας καθώς σε κανένα πρωτόκολλό της κανονικής λειτουργίας του δεν αποκαλύπτονται προσωπικά δεδομένα των υποκειμένων επεξεργασίας. Επιπλέον, δίνει τη δυνατότητα στους υπεύθυνους επεξεργασίας να κατασκευάσουν ανώνυμα περιγράμματα συμπεριφοράς των υποκειμένων κάτι το οποίο δεν απαγορεύεται από τη νομοθεσία περί προστασίας προσωπικών δεδομένων. Επίσης, διασφαλίζει την ανωνυμία των υποκειμένων μόνο στο επίπεδο εφαρμογής του Διαδικτύου. Για την παροχή ανωνυμίας σε χαμηλότερα επικοινωνιακά επίπεδα (επίπεδα 1 έως 4 σύμφωνα με την ορολογία OSI) πρέπει να συνδυασθεί με κάποια από τις ΤΠΙ (βλ. 2.7) και τον προστάτη ταυτότητας (βλ. 6.2). Παράλληλα, δεν διασφαλίζει την εμπιστευτικότητα και ακεραιότητα των μεταδιδόμενων ανώνυμων δεδομένων. Για την παροχή αυτών των υπηρεσιών απαιτείται να συνδυασθεί με άλλα πρωτόκολλα κατασκευασμένα για αυτό το σκοπό (π.χ. SSL χωρίς αυθεντικοποίηση πελάτη). Το παραπάνω σχήμα δεν απαιτεί την ύπαρξη εμπιστοσύνης μεταξύ υποκειμένου και υπευθύνου επεξεργασίας. Τα υποκείμενα επεξεργασίας χρειάζεται να εμπιστεύονται μόνο την ΕΤΟ από την οποία έχουν προμηθευθεί το ψηφιακό πιστοποιητικό τους. Τέλος, το υπάρχον σχήμα απαιτεί την χρονοσφράγιση (βλ , βήματα 5 και 6) πληροφοριών για να χρησιμοποιηθούν ως τεκμήρια σε περιπτώσεις όπου το υποκείμενο αποποιείται τις ευθύνες των πράξεών του. Το πρωτόκολλο επικύρωσης του τεκμηρίου είναι πιο αποδοτικό αν δεν απαιτείται η χρονοσφραγίδα. Για το σκοπό αυτό πρέπει να διερευνηθούν νέες τεχνολογίες όπως οι προς τα εμπρός ψηφιακές υπογραφές (forward secure signatures) [BEL- 99]. 4.4 Πρόσβαση σε ανώνυμα περιγράμματα με διαμεσολάβηση Δικτυοενδιάμεσου Η διασφάλιση της ανωνυμίας στην άμεση απευθείας επικοινωνία μεταξύ υποκειμένου και υπευθύνου επεξεργασίας είναι το αντικείμενο των περισσοτέρων από τις τεχνολογίες διαχείρισης, ανάμεσά τους και η τριτεγγύηση, ταυτότητας. Σε ένα διαρκώς αναπτυσσόμενο διαδικτυακό περιβάλλον κάνουν την εμφάνισή τους καινούριες μορφές επικοινωνίας όπως η ενδιαμεσική (intermediation) ή μεσιτική (brokerage). Οι λόγοι ανάπτυξης της ενδιαμεσικής επικοινωνίας είναι: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 101

102 α) η θεώρηση των προσωπικών δεδομένων, από την πλευρά των υποκειμένων, ως οικονομικό αγαθό (commodity) που ανταλλάσσεται με τους υπεύθυνους επεξεργασίας, προέρχεται από την "αμυντική" πλευρά της ιδιωτικότητας (βλ , σελ. 28) και έχει σαν αποτέλεσμα την αύξηση του κόστους πρόσβασης σε αυτά. Επομένως, υπάρχει ανάγκη για την ανάπτυξη υπηρεσιών προστιθέμενης αξίας (value added) με στόχο την εξισορρόπηση των αντίθετων τάσεων κοστολόγησης (το υποκείμενο προσπαθεί να μεγιστοποιήσει ενώ ο υπεύθυνος επεξεργασίας προσπαθεί να ελαχιστοποιήσει την αξία) των προσωπικών πληροφοριών. β) η διαχείριση περιγραμμάτων καταναλωτικής συμπεριφοράς μεγάλου όγκου, εξαιτίας της παγκόσμιας φύσης της απευθείας επικοινωνίας, απαιτεί την ύπαρξη εξειδικευμένων γνώσεων για την εξαγωγή των απαιτούμενων πληροφοριών. Η συντήρηση τμημάτων εκμετάλλευσης των περιγραμμάτων αυξάνει το κόστος των προσφερόμενων προϊόντων και υπηρεσιών, από πλευράς υπευθύνων επεξεργασίας. Αυτό έχει σαν αποτέλεσμα την ανάθεση της δημιουργίας και επεξεργασίας των περιγραμμάτων σε εξωτερικές οντότητες με εμπειρία σε αυτόν τον τομέα. Οι οντότητες που κοστολογούν την αξία των προσωπικών πληροφοριών και παράλληλα διαχειρίζονται τα περιγράμματα για λογαριασμό των υποκειμένων και των υπευθύνων επεξεργασίας ονομάζονται δικτυοενδιάμεσοι (infomediaries). Η ανάδειξη των δυνατοτήτων χρήσης των δικτυοενδιάμεσων ως επιχειρηματικού μοντέλου το οποίο παράλληλα διαχειρίζεται, με τρόπο που σέβεται την ιδιωτικότητα, την ταυτότητα των υποκειμένων αποτελεί το αντικείμενο της παρούσας παραγράφου Υπάρχον μοντέλο λειτουργίας δικτυοενδιάμεσων Ο όρος δικτυοενδιάμεσος (infomediary) προέρχεται από τη σύνθεση των λέξεων πληροφορία (information) και ενδιάμεσος ( intermediary). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 102

103 Σχήμα 12: Το παραδοσιακό μοντέλο των δικτυοενδιάμεσων Δικτυοενδιάμεσος (Infomediary), είναι μια επιχείρηση, που η μοναδική ή κύρια πηγή εσόδων της, προέρχεται από τη συλλογή πληροφορίας για τον καταναλωτή και από την ανάπτυξη λεπτομερειακών περιγραμμάτων των μεμονωμένων πελατών, για χρήση τους από πωλητές [HAG-97]. Η διαρκώς αυξανόμενη αναγνώριση της αξίας της πληροφορίας των προτιμήσεων και των αναγκών των χρηστών, οδηγεί στην δημιουργία των δικτυοενδιάμεσων (infomediaries) οι οποίοι ενεργούν ως μεσίτες πληροφοριών. Από τα παραπάνω γίνεται φανερό ότι, το ταίριασμα των αναγκών των χρηστών με τα προϊόντα των πωλητών είναι το κύριο έργο τους. Η λειτουργία ενός δικτυοενδιάμεσου δείχνεται στο Σχήμα 12. Οι υπηρεσίες που πρέπει να αναλάβουν οι δικτυοενδιάμεσοι για να αποδεικτούν χρήσιμοι και αποτελεσματικοί στους πελάτες, είναι οι εξής: (1). Υπηρεσίες προστασίας δεδομένων (2). Υπηρεσίες δημιουργίας και εκμετάλλευσης περιγραμμάτων και (3). Υπηρεσίες μεγιστοποίησης της αξίας των περιγραμμάτων των πελατών [HAG-99] Προβλήματα ασφάλειας υπάρχοντος πλαισίου λειτουργίας Για να λειτουργήσει στο πλαίσιο της τεχνολογικής διαδικτυακής ΥΠΔ, ο δικτυοενδιάμεσος πρέπει να: α) δημιουργήσει σχέσεις εμπιστοσύνης με τα ενδιαφερόμενα μέρη και β) αποκτήσει πρόσβαση στο υπάρχον σύνολο περιγραμμάτων. Η εφαρμογή των παραπάνω απαιτήσεων στο Διαδίκτυο προϋποθέτει: 1). Την δημιουργία σχέσεων εμπιστοσύνης. Η εμπιστοσύνη έχεις τους εξής αποδέκτες: άλλοι δικτυοενδιάμεσοι. Οι πληροφορίες που διακινούνται σε ένα δίκτυο από δικτυοενδιάμεσους πρέπει να χαρακτηρίζονται από εμπιστευτικότητα, εγκυρότητα και διαθεσιμότητα. υποκείμενα επεξεργασίας. Οι προσωπικές πληροφορίες που δίνουν τα υποκείμενα επεξεργασίας πρέπει να χαρακτηρίζονται από εμπιστευτικότητα, εγκυρότητα και διαθεσιμότητα. Επιπλέον, πρέπει να εξασφαλίζεται η δυνατότητα ανωνυμίας των υποκειμένων καθώς η έλλειψη ελέγχου των προσωπικών δεδομένων από τα ίδια τα υποκείμενα αποτελεί το μεγαλύτερο μειονέκτημα του υπάρχοντος μοντέλου δικτυοενδιαμέσων [BER-00]. υπεύθυνοι επεξεργασίας. Η εμπιστοσύνη των υπευθύνων επεξεργασίας προς τους δικτυοενδιάμεσους προϋποθέτει ότι οι τελευταίοι παρέχουν όλα τα τεκμήρια που απαιτούνται ώστε τα υποκείμενα επεξεργασίας να μην αποποιούνται της ευθύνης των πράξεών τους σε περιπτώσεις πραγματοποίησης ανώνυμων συναλλαγών. 2). Την πρόσβαση σε ένα παγκόσμιο γεωγραφικά κατανεμημένο σύνολο περιγραμμάτων. Για την επίτευξη του στόχου αυτού απαιτείται η δημιουργία ενός δικτύου από δικτυοενδιάμεσους. Το παραδοσιακό μοντέλο λειτουργίας δικτυοενδιάμεσων που Οικονομικό Πανεπιστήμιο Αθηνών Σελ 103

104 παρουσιάσθηκε παραπάνω, δεν είναι κατάλληλο να εφαρμοστεί, στην παρούσα μορφή του, στο Διαδίκτυο γιατί δεν ενσωματώνει υπηρεσίες γνωριμίας μεταξύ των δικτυοενδιάμεσων. Για παράδειγμα, σε περιπτώσεις όπου ένας δικτυοενδιάμεσος δεν μπορεί να καλύψει τις ανάγκες κάποιου υποκειμένου πρέπει να είναι δυνατή η εξυπηρέτησή του από κάποιον άλλον οικείο δικτυοενδιάμεσο. Οι υπηρεσίες καταλόγου, μπορούν να χρησιμοποιηθούν για αυτό το σκοπό. Επιπλέον, ο μηχανισμός γνωριμίας πρέπει να πληροί όλες τις προϋποθέσεις διασφάλισης εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των ανταλλασσόμενων πληροφοριών. Το παραδοσιακό μοντέλο λειτουργίας ενός δικτυοενδιάμεσου δεν εξασφαλίζει τις παραπάνω προϋποθέσεις ασφάλειας και προάσπισης ιδιωτικότητας. Επιπλέον, η διαδικασία για την παράδοση των προϊόντων υπηρεσιών πραγματοποιείται από τους υπεύθυνους επεξεργασίας που ενδιαφέρονται για το δικό τους όφελος και την μεγιστοποίηση των δικών τους κερδών. Εξαιτίας της άμεσης επαφής με τα υποκείμενα, δίνεται η δυνατότητα στους υπεύθυνους επεξεργασίας να παραβιάσουν την ιδιωτικότητά τους, λόγω του ότι, οι υπεύθυνοι επεξεργασίας μετά την παράδοση των προϊόντων γνωρίζουν κάποια στοιχεία για τα υποκείμενα. Αυτά τα στοιχεία μπορεί να θελήσουν ή να εξαναγκαστούν να τα διαθέσουν σε τρίτους. Πρέπει να εξασφαλιστεί ότι η διαδικασία παράδοσης θα πραγματοποιείται από κάποιες οντότητες, οι οποίες δεν θα έχουν ούτε το συμφέρον να παραβιάσουν την ιδιωτικότητα των υποκειμένων ούτε την δυνατότητα να το κάνουν. Για τους παραπάνω λόγους, θα παρουσιασθεί ένα λειτουργικό μοντέλο πρόσβασης σε ανώνυμα περιγράμματα με διαμεσολάβηση δικτυοενδιάμεσου με τα εξής χαρακτηριστικά: (α) η σχεδίαση του υποστηρίζει την πολύπλευρη ασφάλεια των εμπλεκόμενων μερών ώστε να διασφαλίζει τόσο την ανωνυμία των υποκειμένων όσο τα συμφέροντα των υπευθύνων σε περιπτώσεις αποποίησης των ευθυνών από τα υποκείμενα επεξεργασίας (παρέχοντας μηχανισμούς άρσης ανωνυμίας των τελευταίων) και (β) παρέχει ασφαλείς μηχανισμούς γνωριμίας και επικοινωνίας μεταξύ των δικτυοενδιάμεσων ώστε να διευκολύνει την πρόσβαση τους σε ένα ευρείας κλίμακας σύνολο περιγραμμάτων [GRI-01b] Προτεινόμενο μοντέλο λειτουργίας Απαιτήσεις χρήστη Οι απαιτήσεις χρήσης μπορούν να χωρισθούν σε δύο μεγάλες κατηγορίες: (α) λειτουργικές απαιτήσεις των χρηστών από την συμμετοχή (ρόλο) τους σε ένα μοντέλο δικτυοενδιαμέσων και (β) μη λειτουργικές απαιτήσεις από την υποδομή στην οποία θα στηριχθεί η σχεδίαση του μοντέλου Λειτουργικές απαιτήσεις Οι λειτουργικές απαιτήσεις χρήσης σχετίζονται με την παροχή των υπηρεσιών προστασίας δεδομένων, υπηρεσιών δημιουργίας και εκμετάλλευσης περιγραμμάτων και υπηρεσιών Οικονομικό Πανεπιστήμιο Αθηνών Σελ 104

105 μεγιστοποίησης της αξίας των περιγραμμάτων των πελατών (βλ ). Από αυτές, μόνο οι πρώτες ανήκουν στο πεδίο ενδιαφέροντος της παρούσας διατριβής. Το μοντέλο των δικτυοενδιάμεσων για να ικανοποιεί τις προϋποθέσεις που χαρακτηρίζουν τις τεχνολογίες πολύπλευρης ασφάλειας (σελ. 95) πρέπει να: 1. Μην απαιτεί την ύπαρξη διαπροσωπικής (βλ. 0) εμπιστοσύνης μεταξύ υποκειμένων και υπευθύνων επεξεργασίας για την λειτουργία του μοντέλου. Τόσο τα υποκείμενα όσο και οι υπεύθυνοι επεξεργασίας εμπιστεύονται μόνο τον δικτυοενδιάμεσο με τον οποίο έχουν συμβληθεί. Στο μοντέλο ρέουν οι ελάχιστες απαραίτητες πληροφορίες που απαιτούνται για την ορθή λειτουργία του. 2. Παρέχει τεκμήρια για την επίλυση συγκρούσεων μεταξύ των διαφορετικών επιδιώξεων ασφάλειας και συμφερόντων των εμπλεκόμενων στην επικοινωνία μερών. 3. Λαμβάνει υπ' όψη τις διαφορετικές απαιτήσεις ασφάλειας, ιδιωτικότητας και επιδιώξεις που έχουν τα εμπλεκόμενα μέρη: (α) τα υποκείμενα επεξεργασίας ενδιαφέρονται να αγοράζουν προϊόντα ή υπηρεσίες από τους υπεύθυνους επεξεργασίας. Επίσης, επιθυμούν την διατήρηση της ανωνυμίας τους, κατά την διάρκεια αλλά και μετά την διεκπεραίωση των απευθείας συναλλαγών τους. (β) οι υπεύθυνοι επεξεργασίας παράγουν και διαθέτουν προϊόντα και υπηρεσίες στα υποκείμενα επεξεργασίας. Επιθυμούν να αυξάνουν τις πωλήσεις τους, να μειώνουν το κόστος διαφήμισης των προϊόντων ή υπηρεσιών τους και να έχουν όσο το δυνατόν μεγαλύτερα έσοδα από τις πωλήσεις τους. Επίσης επιθυμούν να ενημερώνονται συνεχώς για τις προτιμήσεις των υποκειμένων, ώστε να μπορούν να παράγουν και να διαθέτουν τα πλέον κατάλληλα προϊόντα/ υπηρεσίες. (γ) οι δικτυοενδιάμεσοι παίζουν διπλό ρόλο στο μοντέλο: (i) συλλέγουν τις αιτήσεις και τις προτιμήσεις των υποκειμένων επεξεργασίας και δημιουργούν καταναλωτικά περιγράμματα συνδυάζοντάς τες με τα προϊόντα ή υπηρεσίες των υπευθύνων επεξεργασίας. Πρέπει να έχουν την δυνατότητα να κρατάνε όλη αυτή την πληροφορία ασφαλή και να διατηρούν την ανωνυμία των υποκειμένων επεξεργασίας. Θέλουν να έχουν πρόσβαση σε μεγάλες βάσεις δεδομένων με πληροφορίες για τα υποκείμενα τους και έχουν εμπειρία στην προώθηση των προϊόντων ή υπηρεσιών των υπευθύνων επεξεργασίας. Αναφέρονται σε άλλους δικτυοενδιάμεσους στην περίπτωση που η αίτηση ενός υποκειμένου, δεν μπορεί να ικανοποιηθεί από τις υπάρχουσες εγγραφές στην τοπική τους βάση δεδομένων. (ii) ασκούν εποπτεία και έλεγχο σε όλες τις διαδικασίες του προτεινόμενου μοντέλου. Εξασφαλίζουν την ανωνυμία, την προστασία δεδομένων και την ασφάλεια των διακινούμενων στο μοντέλο πληροφοριών ανάμεσα στα εμπλεκόμενα μέρη. Τους εμπιστεύονται τόσο τα υποκείμενα όσο και οι υπεύθυνοι επεξεργασίας. Επιπλέον μπορούν Οικονομικό Πανεπιστήμιο Αθηνών Σελ 105

106 να παράσχουν ψηφιακά τεκμήρια για την επίλυση συγκρούσεων μεταξύ των εμπλεκόμενων στο μοντέλο μερών και έχουν την δύναμη να επιβάλλουν κυρώσεις σε περιπτώσεις που οι αποφάσεις τους δεν γίνονται σεβαστές από κάποιο μέρος. Για την ικανοποίηση των παραπάνω απαιτήσεων πρέπει να κατασκευασθούν πρωτόκολλα επικοινωνίας μεταξύ των εμπλεκομένων οντοτήτων που τις ικανοποιούν. Οι απαιτήσεις ασφάλειας και προστασίας δεδομένων από τα πρωτόκολλα αυτά είναι: 1. Τα προϊόντα που πράγματι παραγγέλθηκαν παραδίδονται (αν είναι διαθέσιμα) με πιθανότητα Ένα υποκείμενο επεξεργασίας που παρουσιάζεται με πλαστά στοιχεία παραγγελίας θα αποτύχει να πείσει τον δικτυοενδιάμεσο με πιθανότητα Η πραγματική ταυτότητα του υποκειμένου επεξεργασίας δεν αποκαλύπτεται. 4. Η πιθανότητα να ολοκληρωθεί επιτυχώς η παράδοση προϊόντος στο υποκείμενο επεξεργασίας χωρίς να είναι δυνατή η αποκάλυψη της πραγματικής του ταυτότητας είναι Μη λειτουργικές απαιτήσεις Το λειτουργικό μοντέλο των δικτυοενδιάμεσων πρέπει να αντιμετωπίζει όλες τις απειλές κατά της ασφάλειας και ιδιωτικότητας που αναφέρθηκαν (βλ. 2.3 και 2.6). Η επίθεση συνωμοσίας (βλ , σελ. 52) αποτελεί τη σημαντικότερη από τις απειλές που πρέπει να αντιμετωπίσει ένα δίκτυο από δικτυοενδιάμεσους. Η απειλή αυτή, μπορεί να εκδηλωθεί με τη συνωμοσία μεταξύ δικτυοενδιάμεσου και υπευθύνου επεξεργασίας με αποτέλεσμα, τα προσωπικά δεδομένα των υποκειμένων, που έχουν συμβληθεί με τον δικτυοενδιάμεσο, να περιέλθουν στον υπεύθυνο επεξεργασίας. Τα κυριότερα μέτρα που μπορούν να ληφθούν για την αντιμετώπιση αυτής της απειλής είναι να: (α) εκδίδονται πιστοποιητικά μόνο από έμπιστες οντότητες, (β) υπάρχει καταμερισμός του έργου που ασκούν οι ρόλοι που εμπλέκονται στο μοντέλο και (γ) μην υπάρχει δυνατότητα συσχέτισης του αποστολέα και παραλήπτη των μηνυμάτων. Οι ενδιάμεσοι σταθμοί στην δρομολόγηση πρέπει να χρησιμοποιούνται μόνο μία φορά στην αποστολή του συγκεκριμένου μηνύματος Υπηρεσίες Κατ αναλογία με τον διαχωρισμό των απαιτήσεων χρήσης, οι υπηρεσίες μπορούν να διαχωριστούν σε δύο μεγάλες κατηγορίες: Υπηρεσίες δικτυοενδιάμεσων Οι υπηρεσίες που παρέχονται από τους δικτυοενδιάμεσους περιγράφηκαν στην παράγραφο και περιλαμβάνουν: (1). Υπηρεσίες προστασίας δεδομένων, (2). Υπηρεσίες Οικονομικό Πανεπιστήμιο Αθηνών Σελ 106

107 δημιουργίας και εκμετάλλευσης περιγραμμάτων και (3). Υπηρεσίες μεγιστοποίησης της αξίας των περιγραμμάτων των πελατών. Στην παρούσα διατριβή, αναλύονται οι υπηρεσίες προστασίας δεδομένων και ασφάλειας των μεταδιδόμενων πληροφοριών και ασφαλούς πρόσβασης σε ένα παγκόσμια κατανεμημένο σύνολο περιγραμμάτων. Οι υπηρεσίες εκμετάλλευσης και μεγιστοποίησης της αξίας των περιγραμμάτων αποτελούν αντικείμενα άλλων γνωσιακών χώρων (π.χ. προώθηση πωλήσεων, data mining) Υπηρεσίες υποδομής Οι υπηρεσίες αυτές περιλαμβάνουν τις διαδικασίες εκείνες που απαιτούνται για την υποστήριξη των υπηρεσιών των δικτυοενδιάμεσων. Η δημιουργία σχέσεων εμπιστοσύνης μεταξύ των, είναι απαραίτητη για την λειτουργία της υποδομής των δικτυοενδιαμέσων. Οι υπηρεσίες ΥΔΚ που απαιτούνται για την λειτουργία της υποδομής των δικτυοενδιάμεσων είναι οι αυτές με του προστάτη ταυτότητας (βλ ). Επιπλέον υπηρεσίες που απαιτούνται είναι: (α) υπηρεσίες απόκρυψης επικοινωνιών, (β) υπηρεσίες ανωνυμίας υποκειμένου και (γ) παράδοση προϊόντων Μοντέλο αναφοράς Για την κατασκευή του μοντέλου αναφοράς, με τρόπο που να ικανοποιεί τις απαιτήσεις των χρηστών του (βλ ), έγιναν οι παρακάτω σχεδιαστικές επιλογές: 1. Ο διττός ρόλος των δικτυοενδιάμεσων ανατίθεται σε δύο ξεχωριστές οντότητες: (α) Τις υπηρεσίες αντιστοίχισης των αιτήσεων των υποκειμένων, με τις προσφορές των υπευθύνων επεξεργασίας, αναλαμβάνουν οντότητες με εμπειρία στην προώθηση προϊόντων και εκμετάλλευση περιγραμμάτων καταναλωτικής συμπεριφοράς, που ονομάζουμε λειτουργικούς δικτυοενδιάμεσους (ΛΔ) και (β) τις υπηρεσίες ελέγχου και εποπτείας προς όλες τις εμπλεκόμενες οντότητες προσφέρουν οντότητες που ονομάζουμε δικτυοενδιάμεσους διαχειριστές (ΔΔ). Οι δύο παραπάνω οντότητες μπορούν να λειτουργούν είτε υπό ενιαία είτε υπό διαφορετική, ανεξάρτητη διοίκηση. Με αυτό τον τρόπο δημιουργείται μια αρχιτεκτονική δύο επιπέδων όπου στο χαμηλότερο επίπεδο δρουν τα υποκείμενα, οι υπεύθυνοι επεξεργασίας και οι λειτουργικοί δικτυοενδιάμεσοι και στο υψηλότερο επίπεδο δρουν οι δικτυοενδιάμεσοι διαχειριστές. Στο χαμηλότερο επίπεδο ρέουν οι απολύτως απαραίτητες (ανώνυμες) πληροφορίες για την πραγματοποίηση απευθείας συναλλαγών. Στο δεύτερο επίπεδο, λαμβάνει χώρα η αποκάλυψη ταυτότητας σε περιπτώσεις όπου απαιτείται η επίλυση κάποιας διένεξης. 2. Η πρόσβαση των δικτυοενδιάμεσων, σε ένα παγκόσμια κατανεμημένο σύνολο περιγραμμάτων, επιτυγχάνεται με την ανάπτυξη ενός δικτύου από δικτυοενδιάμεσους. Η εμπιστοσύνη μεταξύ των εμπλεκόμενων μερών του δικτύου εξασφαλίζεται με την ανάπτυξη μιας ΥΔΚ (βλ. κεφάλαιο 7), την διαχείριση της οποίας αναλαμβάνουν οι δικτυοενδιάμεσοι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 107

108 διαχειριστές. Κάθε δικτυοενδιάμεσος μπορεί να ζητήσει πληροφορίες και να λάβει γνώση από άλλους δικτυοενδιάμεσους με χρήση των υπηρεσιών ευρετηρίου της ΥΔΚ (βλ ) Οι ρόλοι που εμπλέκονται στο προτεινόμενο μοντέλο περιλαμβάνουν: 1. Τα υποκείμενα επεξεργασίας (Υκ), ενδιαφέρονται να αγοράζουν προϊόντα ή υπηρεσίες από τους υπεύθυνους επεξεργασίας. 2. Οι υπεύθυνοι επεξεργασίας (Υθ), παράγουν και διαθέτουν προϊόντα και υπηρεσίες στα Υκ. 3. Οι Λειτουργικοί Δικτυοενδιάμεσοι (ΛΔ), συλλέγουν τις αιτήσεις και τις προτιμήσεις των Υκ και δημιουργούν καταναλωτικά περιγράμματα συνδυάζοντάς τα με τα προϊόντα ή υπηρεσίες των Υθ. Οι Δικτυοενδιάμεσοι Διαχειριστές (ΔΔ), ασκούν την εποπτεία της υποδομής. Σχήμα 13: Μοντέλο δικτύου από δικτυοενδιάμεσους Σε αυτό το πλαίσιο, το Σχήμα 20 απεικονίζει το προτεινόμενο μοντέλο αναφοράς ενός δικτύου από δικτυοενδιάμεσους σε ένα ανοικτό διασυνδεδεμένο περιβάλλον όπως το Διαδίκτυο. Για την λειτουργία των πρωτοκόλλων επικοινωνίας των παραπάνω οντοτήτων απαιτείται η ύπαρξη μιας ΥΔΚ που περιλαμβάνει όλους τους δικτυοενδιάμεσους. Επίσης, τα Υκ μπορούν να προμηθευθούν Τεκμήρια Τριτεγγύησης Ταυτότητας (ΤΤΤΥκ) από κάποια τρίτη οντότητα που απολαμβάνει της εμπιστοσύνης της ΥΔΚ των Δικτυοενδιάμεσων. Για το σκοπό αυτό μπορεί να χρησιμοποιηθεί ένα τεκμήριο που δημιουργείται από οποιαδήποτε τεχνολογία τριτεγγύησης ταυτότητας (βλ ). Οι εμπλεκόμενες οντότητες εκτελούν τα παρακάτω πρωτόκολλα: (1) εγγραφή του Υθ στον ΛΔ (2) αίτηση προϊόντος από το Υκ, (3) προσφορά προϊόντων από τον Υθ, (4) παράδοση προϊόντος στο Υκ και (5) επίλυση διενέξεων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 108

109 Δικτυοενδιάμεσοι και τριτεγγύηση ταυτότητας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Εγγραφή στον δικτυοενδιάμεσο Για την εγγραφή, ο Υθ πρέπει να κατέχει ψηφιακό πιστοποιητικό από ΕΤΟ που εμπιστεύεται ο ΔΔ. Το αυτό ισχύει και για τα τεκμήρια τριτεγγύησης ταυτότητας των Υκ Αίτηση προϊόντος από το υποκείμενο επεξεργασίας Βήμα 1. Το Υκ κρυπτογραφεί την περιγραφή του προϊόντος (ΠΠ) το οποίο επιθυμεί να αγοράσει, χρησιμοποιώντας το δημόσιο κλειδί του ΛΔ του (ΔΚΛΔ). Το αποτέλεσμα αυτής της κρυπτογράφησης είναι, έστω το Μ. Στέλνει μια αίτηση προς τον ΔΔ, η οποία περιέχει ένα τεκμήριο τριτεγγύησης ταυτότητας (ΤΤΤΥκ) και το αποτέλεσμα Μ της προηγούμενης κρυπτογράφησης. Η αίτηση πριν σταλεί, κρυπτογραφείται με το δημόσιο κλειδί του ΔΔ (ΔΚΔΔ). Υκ -> ΔΔ : { ΤΤΤΥκ, Μ } ΔΚΔΔ Βήμα 2. Όταν ο ΔΔ λάβει την αίτηση, την αποκρυπτογραφεί χρησιμοποιώντας το ιδιωτικό του κλειδί (ΙΚΔΔ). Επικυρώνει την εγκυρότητα του ΤΤΤΥκ. Ο ΔΔ δεν γνωρίζει την παραγγελία του Υκ (Μ) καθώς έχει κρυπτογραφηθεί με το ιδιωτικό κλειδί του ΛΔ (ΙΚ ΛΔ). Παράλληλα, αποθηκεύει στην τοπική του Βάση Δεδομένων τη δυάδα {ΤΤΤΥκ, ΑΝ} για να μπορέσει να επαληθεύσει την παραγγελία κατά την διάρκεια της παράδοσης του προϊόντος αλλά και σε περιπτώσεις αποποίησης ευθύνης από πλευράς του υποκειμένου. Σε περίπτωση επιτυχούς επικύρωσής του, αντιστοιχεί το ΤΤΤΥκ σε έναν τυχαίο προσδιοριστή (ΑΝ). Ο ΔΔ επιστρέφει στο Υκ τον προσδιοριστή της παραγγελίας (ΑΝ) υπογεγραμμένο με το ιδιωτικό του κλειδί (ΙΚΔΔ). ΔΔ -> Υκ: {ΑΝ} ΙΚΔΔ Βήμα 3. Με την παραλαβή, το Υκ επικυρώνει την υπογραφή με το δημόσιο του κλειδί του ΔΔ (ΔΚΔΔ) και καταχωρεί το αναγνωριστικό της παραγγελίας (ΑΝ) του ώστε να το χρησιμοποιήσει κατά την παραλαβή του προϊόντος. Βήμα 4. Ο ΔΔ στέλνει το ΑΝ και το Μ στον ΛΔ, αφού πρώτα τα κρυπτογραφήσει με το δημόσιο κλειδί του ΛΔ (ΔΚΛΔ). ΔΔ -> ΛΔ : { ΑΝ, Μ } ΔΚΛΔ Βήμα 5. Όταν ο ΛΔ λάβει το μήνυμα από τον ΔΔ, το αποκρυπτογραφεί χρησιμοποιώντας το ιδιωτικό κλειδί του (ΙΚΛΔ). Μετά την πρώτη αποκρυπτογράφηση βρίσκει το Μ. Αποκρυπτογραφεί το Μ με το ιδιωτικό κλειδί του (ΙΚΛΔ) και ανακτά τη ΠΠ του προϊόντος το οποίο επιθυμεί το υποκείμενο επεξεργασίας. Ο ΛΔ αποθηκεύει στην τοπική του Βάση Δεδομένων την δυάδα {ΑΝ, ΠΠ}. Με αυτό τον τρόπο γνωρίζει τις καταναλωτικές Οικονομικό Πανεπιστήμιο Αθηνών Σελ 109

110 προτιμήσεις ενός υποκειμένου το οποίο παραμένει ανώνυμο διότι η ταυτότητά του έχει αντικατασταθεί από έναν προσδιοριστή ΑΝ Προσφορά προϊόντων από τον υπεύθυνο επεξεργασίας Βήμα 1. Όταν ο υπεύθυνος επεξεργασίας θέλει να διαθέσει κάποιο προϊόν στην αγορά, στέλνει στον ΛΔ έναν δικό του προσωπικό αριθμό αναγνώρισης (ΑΝΥθ) συνοδευόμενο με το προσφερόμενο αγαθό (ΠρΠ). Προτού τα στείλει στον ΛΔ, τα κρυπτογραφεί με το δημόσιο κλειδί του ΛΔ (ΔΚΛΔ). Υθ -> ΛΔ: {ΑΝΥθ, ΠρΠ} ΔΚΛΔ Βήμα 2. Ο ΛΔ αφού λάβει το μήνυμα του Υθ, το αποκρυπτογραφεί χρησιμοποιώντας το ιδιωτικό του κλειδί (ΙΚΛΔ). Με αυτό τον τρόπο ενημερώνεται για τα προσφερόμενα προϊόντα που έχουν οι πωλητές. Καταχωρεί στην τοπική Βάση Δεδομένων τη τριάδα {ΑΝΥθ, ΑΝΠρ, ΠρΠ} και ενημερώνει τον Υθ για το μοναδικό αναγνωριστικό που έλαβε η παραγγελία του (ΑΝΠρ). ΛΔ->Υθ: -> {ΑΝΠρ}ΔΚΥθ Βήμα 3. Ο Υθ αποκρυπτογραφεί το μήνυμα που παρέλαβε χρησιμοποιώντας το ΙΚ Υθ και αποθηκεύει το ΑΝΠρ Παράδοση προϊόντος στο υποκείμενο επεξεργασίας Βήμα 1. Αφού ο ΛΔ συγκρίνει τη ΠΠ της αίτησης κάποιου ανώνυμου πελάτη, με την ΠρΠ του προϊόντος που έστειλε κάποιος πωλητής και την οποία έχει στην τοπική του Βάση Δεδομένων, δημιουργεί μια απάντηση (ΑΠ). Η ΑΠ ανταποκρίνεται στη ΠΠ και συνοδεύεται με ένα προσδιοριστή απάντησης (ΑΝΑΠ). Στην περίπτωση μιας αρχικής ανεπιτυχούς σύγκρισης ΠΠ και ΠρΠ, μπορεί να προωθηθεί μια αναφορά σε άλλους ΛΔ. Αυτή η διαδικασία μπορεί να συνεχιστεί μέχρι η αρχική αίτηση να ικανοποιηθεί ή να αναφερθεί τελική αδυναμία ικανοποίησης της αίτησης. Η δυνατότητα αυτή προκύπτει από το γεγονός ότι, στο προτεινόμενο μοντέλο, οι δικτυοενδιάμεσοι είναι συνδεδεμένοι μεταξύ τους κάνοντας χρήση των υπηρεσιών ευρετηρίου της ΥΔΚ (βλ ). Οι υπηρεσίες ευρετηρίου δίνουν τη δυνατότητα χρήσης αναφορών (referrals) προς άλλους λειτουργικούς δικτυοενδιάμεσους σε περιπτώσεις όπου ένας λειτουργικός δικτυοενδιάμεσος δεν μπορεί να ικανοποιήσει την αίτηση ενός υποκειμένου. Η ασφάλεια των μεταδιδόμενων μηνυμάτων ευρετηρίου μπορεί να διασφαλισθεί με χρήση των ψηφιακών πιστοποιητικών που έχουν προμηθευθεί οι ΛΔ. Βήμα 2. Όταν υπάρχει επιτυχία στη σύγκριση, ο ΛΔ στέλνει τα παρακάτω μηνύματα: (α) στον Υθ στέλνει το αναγνωριστικό του υποκειμένου που έκανε την παραγγελία (ΑΝ) και το ΑΝΠρ κρυπτογραφημένα με το δημόσιο κλειδί του υπευθύνου επεξεργασίας (ΔΚ Υθ). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 110

111 ΛΔ -> Υθ: {ΑΝ, ΑΝΠρ} ΔΚΥθ (β) στον ΔΔ στέλνει το ΑΝ, το ΑΝΥθ και το ΑΝΠρ κρυπτογραφημένα με το δημόσιο κλειδί του ΔΔ (ΔΚΔΔ). ΛΔ -> ΔΔ: { ΑΝ, ΑΝΥθ, ΑΝΠρ } ΔΚΔΔ Βήμα 3. Ο Υθ αποκρυπτογραφεί το μήνυμα που έλαβε από τον ΛΔ χρησιμοποιώντας το ιδιωτικό κλειδί του (ΙΚΥθ) και στέλνει ένα μήνυμα προς τον ΔΔ που περιέχει το μήνυμα που έλαβε από τον ΛΔ (βήμα 2 (α), παραπάνω) και το αναγνωριστικό του (ΑΝΥθ) κρυπτογραφημένα με το ΔΚΔΔ. Υθ -> ΔΔ: {ΑΝ, ΑΝΠρ, ΑΝΥθ} ΔΚΔΔ Βήμα 4. Ο ΔΔ αποκρυπτογραφεί το μήνυμα που έλαβε από τον ΛΔ χρησιμοποιώντας το δικό του ιδιωτικό κλειδί (ΙΚΔΔ). Ανασύρει την δυάδα {ΤΤΤΥκ, ΑΝ} που έχει αποθηκεύσει (βλ , βήμα 2), και αντιστοιχεί στο ΑΝ που μόλις παρέλαβε, και αποθηκεύει ένα σύνδεσμο στην πλειάδα ({ΤΤΤΥκ, ΑΝ}, {ΑΝ, ΑΝΠρ, ΑΝΥθ} ΔΚΔΔ). Βήμα 5. Όταν τα προϊόντα που ανταποκρίνονται στο ΑΝΠρ παραδοθούν στον ΔΔ, συντάσσεται ένα μήνυμα που περιέχει το ΑΝ και ΑΝΠρ και στέλνεται στο Υκ αφού πρώτα το υπογράψει με το ιδιωτικό κλειδί του ΔΔ (ΙΚΔΔ). ΔΔ -> Υκ : {ΑΝ, ΑΝΠρ} ΙΚΔΔ Βήμα 6. Το Υκ επικυρώνει την ακεραιότητα του μηνύματος χρησιμοποιώντας το δημόσιο κλειδί του ΔΔ (ΔΚΔΔ). Με το ΑΝ και το ΑΝΠρ μπορεί να παρουσιασθεί στον ΔΔ να παραλάβει τα προϊόντα που έχει παραγγείλει χωρίς να αποκαλύψει την ταυτότητά του (κάνοντας χρήση τουτττυκ). Βήμα 7. Ο ΔΔ ανασύρει την πλειάδα που αντιστοιχεί στο ΑΝ που του παρουσιάζει το Υκ, ελέγχει αν ΤΤΤΥκ' == ΤΤΤΥκ 8 και παραδίδει το προϊόν Επίλυση διενέξεων 8 ΤΤΤΥκ': το τεκμήριο που του παρουσιάζει το Υκ και ΤΤΤΥκ: το τεκμήριο που είναι αποθηκευμένο στην τοπική Βάση Δεδομένων Οικονομικό Πανεπιστήμιο Αθηνών Σελ 111

112 Η επίλυση διενέξεων που προέρχονται από προσπάθεια αποποίησης ευθυνών του υποκειμένου στηρίζεται στην χρήση πρωτοκόλλου αποκάλυψης ταυτότητας (για παράδειγμα βλ ). Το πρωτόκολλο αυτό πρέπει να είναι τμήμα κάθε τεχνολογίας τριτεγγύησης ταυτότητας. Η διαδικασία ξεκινά με μήνυμα που αποστέλλει ο ΔΔ προς την ΕΤΟ που έχει εκδώσει το ΤΤΤΥκ Δικτυοενδιάμεσοι και ανώνυμα πιστοποιητικά Η χρησιμοποίηση ενός ανώνυμου πιστοποιητικού δεν μεταβάλλει τη λειτουργία των παραπάνω πρωτοκόλλων. Αντί του τεκμηρίου τριτεγγύησης ταυτότητας (ΤΤΤΥκ) το υποκείμενο χρησιμοποιεί ένα ανώνυμο πιστοποιητικό Ικανοποίηση απαιτήσεων χρήστη Ικανοποίηση λειτουργικών απαιτήσεων Το προτεινόμενο μοντέλο δικτυοενδιάμεσων ικανοποιεί τα χαρακτηριστικά λειτουργικότητας που απαιτούνται (βλ ): 1. Περιλαμβάνει μηχανισμό επίλυσης διενέξεων (βλ ). 2. Σέβεται τις απαιτήσεις για ασφάλεια, ιδιωτικότητα και τις επιδιώξεις των εμπλεκόμενων μερών. Ο Πίνακας 14 δείχνει τον τρόπο που ικανοποιούνται οι λειτουργικές απαιτήσεις από τα πρωτόκολλα που αναφέρθηκαν. 3. Το υποκείμενο δεν έρχεται σε επαφή με τον υπεύθυνο επεξεργασίας σε κανένα από τα πρωτόκολλα που προτείνονται. Η παράδοση των προϊόντων γίνεται από τους ΔΔ. Δεν απαιτείται εμπιστοσύνη προς κάποια οντότητα του μοντέλου, παρά μόνο στην τρίτη οντότητα που έχει εκδώσει το τεκμήριο τριτεγγύησης ταυτότητας. Οι απαιτήσεις ασφάλειας και ιδιωτικότητας των πρωτοκόλλων ικανοποιούνται ως εξής: 1. Ο ΛΔ αποθηκεύει στην τοπική βάση δεδομένων τη δυάδα αναγνωριστικό παραγγελίας, περιγραφή παραγγελίας {ΑΝ, ΠΠ} (βλ , βήμα 2), βρίσκει την περιγραφή παραγγελίας (ΠρΠ) που ταιριάζει στην ΠΠ και σχηματίζει την πεντάδα: αναγνωριστικό αίτησης προϊόντος, περιγραφή προϊόντος, περιγραφή παραγγελίας, αναγνωριστικό υπευθύνου, αναγνωριστικό παραγγελίας (βλ , βήμα 4). Η πεντάδα αυτή περιγράφει μοναδικά το υποκείμενο που παρήγγειλε το προϊόν (ΑΝ, ΠΠ) και τον υπεύθυνο που προσφέρει το προϊόν (ΑΝΥθ, ΠρΠ, ΑΝΠρ). Τα προϊόντα (αν είναι διαθέσιμα) παραδίδονται στο υποκείμενο που τα παρήγγειλε με πιθανότητα Για να λάβει ένα αναγνωριστικό παραγγελίας (ΑΝ) το υποκείμενο πρέπει να υποβάλλει μια αίτηση προϊόντος. Το αναγνωριστικό αυτό αποθηκεύεται στην τοπική βάση του ΔΔ μαζί με το ΤΤΤΥκ. Επομένως ακόμη και αν ένα επίβουλο υποκείμενο επεξεργασίας υποκλέψει το Οικονομικό Πανεπιστήμιο Αθηνών Σελ 112

113 ΑΝ, δεν θα μπορέσει να παρουσιάσει το κατάλληλο ΤΤΤΥκ στον ΔΔ (βλ , Απαιτήσεις ασφάλειας Νο 2 των τεκμηρίων τριτεγγύησης ταυτότητας). Οντότητες Υποκείμενο (Υκ) Απαιτήσεις Αγοράζει προϊόντα από υπεύθυνους επεξεργασίας Λειτουργίες Στέλνει αιτήσεις για προϊόντα στους δικτυοενδιάμεσους Αίτηση προϊόντος Προσφορά προϊόντων Παράδοση προϊόντος Επίλυση διενέξεων Διατηρεί την ανωνυμία και ιδιωτικότητά του Οι αγορές γίνονται με ΤΤΤΥκ Υπεύθυνος (Υθ) Διαθέτει προϊόντα στα υποκείμενα Παραδίδει τα προϊόντα Μη αποποίηση ευθυνών των Υκ Αποκάλυψη ταυτότητας Αυξάνει τις πωλήσεις του Δεν ερευνώνται στην παρούσα διατριβή Μειώνει το κόστος διαφήμισης Λειτουργικοί Δικτυοενδιάμεσ οι Ενημερώνεται για τις προτιμήσεις των υποκειμένων Ενεργούν προς όφελος των Υκ Συλλέγουν προσφορές προϊόντων Κατέχουν μεγάλες ΒΔ Συγκεντρώνουν αιτήσεις υποκειμένων για προϊόντα Δημιουργούν περιγράμματα Έχουν αυξημένες ικανότητες προώθησης προϊόντων Συγκρίνουν περιγράμματα και προϊόντα πωλητών Δικτυοενδιάμεσ οι Διαχειριστές Τους εμπιστεύονται υποκείμενα και υπεύθυνοι επεξεργασίας Αναφέρονται σε άλλους δικτυοενδιάμεσους σε περιπτώσεις όπου δεν μπορούν να ικανοποιήσουν ένα αίτημα Ελέγχουν τις διαδικασίες του μοντέλου Προστατεύουν την ανωνυμία και την ασφάλεια Συλλέγουν τις προτιμήσεις των πελατών Πίνακας 14: Ικανοποίηση λειτουργικών απαιτήσεων ασφάλειας και ιδιωτικότητας στο μοντέλο των δικτυοενδιάμεσων Οικονομικό Πανεπιστήμιο Αθηνών Σελ 113

114 3. Η πραγματική ταυτότητα του υποκειμένου επεξεργασίας δεν αποκαλύπτεται σε κανένα πρωτόκολλο, εκτός της περίπτωσης επίλυσης διενέξεων, ακόμη και αν εκδηλωθεί επίθεση συνωμοσίας (βλ ). 4. Ο ΔΔ επιβεβαιώνει την φερεγγυότητα του ΤΤΤΥκ που του παραδίδει το υποκείμενο επεξεργασίας. Σε περίπτωση που αυτό είναι άκυρο ο ΔΔ απορρίπτει την αίτηση, ενώ σε περίπτωση που είναι έγκυρο η πιθανότητα μην είναι δυνατή η αποκάλυψη της πραγματικής ταυτότητας είναι 0. (βλ , Απαιτήσεις ασφάλειας Νο 4 των τεκμηρίων τριτεγγύησης ταυτότητας) Ικανοποίηση μη λειτουργικών απαιτήσεων Οι μη λειτουργικές απαιτήσεις ικανοποιούνται μέσα από τις υπηρεσίες υποδομής του προτεινόμενου μοντέλου. Οι υπηρεσίες, με τη σειρά τους, υλοποιούνται από υπάρχουσες ΤΠΕ και ΤΠΙ (βλ. 2.4 και 2.7) που αντιμετωπίζουν τις απειλές κατά της ασφάλειας και ιδιωτικότητας (βλ και 2.7.2). Ο Πίνακας 15 αντιστοιχίζει τις υπηρεσίες υποδομής με τους ρόλους που τις παρέχουν και τις υποψήφιες τεχνολογίες που χρησιμοποιούνται για την υλοποίησή τους. ΥΠΗΡΕΣΙΑ ΥΠΟΨΗΦΙΑ ΤΕΧΝΟΛΟΓΙΑ ΔΔ ΛΔ Καταχώρηση WWW + SSL, SSH + custom application, S/MIME, PGP, Συμβατικό ταχυδρομείο Διαχείριση κλειδιών ISO , PKCS#12 Κρυπτογράφηση RSA Cryptokit, Microsoft CryptoAPI, Open Group s GCS/API Ψηφιακές Υπογραφές ISO 9594, ISO 9796, ISO 14888, ISO 9798, GSS-API, Microsoft CryptoAPI, GCS API, PKCS Διαχείριση Πιστοποιητικών X.509, SPKI, SDSI Υπηρεσίες Ευρετηρίου X.500/LDAP, Z.39.50, ISO Αρχειοθέτηση RDBMS supporting SQL Υπηρεσίες επικοινωνιών Απόκρυψης Web Mixes, Mix, Onion Routing Ανωνυμία υποκειμένου Τριτεγγύηση ταυτότητας, διαχωρισμός ρόλων δικτυοενδιάμεσων Παράδοση Προϊόντων S/MIME, PGP, Συμβατικό ταχυδρομείο Πίνακας 15: Ικανοποίηση μη λειτουργικών απαιτήσεων ασφάλειας στο μοντέλο των δικτυοενδιάμεσων Η επίθεση συνωμοσίας αντιμετωπίζεται με τα παρακάτω μέτρα: α) γίνεται διαχωρισμός ρόλων και καθηκόντων μεταξύ ΔΔ και ΛΔ. Η μονολιθική κατασκευή του παραδοσιακού μοντέλου επιβάλλει την ενοποίηση των ρόλων αυτών. Το γεγονός αυτό, κάνει το παραδοσιακό μοντέλο ευάλωτο σε επιθέσεις συνωμοσίας μεταξύ δικτυοενδιάμεσων και υπευθύνων επεξεργασίας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 114

115 β) η πραγματική ταυτότητα του Υκ δεν αποκαλύπτεται σε κανένα πρωτόκολλο (με εξαίρεση τις περιπτώσεις επίλυσης διενέξεων), ενώ γίνεται οικονομία των πληροφοριών ώστε κάθε οντότητα να γνωρίζει τις απολύτως απαραίτητες πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων που αναλογούν στο ρόλο της. Έτσι, ο ΔΔ δεν γνωρίζει τα προϊόντα που παραγγέλνει το Υκ (βλ , βήμα 5) και ο ΛΔ δεν γνωρίζει την ταυτότητα του υποκειμένου (βλ , βήμα 2). 3. Κατά την παράδοση το Υκ δεν επιδεικνύει την πραγματική του ταυτότητα για την παραλαβή των προϊόντων αλλά το τεκμήριο τριτεγγύησης ταυτότητας (ΤΤΤΥκ) μαζί με τον προσδιοριστή της παραγγελίας (βλ , βήμα 7) Επεκτάσεις Το μοντέλο που παρουσιάσθηκε καλύπτει τις απαιτήσεις χρήσης των δικτυοενδιάμεσων (βλ ) με τους εξής τρόπους: 1. Βοηθά στη δημιουργία σχέσεων εμπιστοσύνης μεταξύ δικτυοενδιάμεσων και υποκειμένων επεξεργασίας διότι αφενός εγγυάται την ασφάλεια των μεταδιδομένων πληροφοριών, με χρήση ψηφιακών πιστοποιητικών, αφετέρου διασφαλίζει την ανωνυμία των υποκειμένων χωρίς όμως να μπορούν να αποποιηθούν τις ευθύνες τους (παρέχεται μηχανισμός παράκαμψης ανωνυμίας). Δύο επίπεδα ανωνυμίας υποκειμένου επεξεργασίας «από άκρη σε άκρη» μπορούν να διακριθούν: 1. Ανωνυμία προσωπικού περιγράμματος του υποκειμένου επεξεργασίας, η οποία αναφέρεται στα πρωτόκολλα που περιγράφηκαν και εγγυώνται την προστασία των προσωπικών δεδομένων, από την αποκάλυψη τους σε μη εξουσιοδοτημένες οντότητες, και 2. Ανωνυμία επικοινωνιακού επιπέδου, η οποία αναφέρεται σε μηχανισμούς και τεχνολογίες που μπορούν να υιοθετηθούν για να αποκρύψουν την επικοινωνία μεταξύ των διαφόρων οντοτήτων του μοντέλου. 2. Παρέχει ένα μηχανισμό γνωριμίας μεταξύ των δικτυοενδιάμεσων με χρήση των υπηρεσιών ευρετηρίου της ΥΔΚ των δικτυοενδιάμεσων. Στις παραπάνω παραγράφους παρουσιάσθηκαν τα βασικά πρωτόκολλα για την υλοποίηση του μοντέλου των δικτυοενδιάμεσων. Για την εφαρμογή του στο Διαδίκτυο θα πρέπει να εξετασθούν ορισμένες πτυχές υλοποίησης των πρωτοκόλλων που σχετίζονται με την απόδοσή τους: 1. Βελτίωση χρόνου απόκρισης του πρωτοκόλλου παράδοσης προϊόντος στο Υκ. Οι διαδικασίες επικύρωσης του ΤΤΤΥκ από τον ΔΔ και αναζήτησης προϊόντων που ταιριάζουν με την παραγγελία του Υκ μπορούν να εκτελούνται παράλληλα. Η προώθηση της παραγγελίας του Υκ (βλ , βήμα 4) μπορεί να γίνεται παράλληλα με την επικύρωση του τεκμηρίου που παρουσιάζει το Υκ (βλ , βήμα 2). Με αυτό τον τρόπο θα μειωθεί ο χρόνος ολοκλήρωσης του πρωτοκόλλου παράδοσης προϊόντος στο Υκ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 115

116 2. Σε ένα περιβάλλον δικτύου από δικτυοενδιάμεσους ένα Υκ μπορεί να συμβληθεί με περισσότερους από έναν ΔΔ και ένας Υθ με περισσότερους από έναν ΛΔ. Για την εύρυθμη λειτουργία των πρωτοκόλλων πρέπει στα μηνύματα που ανταλλάσσονται να περιέχεται και ένας προσδιοριστής των ΔΔ και ΛΔ με τους οποίους έχουν συμβληθεί τα υποκείμενα και οι υπεύθυνοι επεξεργασίας αντίστοιχα. 3. Μείωση κυκλοφοριακού φόρτου. Για την ελαχιστοποίηση των δεδομένων που κυκλοφορούν στο Διαδίκτυο, μόνο οι αλλαγές που αναφέρονται στις προτιμήσεις των Υκ και στα προσφερόμενα από τους Υθ προϊόντα, μεταδίδονται Υπηρεσία Πρόσβασης σε Ανώνυμα Περιγράμματα της ΥΠΔ Η υπηρεσία πρόσβασης σε ανώνυμα περιγράμματα της ΥΠΔ αποτελείται από λειτουργικές μονάδες, που επικοινωνούν μεταξύ τους ώστε να διεκπεραιώσουν τα πρωτόκολλα που περιγράφηκαν παραπάνω. Πιο συγκεκριμένα, αποτελείται από τέσσερις κατηγορίες επιμέρους υπηρεσιών: (1). Πρόσβαση χωρίς διαμεσολάβηση τρίτου με ανώνυμα πιστοποιητικά. Υλοποιεί το σχετικό πρωτόκολλο (βλ ) και οι λειτουργίες της περιγράφονται στη σελίδα 257. (2). Πρόσβαση χωρίς διαμεσολάβηση τρίτου με τριτεγγύηση ταυτότητας. Υλοποιεί το σχετικό πρωτόκολλο (βλ ) και οι λειτουργίες της περιγράφονται στη σελίδα 257. (3). Πρόσβαση με διαμεσολάβηση δικτυοενδιάμεσου με ανώνυμα πιστοποιητικά. Υλοποιεί το σχετικό πρωτόκολλο (βλ ) και οι λειτουργίες της περιγράφονται στη σελίδα 261. (4). Πρόσβαση με διαμεσολάβηση δικτυοενδιάμεσου με τριτεγγύηση ταυτότητας. Υλοποιεί το σχετικό πρωτόκολλο (βλ ) και οι λειτουργίες της περιγράφονται στη σελίδα 261. Η πλήρης περιγραφή των υπηρεσιών παρατίθεται στο Παράρτημα Ι (σελ. 257). Κάθε λειτουργική μονάδα περιγράφεται μοναδικά με κάποιο μοναδικό αναγνωριστικό. Τα αναγνωριστικά των λειτουργικών μονάδων της υπηρεσίας «Πρόσβαση σε ανώνυμα περιγράμματα» δίνονται στο κεφάλαιο 8 (Πίνακας 23). Τα αναγνωριστικά της υπηρεσίας ξεκινούν από ΑΠ (Ανώνυμα Περιγράμματα), στην συνέχεια υπάρχει ένα αναγνωριστικό για κάθε επιμέρους υπηρεσία (ΤΤ: τριτεγγύηση ταυτότητας, ΔΕ: Δικτυοενδιάμεσος). Τέλος, ακολουθούν δύο ψηφία τα οποία προσδιορίζουν τη λειτουργική μονάδα μέσα στην επιμέρους υπηρεσία. Για τη σύμβαση που ισχύει σχετικά με την ονοματοδοσία των λειτουργικών μονάδων (βλ ). Η πρόσβαση σε ανώνυμα περιγράμματα υποστηρίζεται από τις λειτουργικές μονάδες του προστάτη ταυτότητας (κεφάλαιο 6). Η αλληλουχία των κλήσεων των λειτουργικών μονάδων δίνεται στο κεφάλαιο 8 (Πίνακας 24). 4.5 Σύνοψη Τα συμπεράσματα του παρόντος κεφαλαίου μπορούν να συνοψισθούν ως εξής: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 116

117 Η δημιουργία καταναλωτικών περιγραμμάτων συμπεριφοράς εν αγνοία του υποκειμένου επεξεργασίας συνιστά παραβίαση των βασικών αρχών-δικαιωμάτων προστασίας δεδομένων. Το μοναδικό όπλο του υποκειμένου κατά της απευθείας παραβίασης της αρχής της τιμιότητας και νομιμότητας, είναι η ανωνυμία ή/και η ψευδωνυμία. Η πρόσβαση σε ανώνυμα περιγράμματα διασφαλίζει αφενός την επιλογή του υποκειμένου επεξεργασίας σχετικά με την αποκάλυψη των προσωπικών του δεδομένων και αφετέρου την νομιμότητα της συλλογής των δεδομένων από τη στιγμή που κανένα κανονιστικό πλαίσιο δεν αντιτίθεται στην συλλογή ανωνυμοποιημένων προσωπικών δεδομένων. Ο προστάτης ταυτότητας (βλ. 6.2, παρακάτω) δεν είναι κατάλληλος για διενέργεια απευθείας εμπορικών συναλλαγών διότι ο υπεύθυνος επεξεργασίας δεν έχει εμπιστοσύνη στις διαδικασίες παράκαμψης ανωνυμίας που ακολουθεί ο διαχειριστής του ΠΣ του υποκειμένου. Η υπηρεσία "Πρόσβαση σε ανώνυμα περιγράμματα" της ΥΠΔ, επιλύει το παραπάνω πρόβλημα παρέχοντας στο υποκείμενο επεξεργασίας δύο επιμέρους εναλλακτικές επιμέρους υπηρεσίες: 1. Την υπηρεσία "Πρόσβαση σε ανώνυμα περιγράμματα χωρίς μεσολάβηση τρίτου". Το υποκείμενο επεξεργασίας χρησιμοποιεί είτε ένα ανώνυμο πιστοποιητικό είτε ένα τεκμήριο τριτεγγύησης ταυτότητας, από κάποια ΕΤΟ που εμπιστεύεται το υποκείμενο και ο υπεύθυνος επεξεργασίας, και στην συνέχεια έρχεται σε απ' ευθείας επικοινωνία με τον υπεύθυνο επεξεργασίας. 2. Την υπηρεσία "Πρόσβαση σε ανώνυμα περιγράμματα με διαμεσολάβηση δικτυοενδιάμεσου". Το υποκείμενο επεξεργασίας χρησιμοποιεί είτε ένα ανώνυμο πιστοποιητικό είτε ένα τεκμήριο τριτεγγύησης ταυτότητας από κάποια ΕΤΟ και στην συνέχεια έρχεται σε επικοινωνία με τον υπεύθυνο επεξεργασίας μέσω κάποιου δικτυοενδιάμεσου (infomediary) τον οποίο εμπιστεύονται και οι δύο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 117

118 5 ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΕΠΙΒΛΕΨΗ Μια από τις σημαντικότερες υποχρεώσεις των υπευθύνων επεξεργασίας είναι η ενημέρωση των υποκειμένων σχετικά με τις διαδικασίες που ακολουθούν για την επεξεργασία των προσωπικών δεδομένων. Ο ρόλος της ενημέρωσης είναι διττός: (α) αυξάνει την προσλαμβανόμενη αίσθηση ασφάλειας (perceived competence) του υποκειμένου προς τον υπεύθυνο επεξεργασίας 9 και (β) συμβάλλει στην λήψη της συγκατάθεσης του υποκειμένου για την επεξεργασία των προσωπικών του δεδομένων. Η ενημέρωση των υποκειμένων περιλαμβάνει την ανακοίνωση δύο κειμένων: (α) την ειδοποίηση (notice) του υπευθύνου προς το υποκείμενο επεξεργασίας που περιγράφει: τον υπεύθυνο επεξεργασίας, τις πηγές και τους αποδέκτες των δεδομένων, τον σκοπό της επεξεργασίας, τον χρόνο τήρησης των δεδομένων και στοιχεία επικοινωνίας με τον υπεύθυνο και (β) την πολιτική προστασίας προσωπικών δεδομένων (privacy policy) που περιγράφει τα οργανοτεχνικά μέτρα που λαμβάνει ο υπεύθυνος επεξεργασίας για να προστατέψει τα προσωπικά δεδομένα που επεξεργάζεται. Στην πράξη, το κείμενο της ειδοποίησης ενσωματώνεται στην πολιτική προστασίας προσωπικών δεδομένων (βλ ). Η ενημέρωση που λαμβάνει το υποκείμενο επηρεάζει την εμπιστοσύνη του προς τον υπεύθυνο επεξεργασίας διότι η εμπιστοσύνη στηρίζεται στην διαπίστωση, ότι η ενημέρωση που λαμβάνει από τον τελευταίο, συμβαδίζει με την πραγματική επεξεργασία των προσωπικών δεδομένων. Η διαπίστωση αυτή στηρίζεται σε δύο παράγοντες: 9 Περισσότερα για την σχέση των εννοιών της προσλαμβανομένης αίσθησης ασφάλειας και της εμπιστοσύνης με το πλαίσιο προστασίας δεδομένων στο κεφάλαιο 7. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 118

119 1. Την προσωπική θεώρηση της προστασίας δεδομένων από πλευράς του υποκειμένου επεξεργασίας. Η υπηρεσία "Ενημέρωση" της τεχνολογικής διαδικτυακής ΥΠΔ, δίνει τη δυνατότητα στον υπεύθυνο και το υποκείμενο επεξεργασίας να ορίζουν απευθείας τις πολιτικές προστασίας δεδομένων τους και να ελέγχουν τη συμβατότητά τους με το πλαίσιο προστασίας δεδομένων. Επιπλέον, το υποκείμενο επεξεργασίας έχει τη δυνατότητα να διαπραγματεύεται απευθείας την πολιτική προστασίας δεδομένων του. 2. Τον προληπτικό έλεγχο των πολιτικών προστασίας δεδομένων και την πιστοποίησή τους από την Αρχή Ελέγχου. Η υπηρεσία "Επίβλεψη" της τεχνολογικής διαδικτυακής ΥΠΔ παρέχει τη δυνατότητα στο υποκείμενο επεξεργασίας να επιβεβαιώνει απευθείας, με εύκολο τρόπο, την διενέργεια ελέγχου από κάποια Αρχή Ελέγχου προς τον υπεύθυνο επεξεργασίας. Τέλος, η αρχή της επίβλεψης δημιουργεί την ανάγκη στον υπεύθυνο επεξεργασίας να μπορεί, με εύκολο τρόπο, να αποδείξει την επάρκεια των τεχνικών μέτρων που λαμβάνει για να προστατεύσει τα προσωπικά δεδομένα των υποκειμένων. Η υπηρεσία "Ασφάλεια και ακεραιότητα" δίνει τη δυνατότητα στους υπεύθυνους επεξεργασίας να δημιουργούν και να διαχειρίζονται τα τεχνικά μέτρα προστασίας που λαμβάνουν. Η συμβολή του παρόντος κεφαλαίου στην επιστήμη συνίσταται στα παρακάτω: εντοπισμός των προβλημάτων που αντιμετωπίζουν τα υπάρχοντα προγράμματα απευθείας επικύρωσης πολιτικών προστασίας δεδομένων (βλ ). παρουσίαση μηχανισμού που επιλύει τα προβλήματα που εντοπίστηκαν (βλ ). εντοπισμός των προβλημάτων του υπάρχοντος πλαισίου διαχείρισης των τεχνικών μέτρων της ασφάλειας ενός ΠΣ και παρουσίαση ενός νέου πλαισίου αυτοματοποίησης της διαχείρισής τους (βλ και 5.3.2). πρόταση για αρχιτεκτονική ικανής να υποστηρίξει, με αυτοματοποιημένα μέσα, το προτεινόμενο πλαίσιο διαχείρισης των τεχνικών μέτρων ασφάλειας ενός ΠΣ (βλ ). 5.1 Ενημέρωση Γενικά Όταν ένα υποκείμενο έρχεται για πρώτη φορά σε επαφή με κάποιον υπεύθυνο επεξεργασίας δεν γνωρίζει τον τρόπο με τον οποίο θα χρησιμοποιηθούν τα προσωπικά του δεδομένα από τον συγκεκριμένο υπεύθυνο επεξεργασίας. Η ενημέρωση των υποκειμένων από τους υπεύθυνους επεξεργασίας είναι ο ακρογωνιαίος λίθος της προσλαμβανόμενης αίσθησης ασφάλειας αναφορικά με την προστασία προσωπικών δεδομένων [CUL-99]. Τα στάδια δημιουργίας εμπιστοσύνης σε μια αλληλεπίδραση του υποκειμένου με τον υπεύθυνο επεξεργασίας δίνονται στο παρακάτω σχήμα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 119

120 Σχήμα 14: Η προσλαμβανόμενη αίσθηση ασφάλειας στο χρόνο αναφορικά με την προστασία προσωπικών δεδομένων Στο Σχήμα 14 τα σύμβολα (+,-), χρησιμοποιούνται για να δηλώσουν τους παράγοντες που λειτουργούν προς όφελος (+) ή ζημία (-) της προσλαμβανόμενης αίσθησης ασφάλειας που αποκομίζει το υποκείμενο κατά την διάρκεια της συναλλαγής του με τον υπεύθυνο επεξεργασίας. Από το διάγραμμα προκύπτει ότι η διαπίστωση του υποκειμένου σχετικά με την συνέπεια της πραγματικής χρήσης των προσωπικών δεδομένων με την ενημέρωση, είναι καθοριστικής σημασίας για την προσλαμβανόμενη αίσθηση ασφάλειας μεταξύ υποκειμένου και υπευθύνου επεξεργασίας. Η διαπίστωση αυτή στηρίζεται σε δύο παράγοντες: 1. Την ερμηνεία του νόμου από πλευράς του υποκειμένου σύμφωνα με την κουλτούρα που επικρατεί στο περιβάλλον που αναπτύσσεται η σχέση και την προσωπική του κοσμοθεωρία. Η κουλτούρα επηρεάζει τον τρόπο με τον οποίο αναπτύσσεται η αίσθηση ασφάλειας μεταξύ των οντοτήτων που επικοινωνούν. Για παράδειγμα, έχει βρεθεί ότι οι χρήστες του Διαδικτύου που προέρχονται από ατομικιστικές (individualistic) κουλτούρες εμπιστεύονται ευκολότερα τρίτους, από ότι οι αντίστοιχοι που προέρχονται από κολεκτιβιστικές (collectivist) κουλτούρες [JAR-99]. Επιπλέον η προσωπική κοσμοθεωρία που αναπτύσσει κάθε άνθρωπος και εκφράζει τον εσωτερικό του κόσμο επηρεάζει επίσης τον τρόπο που Οικονομικό Πανεπιστήμιο Αθηνών Σελ 120

121 αναπτύσσει σχέσεις εμπιστοσύνης. Παρά την σημαντικότητα αυτών των παραγόντων, στον τρόπο που διαμορφώνεται η αίσθηση ασφάλειας, δεν γίνεται περαιτέρω έρευνα στα θέματα αυτά στην παρούσα διατριβή. Σε περιπτώσεις όπου το υποκείμενο διαπιστώσει ανακολουθία μεταξύ ενημέρωσης και πραγματικής χρήσης των προσωπικών του δεδομένων μπορεί να προσφύγει και να καταγγείλει στην Αρχή Ελέγχου το γεγονός. 2. Την επιβεβαίωση ότι η Αρχή Ελέγχου έχει διενεργήσει έλεγχο (επιβλέψει) και έχει πράγματι διαπιστώσει ότι η ενημέρωση που λαμβάνει το υποκείμενο αντιστοιχεί πράγματι στις πραγματικές, καθημερινές διαδικασίες που ακολουθεί ο υπεύθυνος επεξεργασίας. Η υπηρεσία που παρέχει η τεχνολογική διαδικτυακής ΥΠΔ, για να εξασφαλισθεί ο πρώτος παράγοντας ονομάζεται "Ενημέρωση" ενώ για τον δεύτερο ονομάζεται "Επίβλεψη" Υπηρεσία "Ενημέρωση" της ΥΠΔ Τα οργανοτεχνικά μέτρα που λαμβάνει ο υπεύθυνος επεξεργασίας καταγράφονται στην πολιτική προστασίας δεδομένων (βλ ). Μια πολιτική προστασίας δεδομένων πρέπει να περιλαμβάνει, κατ' ελάχιστον, τα μέτρα που υιοθετεί ο υπεύθυνος επεξεργασίας για να προασπίσει τις βασικές αρχές προστασίας δεδομένων. Κατ' αυτή την έννοια η απευθείας ανακοίνωση της πολιτικής προστασίας δεδομένων ικανοποιεί τις απαιτήσεις χρήσης του υποκειμένου και υπευθύνου επεξεργασίας, που σχετίζονται με την υποστήριξη των βασικών αρχών προστασίας δεδομένων, από την τεχνολογική διαδικτυακή ΥΠΔ (βλ , Υποστήριξη των αρχών-δικαιωμάτων προστασίας δεδομένων). Οι απαιτήσεις χρήσης της υπηρεσίας "Ενημέρωση" της ΥΠΔ είναι: 1. Απευθείας ανακοίνωση της πολιτικής προστασίας δεδομένων. Ο υπεύθυνος επεξεργασίας χρησιμοποιεί αυτή τη λειτουργία για να ανακοινώσει την πολιτική του στο Διαδίκτυο. Το υποκείμενο επεξεργασίας χρησιμοποιεί αυτή τη λειτουργία για να κατασκευάσει την προσωπική του πολιτική προστασίας δεδομένων. 2. Έλεγχος συμβατότητας πολιτικών προστασίας δεδομένων. Το υποκείμενο επεξεργασίας μπορεί να διαπιστώσει αν μια απευθείας πολιτική είναι συμβατή με τη δική του πολιτική προστασίας δεδομένων. 3. Έλεγχος συμβατότητας μιας πολιτικής προστασίας δεδομένων με το κανονιστικό πλαίσιο προστασίας δεδομένων. Αυτή τη λειτουργία δύναται να την χρησιμοποιήσουν τόσο ο υπεύθυνος όσο και το υποκείμενο επεξεργασίας για να διαπιστώσουν τη συμβατότητα μιας πολιτικής με το κανονιστικό πλαίσιο προστασίας δεδομένων. Οι παραπάνω απαιτήσεις χρήσης ικανοποιούνται από την υπηρεσία "Ενημέρωση" της ΥΠΔ η οποία περιλαμβάνει τις εξής λειτουργικές μονάδες: 1. Λειτουργική μονάδα δημιουργίας και ενημέρωσης πολιτικών προστασίας δεδομένων (βλ ). Παρέχει στον χρήστη την δυνατότητα να δημιουργεί κατά βούληση την δική του Οικονομικό Πανεπιστήμιο Αθηνών Σελ 121

122 πολιτική προστασίας δεδομένων ενώ παράλληλα να διαπραγματεύεται την πολιτική προστασίας δεδομένων που του παρουσιάζει ένας διαδικτυακός τόπος. 2. Λειτουργική μονάδα Διαχείρισης νομικής γνώσης (βλ ). Συνεργάζεται με τη λειτουργική μονάδα δημιουργίας και ενημέρωσης πολιτικών προστασίας προσωπικών δεδομένων ώστε να παρέχουν την δυνατότητα στον χρήστη να λαμβάνει γνώση και να αξιοποιεί το νομικό πλαίσιο προστασίας δεδομένων που υπάρχει στο περιβάλλον που λειτουργεί. Οι λειτουργικές μονάδες της υπηρεσίας «Ενημέρωση» παρέχονται από τον προστάτη ταυτότητας (βλ ) και η περιγραφή τους δίνεται στο παράρτημα ΙΙΙ. Για το λόγο αυτό, δεν γίνεται περαιτέρω περιγραφή τους στο σημείο αυτό. 5.2 Επίβλεψη Η υπηρεσία "Επίβλεψη" της τεχνολογικής διαδικτυακής ΥΠΔ έχει σαν στόχο την αύξηση της προσλαμβανόμενης αίσθησης ασφάλειας του υποκειμένου επεξεργασίας σχετικά με το γεγονός ότι η απευθείας ενημέρωση (με χρήση της υπηρεσίας "Ενημέρωση" της ΥΠΔ) που λαμβάνει από τον υπεύθυνο επεξεργασίας, αντιστοιχεί στις πραγματικές, καθημερινές δραστηριότητες που αναλαμβάνει ο τελευταίος ώστε να ανταποκριθεί στις απαιτήσεις του νόμου και στις δηλώσεις, στις οποίες δεσμεύεται, της πολιτικής προστασίας δεδομένων. Για τον υπεύθυνο επεξεργασίας η αρχή της επίβλεψης έχει δύο διαστάσεις: (1) την αύξηση της προσλαμβανόμενης αίσθησης ασφάλειας του υποκειμένου ότι προασπίζει τις βασικές αρχές προστασίας δεδομένων και (2) την απόδειξη της επάρκειας των τεχνικών μέτρων ασφάλειας που λαμβάνει (αρχή ασφάλειας). Η πρώτη διάσταση καλύπτεται από την υπηρεσία "Επίβλεψη" ενώ η δεύτερη από την υπηρεσία "Ασφάλεια και ακεραιότητα" της ΥΠΔ (βλ. 5.3) Απευθείας επικύρωση πολιτικών προστασίας ιδιωτικότητας Τα στάδια εξέλιξης της προσλαμβανόμενης αίσθησης ασφάλειας στις αλληλεπιδράσεις μεταξύ υποκειμένου και υπευθύνου επεξεργασίας με την Αρχή Ελέγχου δίνονται στο Σχήμα 15. Τα σύμβολα (+,-), χρησιμοποιούνται για να δηλώσουν τους παράγοντες που λειτουργούν προς όφελος (+) ή ζημία (-) της προσλαμβανόμενης αίσθησης ασφάλειας που αποκομίζουν το υποκείμενο και ο υπεύθυνος επεξεργασίας από την αλληλεπίδρασή τους με την Αρχή Ελέγχου. Η διαπίστωση από την πλευρά της Αρχής Ελέγχου σχετικά με την ύπαρξη παράβασης και η ικανοποίηση του υποκειμένου από την επιβολή κυρώσεων παίζουν το σημαντικότερο ρόλο σχετικά με την προσλαμβανόμενη αίσθηση ασφάλειας μεταξύ υποκειμένου επεξεργασίας και Αρχής Ελέγχου. Η διαδικασία ελέγχου για την ύπαρξη παράβασης του νόμου ενεργοποιείται είτε μέσω καταγγελιών των υποκειμένων επεξεργασίας είτε αυτεπάγγελτα μέσω της σε τακτά χρονικά διαστήματα επίβλεψης τήρησης των διαδικασιών του νόμου από την πλευρά της Αρχής Ελέγχου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 122

123 Σχήμα 15: Προσλαμβανόμενη αίσθηση ασφάλειας υποκειμένου προς τον υπεύθυνο επεξεργασίας και την Αρχή Ελέγχου Η απευθείας επικύρωση των πολιτικών προστασίας δεδομένων είναι η πιο συχνά χρησιμοποιούμενη υπηρεσία επιβεβαίωσης της διενέργειας ελέγχου. Η απευθείας επικύρωση των πολιτικών προστασίας δεδομένων στηρίζεται στη χρήση του μηχανισμού ψηφιακών σφραγίδων. Από τη μελέτη της διεθνούς βιβλιογραφίας προκύπτει ότι, οι ψηφιακές σφραγίδες θεωρούνται ο σημαντικότερος μηχανισμός για την αύξηση της προσλαμβανόμενης αίσθησης ασφάλειας, σε λειτουργικό επίπεδο, των χρηστών του Διαδικτύου [BEL-02]. Η απευθείας επικύρωση πολιτικών προστασίας δεδομένων περιλαμβάνει την ενεργή συμμετοχή των Αρχών Ελέγχου και την χρήση των παρακάτω πρωτοκόλλων: 1. Πρωτόκολλο ελέγχου και έκδοσης σφραγίδας: κατά την διάρκεια του πρωτοκόλλου γίνεται έλεγχος της πολιτικής προστασίας προσωπικών δεδομένων του υπευθύνου επεξεργασίας και έκδοση σφραγίδας ελέγχου από την Αρχή Ελέγχου. 2. Πρωτόκολλο επικύρωσης: το υποκείμενο επεξεργασίας επικυρώνει τη γνησιότητα της σφραγίδας ελέγχου του υπευθύνου επεξεργασίας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 123

124 Η ψηφιακή σφραγίδα είναι μια ψηφιακή εικόνα που απεικονίζει το λογότυπο της Αρχής Ελέγχου και συνοδεύεται, στην παρούσα της μορφή, από ένα μηχανισμό ελέγχου της εγκυρότητάς της [BEN-99]. Η ύπαρξη της ψηφιακής εικόνας αποδεικνύει την συμμετοχή του υπευθύνου επεξεργασίας σε κάποιο πρόγραμμα ελέγχου και πιστοποίησης συμβατότητας με τις αρχές του πλαισίου προστασίας δεδομένων (βλ. 2.7). Οι απαιτήσεις ασφάλειας από μια ψηφιακή σφραγίδα είναι [CGG-98]: 1. Δεν είναι ευάλωτη σε επίθεση πλαστοπροσωπίας του πιστοποιημένου υπευθύνου επεξεργασίας. Η πιθανότητα ένας υπεύθυνος επεξεργασίας να μην έχει ολοκληρώσει με επιτυχία το πρωτόκολλο ελέγχου και έκδοσης ψηφιακής σφραγίδας και το υποκείμενο επεξεργασίας να ολοκληρώσει με επιτυχία το πρωτόκολλο επικύρωσης ισούται με Δεν είναι δυνατή η μεταβολή της απάντησης που αποστέλλει η Αρχή Ελέγχου στο υποκείμενο επεξεργασίας. Η πιθανότητα ένας υπεύθυνος επεξεργασίας να έχει ολοκληρώσει με επιτυχία το πρωτόκολλο ελέγχου και έκδοσης ψηφιακής σφραγίδας και το υποκείμενο επεξεργασίας να ολοκληρώσει με επιτυχία το πρωτόκολλο επικύρωσης ισούται με Η πιθανότητα ένας υπεύθυνος επεξεργασίας να έχει ολοκληρώσει με επιτυχία το πρωτόκολλο ελέγχου και έκδοσης ψηφιακής σφραγίδας και το υποκείμενο επεξεργασίας να μην ολοκληρώσει με επιτυχία το πρωτόκολλο επικύρωσης ισούται με 0. Τα υπάρχοντα προγράμματα ψηφιακών σφραγίδων απαιτούν την συμμετοχή των Αρχών Ελέγχου σε κάποια ΥΔΚ, και την κατοχή από πλευράς τους ενός ψηφιακού πιστοποιητικού αλλά δεν ικανοποιούν όλες τις παραπάνω απαιτήσεις ασφάλειας. Για την απόδειξη του παραπάνω ισχυρισμού γίνεται η ανάλυση, που ακολουθεί, των πρωτοκόλλων έκδοσης και επικύρωσης των υπαρχόντων προγραμμάτων ψηφιακής σφραγίδας ενώ στην παράγραφο εντοπίζονται οι ευπάθειές τους Προγράμματα ψηφιακών σφραγίδων Έλεγχος και έκδοση σφραγίδας Κάθε υπεύθυνος επεξεργασίας (Υθ), ανεξάρτητα του μοντέλου ιδιωτικότητας (βλ ) που υιοθετείται, πρέπει να υποβάλλει την πολιτική προστασίας δεδομένων, που εφαρμόζει, στην Αρχή Ελέγχου (ΑΕ) για έλεγχο. Σε περιβάλλοντα όπου υιοθετείται το μοντέλο του γενικού ρυθμιστικού πλαισίου προστασίας ιδιωτικότητας, η ΑΕ έχει την εξουσία να διενεργεί αυτεπάγγελτους ελέγχους πλέον των περιοδικών. Το προσωπικό της ΑΕ διενεργεί τον έλεγχο, ακολουθώντας κάποια πρότυπη μεθοδολογία ελέγχου [SIO-02], και στην περίπτωση που διαπιστώσει ότι η πολιτική προστασίας δεδομένων είναι συμβατή με τις αρχές του πλαισίου προστασίας δεδομένων χορηγεί το απαιτούμενο πιστοποιητικό ελέγχου. Το πρωτόκολλο ολοκληρώνεται σε δύο βήματα: Βήμα 1: Για την απευθείας επιβεβαίωση της πολιτικής προστασίας δεδομένων από το υποκείμενο επεξεργασίας (Υκ), το πιστοποιητικό ελέγχου συνοδεύεται και από μια ψηφιακή Οικονομικό Πανεπιστήμιο Αθηνών Σελ 124

125 σφραγίδα (ΨΣ) της ΑΕ που διενέργησε τον έλεγχο. Η ΑΕ αποθηκεύει στην τοπική βάση δεδομένων ένα μοναδικό προσδιοριστή (IDΥθ) για την μοναδική αναγνώριση της εγγραφής και το πιστοποιητικό ελέγχου (Πε). Στη συνέχεια η ΑΕ, προωθεί την σφραγίδα και τον μοναδικό προσδιοριστή στον Υθ. ΑΕ -> Υθ: ΨΣ, {IDΥθ} Βήμα 2: Η χορηγούμενη ψηφιακή σφραγίδα αναρτάται στις ιστοσελίδες του ελεγχθέντος Υθ Επικύρωση σφραγίδας Βήμα 1: Το Υκ κατά την επικοινωνία του (επίσκεψη στις ιστοσελίδες του) με τον Υθ πρέπει να αναζητά την ψηφιακή σφραγίδα ως απόδειξη της διενέργειας ελέγχου από την ΑΕ. Για την επικύρωση της αυθεντικότητας της σφραγίδας δίνεται στο Υκ ο μοναδικός προσδιοριστής καταχώρησης (IDΥθ). Υθ -> Υκ: {IDΥθ} Βήμα 2: Το Υκ στέλνει τον προσδιοριστή που έλαβε στην ΑΕ κρυπτογραφημένο με το δημόσιο κλειδί της (ΔΚΑΕ). Υκ -> ΑΕ: {IDΥθ}ΔΚΑΕ Βήμα 3: Η ΑΕ αποκρυπτογραφεί το μήνυμα που έλαβε, χρησιμοποιώντας το ιδιωτικό κλειδί της ({{IDΥθ}ΔΚΑΕ}ΙΚΑΕ =IDΥθ), και εντοπίζει, στην τοπική Βάση Δεδομένων το πιστοποιητικό ελέγχου (Πε) που αντιστοιχεί στον προσδιοριστή ID Υθ. Στην συνέχεια προωθεί το πιστοποιητικό ελέγχου στο Υκ. ΑΕ -> Υκ: Πε Βήμα 4: Το Υκ διαβάζει τα στοιχεία του πιστοποιητικού που έλαβε και ενημερώνεται σχετικά με την πολιτική προστασίας προσωπικών δεδομένων του Υθ Προγράμματα ψηφιακών σφραγίδων Υπάρχουν πολλοί οργανισμοί με εμπειρία στην προστασία δεδομένων που προσφέρουν προγράμματα ψηφιακών σφραγίδων. Παραδείγματα τέτοιων προγραμμάτων περιλαμβάνουν το TRUSTe, BBBOnline, WebTrust, Direct Market Association (DMA), Online Privacy Alliance και American Electronics Association. Σκοπός των προγραμμάτων αυτών είναι η προβολή και λειτουργία των πρακτικών και προτύπων προστασίας δεδομένων που προτείνουν. Οι διαδικασίες για τον έλεγχο συμβατότητας των δηλωθέντων πολιτικών προστασίας δεδομένων με τα πρότυπα και οι μηχανισμοί επιβολής κυρώσεων, των παραπάνω προγραμμάτων, αποτελούν τους σημαντικότερους παράγοντες διαφοροποίησής τους. Οι διαδικασίες ελέγχου συμβατότητας περιλαμβάνουν περιοδικούς ελέγχους από τους οργανισμούς που λειτουργούν το πρόγραμμα της σφραγίδας και εξωτερικούς ελέγχους από ελεγκτικές εταιρίες ενώ οι μηχανισμοί επιβολής κυρώσεων προβλέπουν [ΡΙΡ-02]: (α) Οικονομικό Πανεπιστήμιο Αθηνών Σελ 125

126 εγγραφή του παραβάτη υπευθύνου σε "μαύρη" λίστα, (β) την απομάκρυνση της ψηφιακής σφραγίδας από τις ιστοσελίδες του παραβάτη και (γ) διοικητικά ή ποινικά μέτρα (που σχετίζονται με την παραβίαση όρων του συμβολαίου ή την κακή χρήση της σφραγίδας και όχι με την παραβίαση των αρχών προστασίας δεδομένων). Εκτός των πολιτικών προστασίας δεδομένων, υπάρχουν προγράμματα ψηφιακής σφραγίδας που χρησιμοποιούνται για να πιστοποιήσουν ότι το περιεχόμενο που παρουσιάζεται στις ιστοσελίδες ενός διαδικτυακού τόπου είναι κατάλληλο για ανάγνωση από παιδιά (το πρόγραμμα kids της TRUSTe) και την συμβατότητα των παρεχόμενων από τον υπεύθυνο επεξεργασίας υπηρεσιών που ακολουθούν συγκεκριμένα εμπορικά πρότυπα [CGG-98]. Τα γνωστότερα προγράμματα ψηφιακών σφραγίδων λειτουργούν σε περιβάλλοντα αυτορρύθμισης. Αυτό πρακτικά σημαίνει, ότι επίλυση των διαφορών σε περιπτώσεις διενέξεων μεταξύ υπευθύνου και υποκειμένου επεξεργασίας λαμβάνει χώρα σε δικαστήρια της χώρας που είναι εγκατεστημένη η εταιρία που παρέχει το συγκεκριμένο πρόγραμμα [TRU-02a]. Σύμφωνα με έκθεση που πραγματοποίησε η εταιρεία Forrester στα 1999 [FOR- 99], το σημαντικότερο πρόβλημα των υπαρχόντων προγραμμάτων ψηφιακής σφραγίδας είναι ότι οι εταιρείες που διαχειρίζονται αυτά τα προγράμματα είναι εξαρτημένες από τις εταιρείες-συνδρομητές τους και γι αυτό καταλήγουν να γίνονται περισσότερο συνήγοροι των επιχειρήσεων παρά προστάτες της ιδιωτικότητας των καταναλωτών-χρηστών Προβλήματα υπαρχόντων προγραμμάτων επί-γραμμής επικύρωσης πολιτικών προστασίας δεδομένων Στις προηγούμενες παραγράφους επιχειρήθηκε η αποτύπωση της υφιστάμενης κατάστασης των προγραμμάτων ψηφιακής σφραγίδας. Τα προγράμματα αυτά παρουσιάζουν σημαντικά τεχνικά προβλήματα τα οποία συνοψίζονται ως εξής: 1. Το πρωτόκολλο ελέγχου και έκδοσης σφραγίδας είναι ευάλωτο σε επιθέσεις πλαστοπροσωπίας (βλ ) και μεταβολής (βλ ) του μοναδικού προσδιοριστή (IDΥθ) που εκχωρεί η ΑΕ στον Υθ. Αυτό έχει σαν αποτέλεσμα, η πιθανότητα ένας Υθ να μην έχει ολοκληρώσει με επιτυχία το πρωτόκολλο ελέγχου και έκδοσης ψηφιακής σφραγίδας και το Υκ να ολοκληρώσει με επιτυχία το πρωτόκολλο επικύρωσης να είναι μεγαλύτερη του 0. Με αυτόν το τρόπο δεν ικανοποιείται η πρώτη απαίτηση ασφάλειας των προγραμμάτων ψηφιακής σφραγίδας (βλ ). Αυτό οφείλεται στο γεγονός ότι ο μοναδικός προσδιοριστής (IDΥθ) μεταδίδεται σε μη κωδικοποιημένη μορφή (βλ. Βήμα ) παρέχοντας την δυνατότητα σε μια επίβουλη οντότητα να: (α) εκδηλώσει επίθεση πλαστοπροσωπίας ενός νόμιμου κατόχου της ψηφιακής σφραγίδας. Ο κακόβουλος υπεύθυνος (Κ) εκδηλώνει μια επίθεση πλαστοπροσωπίας προς το νόμιμο υπεύθυνο επεξεργασίας (Ν) χρησιμοποιώντας κάποια γνωστή τεχνική επίθεσης [VIV-98]. Το αποτέλεσμα της επίθεσης είναι ότι το υποκείμενο επεξεργασίας (Υκ) που επιθυμεί να επικοινωνήσει (επισκεφθεί τις ιστοσελίδες) με το Ν τελικά επικοινωνεί με (επισκέπτεται τις ιστοσελίδες) τον Κ. Στην συνέχεια ο Κ υποκλέπτει την ψηφιακή σφραγίδα (ΨΣ) και τον Οικονομικό Πανεπιστήμιο Αθηνών Σελ 126

127 μοναδικό προσδιοριστή (IDΝ) του Ν. Ο Κ αναρτά ΨΣ και IDΝ στις ιστοσελίδες του χωρίς να έχει πράγματι ολοκληρώσει το πρωτόκολλο ελέγχου και έκδοσης σφραγίδας από την ΑΕ. Το Υκ θα επικυρώσει την σφραγίδα κάνοντας χρήση των στοιχείων του Ν (ΨΣ, ID Ν), τα οποία έχει υποκλέψει ο Κ, και κατ' αυτόν τον τρόπο (λανθασμένα) πείθεται ότι ο Κ έχει πιστοποιηθεί από την ΑΕ. (β) τροποποιήσει αυθαίρετα το IDΝ, προκαλώντας κατ' αυτόν τον τρόπο την έλλειψη διαθεσιμότητας της υπηρεσίας επικύρωσης της ψηφιακής σφραγίδας του νόμιμου κατόχου της Ν. Ο Κ μπορεί να τροποποιήσει το IDΝ με το IDΝ'. Το Υκ που θα επιχειρήσει να επικυρώσει την (τροποποιημένη) σφραγίδα του Ν (ΨΣ, IDΝ') θα αποτύχει διότι η ΑΕ θα στείλει στο Υκ το πιστοποιητικό ελέγχου του Ν' με μοναδικό προσδιοριστή ID Ν' και όχι το πιστοποιητικό ελέγχου του Ν. 2. Σε περίπτωση που ο υπεύθυνος επεξεργασίας μεταβάλλει την πολιτική προστασίας προσωπικών δεδομένων, πρέπει να ειδοποιήσει την Αρχή Ελέγχου ώστε να επανελέγξει την πολιτική, να την πιστοποιήσει και να προχωρήσει (ίσως) στην έκδοση νέας σφραγίδας έναντι κάποιου χρηματικού αντιτίμου [TRU-02b]. Η πρακτική αυτή στηρίζεται στην ειδοποίηση της Αρχής Ελέγχου από τον υπεύθυνο αφήνοντας τα περιθώρια σε κακόβουλους υπεύθυνους επεξεργασίας (που προφανώς θέλουν να αποφύγουν το οικονομικό κόστος της νόμιμης διαδικασίας) να μεταβάλλουν την πολιτική προστασίας δεδομένων, χωρίς παράλληλη ενημέρωση της Αρχής Ελέγχου. Κατ' αυτόν τον τρόπο το υποκείμενο που επικοινωνεί με τον υπεύθυνο επεξεργασίας δεν μπορεί να είναι ποτέ βέβαιο ότι η πολιτική προστασίας δεδομένων δεν έχει μεταβληθεί στο διάστημα που μεσολαβεί από τον πιο πρόσφατο έλεγχό της από την Αρχή Ελέγχου. Το αποτέλεσμα των παραπάνω ευπαθειών των υπαρχόντων προγραμμάτων ψηφιακής σφραγίδας, είναι η μείωση της εμπιστοσύνης του υποκειμένου προς την Αρχή Ελέγχου και τον υπεύθυνο επεξεργασίας. Για το λόγο αυτό, θα παρουσιασθεί ένας πρωτότυπος μηχανισμός για την έκδοση και επικύρωση μιας ψηφιακής σφραγίδας που στηρίζεται στην χρήση υπηρεσιών ΥΔΚ, αντιμετωπίζει τις παραπάνω ευπάθειες και συμβάλλει στην διατήρηση της εμπιστοσύνης του υποκειμένου προς την Αρχή Ελέγχου και τον υπεύθυνο επεξεργασίας [SPI-02]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 127

128 Μηχανισμός επί-γραμμής επικύρωσης πολιτικών προστασίας προσωπικών δεδομένων 10 Τα προβλήματα ασφάλειας που αντιμετωπίζουν οι υπάρχοντες μηχανισμοί ψηφιακής σφραγίδας, προέρχονται από την μη κωδικοποίηση (κρυπτογράφηση) του μοναδικού προσδιοριστή IDΥθ κατά την εκτέλεση του πρωτοκόλλου ελέγχου και έκδοσης της σφραγίδας (βλ. Βήμα ). Για την αντιμετώπιση απειλών πλαστοπροσωπίας και τροποποίησης του IDΥθ πρέπει να εφαρμοσθεί κρυπτογράφηση του IDΥθ με παράλληλη χρήση ψηφιακών πιστοποιητικών για την διακρίβωση της εγκυρότητας του δημοσίου κλειδιού του υπογράφοντα. Τα προβλήματα συνέπειας μεταξύ της υποβληθείσας, προς την Αρχή Ελέγχου, για έλεγχο πολιτικής προστασίας δεδομένων και της πολιτικής που ανακοινώνεται στο υποκείμενο επεξεργασίας, όταν έρχεται σε επικοινωνία με τον υπεύθυνο επεξεργασίας, μπορούν να επιλυθούν με την χρήση ψηφιακών υπογραφών και αλγορίθμων σύνοψης. Με τον τρόπο αυτό, δίνεται η δυνατότητα στο υποκείμενο να εξετάζει απευθείας την ακεραιότητα της πολιτικής που του ανακοινώνει ο υπεύθυνος επεξεργασίας. Λαμβάνοντας υπ' όψη τις παραπάνω παρατηρήσεις προτείνεται η αντιμετώπιση των ευπαθειών των υπαρχόντων πρωτοκόλλων ελέγχου-έκδοσης και επικύρωσης ψηφιακής σφραγίδας. Απαραίτητη προϋπόθεση, για την σχεδίαση ενός ασφαλούς μηχανισμού επικύρωσης πολιτικών προστασίας δεδομένων με χρήση ψηφιακών σφραγίδων, είναι η εμπιστοσύνη όλων των οντοτήτων (υποκειμένων και υπευθύνων επεξεργασίας) προς την Αρχή Ελέγχου. Η πρώτη υπόθεση που γίνεται για την λειτουργία των παρακάτω πρωτοκόλλων είναι η αποδοχή από όλες τις οντότητες του ψηφιακού πιστοποιητικού της Αρχής Ελέγχου Έλεγχος και έκδοση σφραγίδας Βήμα 1. Ο υπεύθυνος επεξεργασίας (Υθ), ανεξάρτητα του μοντέλου ιδιωτικότητας που υιοθετείται, υποβάλλει την πολιτική προστασίας δεδομένων, που εφαρμόζει, στην Αρχή Ελέγχου (ΑΕ) για έλεγχο. Το προσωπικό της Αρχής Ελέγχου διενεργεί τον έλεγχο, ακολουθώντας κάποια πρότυπη μεθοδολογία ελέγχου, και στην περίπτωση που διαπιστώσει ότι η πολιτική προστασίας δεδομένων είναι συμβατή με τις αρχές του πλαισίου προστασίας 10 Η παρούσα εργασία έχει εν μέρει χρηματοδοτηθεί από το Ευρωπαϊκό ερευνητικό πρόγραμμα COSACC (AD4001). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 128

129 δεδομένων χορηγεί το απαιτούμενο πιστοποιητικό. Για την απευθείας επιβεβαίωση της πολιτικής προστασίας δεδομένων από το υποκείμενο, ο υπεύθυνος επεξεργασίας υποβάλλει στην Αρχή Ελέγχου το ψηφιακό πιστοποιητικό του * (CertΥθ) και την πολιτική προστασίας προσωπικών δεδομένων (ΠΠΥθ). Υθ -> ΑΕ: CertΥθ, ΠΠΥθ Βήμα 2. Η ΑΕ υπογράφει ψηφιακά την ΠΠΥθ (χρησιμοποιώντας το ιδιωτικό κλειδί της) και υπολογίζει τη σύνοψή (digest) της (Σ-ΠΠΥθ). Η αναγκαιότητα υπογραφής είναι διπλή: (α) κάνει εύκολη την ανίχνευση τυχόν μεταβολών στα δεδομένα από μη εξουσιοδοτημένες οντότητες και (β) μπορεί να χρησιμοποιηθεί ως τεκμήριο σε περιπτώσεις διενέξεων μεταξύ υποκειμένου και υπευθύνου επεξεργασίας. Αντιστοιχίζει ένα μοναδικό αναγνωριστικό στην ΠΠΥθ (IDΥθ) και αποθηκεύει στην τοπική της Βάση Δεδομένων τα εξής τεκμήρια: {ID Υθ, Σ- ΠΠΥθ, CertΥθ}ΙΚΑΕ. Τέλος, στέλνει στον Υθ την ψηφιακή σφραγίδα (ΨΣ) και το IDΥθ κρυπτογραφημένο με το δημόσιο κλειδί της (ΔΚΑΕ). ΑΕ -> Υθ: ΨΣ, {IDΥθ}ΔΚΑΕ Βήμα 3. Η χορηγούμενη ψηφιακή σφραγίδα αναρτάται στις ιστοσελίδες του ελεγχθέντος Υθ Επικύρωση σφραγίδας Βήμα 1. Το Υκ κατά την επικοινωνία του (επίσκεψη στις ιστοσελίδες του) με τον Υθ πρέπει να αναζητά την ψηφιακή σφραγίδα ως απόδειξη της διενέργειας ελέγχου από την ΑΕ. Για την επικύρωση της αυθεντικότητας της σφραγίδας δίνεται στο Υκ ο μοναδικός προσδιοριστής καταχώρησης που έχει λάβει ο υπεύθυνος επεξεργασίας (ID Υθ) κρυπτογραφημένος με το δημόσιο κλειδί της ΑΕ *, η ΠΠΥθ και το ψηφιακό πιστοποιητικό του Υθ (Cert'Υθ). Υθ -> Υκ: {IDΥθ}ΔΚΑΕ, ΠΠΥθ, Cert'Υθ Βήμα 2. Το Υκ υπολογίζει την σύνοψη της ΠΠΥθ (Σ'- ΠΠΥθ) και τη στέλνει στην ΑΕ μαζί με τον κρυπτογραφημένο με το δημόσιο κλειδί της (ΔΚΑΕ) μοναδικό προσδιοριστή και το πιστοποιητικό που του παρουσίασε ο Υθ. * Το ψηφιακό πιστοποιητικό αναφέρει το δημόσιο κλειδί του κατόχου του. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 129

130 Υκ -> ΑΕ: {IDΥθ}ΔΚΑΕ, (Σ'- ΠΠΥθ), Cert'Υθ Βήμα 3. Η ΑΕ αποκρυπτογραφεί το μήνυμα που έλαβε, χρησιμοποιώντας το ιδιωτικό κλειδί της ({{IDΥθ}ΔΚΑΕ}IΚΑΕ = IDΥθ). Εντοπίζει, με χρήση του ΙDΥθ, στην τοπική Βάση Δεδομένων την εγγραφή που του αντιστοιχεί {IDΥθ, Σ-ΠΠΥθ, CertΥθ}ΙΚΑΕ. Επικυρώνει την υπογραφή ({{IDΥθ}ΙΚΑΕ}ΔΚΑΕ) ώστε να διασφαλίσει ότι τα στοιχεία δεν έχουν μεταβληθεί από την στιγμή που δημιουργήθηκαν (βλ. Βήμα ). Πραγματοποιεί τους παρακάτω ελέγχους: 1. Αν (Σ'- ΠΠΥθ == Σ- ΠΠΥθ) τότε η πολιτική προστασίας δεδομένων δεν έχει μεταβληθεί στο χρονικό διάστημα που μεσολαβεί από τον τελευταίο έλεγχο του Υθ διαφορετικά έχει μεταβληθεί και πρέπει να ενημερωθεί το Υκ. 2. Αν (CertΥθ == Cert'Υθ) τότε προχωρά στον επόμενο έλεγχο διαφορετικά πρέπει να ενημερώσει το Υκ ότι ο Υθ έχει αλλάξει πιστοποιητικό. 3. Αν (CertΥθ έχει λήξει) τότε η ΑΕ πρέπει να ενημερώσει το Υκ σχετικά. Σε κάθε περίπτωση το Υκ λαμβάνει μια απάντηση (ΑΠ), υπογεγραμμένη με το ιδιωτικό κλειδί της ΑΕ, σχετικά με την εγκυρότητα της πολιτικής προστασίας δεδομένων που του ανακοίνωσε ο Υθ ή τα προβλήματα που προέκυψαν. ΑΕ -> Υκ: {ΑΠ}ΙΚΑΕ Βήμα 4. Το Υκ επικυρώνει το μήνυμα που έλαβε με το δημόσιο κλειδί της ΑΕ ({{ΑΠ}ΙΚΑΕ}ΔΚΑΕ) ώστε να διαπιστώσει ότι η απάντηση που έλαβε δεν έχει μεταβληθεί από μη εξουσιοδοτημένες οντότητες. Διαβάζει την απάντηση και ενημερώνεται σχετικά με την εγκυρότητα της πολιτικής προστασίας προσωπικών δεδομένων του Υθ Αντιμετώπιση ευπαθειών Ο προτεινόμενος μηχανισμός ψηφιακής σφραγίδας ικανοποιεί τις απαιτήσεις ασφάλειας που περιγράφηκαν στην παράγραφο ως εξής: 1. Η ταυτοποίηση του υπευθύνου επεξεργασίας με τη χρήση του ψηφιακού του πιστοποιητικού (βλ. Βήμα ) περιχαρακώνει το πρωτόκολλο επικύρωσης της σφραγίδας από επιθέσεις πλαστοπροσωπίας. Επιπρόσθετα, δεν είναι δυνατή η εκδήλωση επιθέσεων τροποποίησης του μοναδικού προσδιοριστή IDΥθ διότι αυτός διανέμεται κρυπτογραφημένος είτε προς τον Υθ (βλ. Βήμα ) είτε προς το Υκ (βλ. Βήμα ). 2. Δεν είναι δυνατή η τροποποίηση της απάντησης που λαμβάνει το Υκ, από την ΑΕ, διότι η απάντηση υπογράφεται ψηφιακά από την ΑΕ (βλ. Βήμα ). 3. Με δεδομένο ότι τόσο ο Υθ όσο και το Υκ εμπιστεύονται την ΑΕ που πραγματοποιεί την σύγκριση των στοιχείων (πιστοποιητικό και σύνοψη της πολιτικής προστασίας δεδομένων, Οικονομικό Πανεπιστήμιο Αθηνών Σελ 130

131 βλ. Βήμα ) που λαμβάνει από το Υκ, το πρωτόκολλο επικύρωσης θα επιτύχει με πιθανότητα 1, αν έχει ολοκληρωθεί επιτυχώς το πρωτόκολλο ελέγχου του Υθ και έκδοσης της σφραγίδας Επεκτάσεις Τα περισσότερα προγράμματα ψηφιακών σφραγίδων απαιτούν από τον υπεύθυνο επεξεργασίας να τοποθετεί την σφραγίδα σε συγκεκριμένες ιστοσελίδες του διαδικτυακού του τόπου [PIP-02]. Οι ιστοσελίδες αυτές γίνονται γνωστές στην Αρχή Ελέγχου πριν την ολοκλήρωση του πρωτοκόλλου έκδοσης της σφραγίδας. Ο προτεινόμενος μηχανισμός μπορεί να ενσωματώσει διαδικασίες υποβολής και ελέγχου των ιστοσελίδων στις οποίες αναρτάται η ψηφιακή σφραγίδα ως εξής: 1. Ο υπεύθυνος επεξεργασίας υποβάλλει στην Αρχή Ελέγχου τις ιστοσελίδες στις οποίες θα αναρτήσει την ψηφιακή σφραγίδα. Η Αρχή Ελέγχου ελέγχει και στην συνέχεια εγκρίνει τις ιστοσελίδες και το περιεχόμενο τους. Στην συνέχεια η Αρχή Ελέγχου υπολογίζει τις συνόψεις των ιστοσελίδων 11 (H-URL1, H-URL2,..., H-URLn) και τις αποθηκεύει στην τοπική βάση δεδομένων μαζί με τα υπόλοιπα τεκμήρια (Βήμα 2, ). 2. Το υποκείμενο που επισκέπτεται μια ιστοσελίδα του υπευθύνου επεξεργασίας στην οποία είναι αναρτημένη η ψηφιακή σφραγίδα, μπορεί να υπολογίσει τη σύνοψή της (H'-URLi), και να την στείλει για έλεγχο στην Αρχή Ελέγχου (Βήμα 2, ). 3. Η Αρχή Ελέγχου εξετάζει αν η σύνοψη της ιστοσελίδας που έλαβε από το υποκείμενο (H'- URLi), ανήκει στο προκαθορισμένο σύνολο H-URL1, H-URL2,..., H-URLn των ελεγμένων ιστοσελίδων (Βήμα 3, ). Ο έλεγχος της συνέπειας της πολιτικής προστασίας δεδομένων που αναρτάται στις ιστοσελίδες του υπευθύνου (και διαβάζεται από το υποκείμενο) επεξεργασίας με την αντίστοιχη που έχει υποβληθεί για έλεγχο και έχει εγκριθεί από την Αρχή Ελέγχου, στηρίζεται στην χρήση των αλγορίθμων σύνοψης (βλ. Βήμα ). Η σύγκριση των συνόψεων, μπορεί να αποκαλύψει την παραμικρή μεταβολή στην πολιτική προστασίας δεδομένων που είναι αναρτημένη στις ιστοσελίδες του υπευθύνου επεξεργασίας. Η 11 Σε περιπτώσεις όπου οι ιστοσελίδες περιέχουν δυναμικό περιεχόμενο (active content) τότε η σύνοψη υπολογίζεται στο σταθερό μέρος της ιστοσελίδας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 131

132 παραπάνω διαδικασία είναι δυσλειτουργική, από την άποψη ότι κάθε φορά που ο υπεύθυνος επεξεργασίας πραγματοποιεί την παραμικρή μεταβολή θα πρέπει να ενημερώνει την Αρχή Ελέγχου για να υπολογισθούν νέες συνόψεις. Το παραπάνω πρόβλημα εντοπίζεται και στα υπάρχοντα προγράμματα ψηφιακών σφραγίδων, καθώς απαιτείται η ειδοποίηση της Αρχής Ελέγχου εντός ευλόγου χρονικού διαστήματος (30 ημέρες) πριν την πραγματοποίηση της αλλαγής [TRU-02b]. Για τον περιορισμό του προβλήματος αυτού, στην πολιτική προστασίας δεδομένων που εγκρίνει η Αρχή Ελέγχου δύναται να ενσωματωθεί η περίοδος εγκυρότητας της πολιτικής ώστε μετά το πέρας της, να είναι υποχρεωτικός ο επανέλεγχος της πολιτικής. Η απόδοση του προτεινόμενου μηχανισμού μπορεί να βελτιωθεί, αν τον έλεγχο εγκυρότητας του πιστοποιητικού του υπευθύνου επεξεργασίας (CertΥθ) τον πραγματοποιεί το υποκείμενο αντί της Αρχής Ελέγχου (βλ. Βήμα ). Επίσης, ο φόρτος των δεδομένων που διακινούνται στο Διαδίκτυο δύναται να ελαττωθεί αν, αποθηκευθεί η σύνοψη του πιστοποιητικού (H-CertΥΘ), αντί του πιστοποιητικού καθαυτού (βλ. Βήμα ). Το υποκείμενο υπολογίζει τη σύνοψη του πιστοποιητικού που του παρουσιάζεται από τον υπεύθυνο επεξεργασίας, (H'-CertΥΘ), (βλ. Βήμα ) και η Αρχή Ελέγχου πραγματοποιεί τους ελέγχους βάση του H-CertΥΘ (βλ. Βήμα ). Τέλος, αξίζει να σημειωθεί ότι η παρουσίαση των παραπάνω πρωτοκόλλων με χρήση του μοναδικού προσδιοριστή (IDΥθ) για την αναγνώριση και αναζήτηση μιας πολιτικής προστασίας δεδομένων από την Αρχή Ελέγχου (βλ. Βήμα ), έγινε για να είναι δυνατός στον αναγνώστη ο άμεσος εντοπισμός των διαφορών και των πλεονεκτημάτων του προτεινόμενου σε σχέση με τους υπάρχοντες μηχανισμούς επικύρωσης. Τόσο το πρωτόκολλο ελέγχου και έκδοσης όσο και το πρωτόκολλο επικύρωσης της σφραγίδας, μπορούν επίσης να λειτουργήσουν αν ο IDΥθ αντικατασταθεί με τη σύνοψη Σ-ΠΠΥθ (βλ. Βήμα ) της πολιτικής προστασίας δεδομένων. Η αντικατάσταση στηρίζεται στο γεγονός ότι το κύριο χαρακτηριστικό των αλγορίθμων σύνοψης είναι η παραγωγή μοναδικών συνόψεων για κάθε διαφορετικό έγγραφο. Ως εκ τούτου η σύνοψη ενός ψηφιακού εγγράφου μπορεί να χρησιμοποιηθεί για την μοναδική αναγνώρισή του Τεχνολογίες υλοποίησης ψηφιακής σφραγίδας Τα πρωτόκολλα ψηφιακής σφραγίδας μπορούν πολύ εύκολα να υλοποιηθούν με την χρήση των υπαρχόντων προτύπων και τεχνολογιών. Ο παρακάτω πίνακας απεικονίζει τις τεχνολογίες που είναι κατάλληλες για την υλοποίησή τους. ΥΠΗΡΕΣΙΑ Επικοινωνία οντοτήτων Κρυπτογράφηση Ψηφιακές Υπογραφές Δημιουργία σύνοψης ΥΠΟΨΗΦΙΑ ΤΕΧΝΟΛΟΓΙΑ WWW + SSL, SSH + custom application, S/MIME RSA Cryptokit, Microsoft CryptoAPI, Open Group s GCS/API ISO 9594, ISO 9796, ISO 14888, ISO 9798, GSS-API, Microsoft CryptoAPI, GCS API, PKCS MD-5, SHA-1, RC-4. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 132

133 ΥΠΗΡΕΣΙΑ Πιστοποιητικά ΥΠΟΨΗΦΙΑ ΤΕΧΝΟΛΟΓΙΑ X.509, SPKI, SDSI Υπηρεσίες Ευρετηρίου X.500/LDAP, Z.39.50, ISO Αρχειοθέτηση RDBMS supporting SQL Πίνακας 16: Τεχνολογίες υλοποίησης προτεινόμενων πρωτοκόλλων ψηφιακής σφραγίδας Με την παράθεση και των τεχνολογιών υλοποίησης ολοκληρώνεται η παρουσίαση των προτεινόμενων πρωτοκόλλων έκδοσης και επικύρωσης ψηφιακής σφραγίδας. Οι βασικές αρχές των προτεινόμενων πρωτοκόλλων έχουν αναπτυχθεί και εφαρμοσθεί, πιλοτικά, στα πλαίσια του Ευρωπαϊκού ερευνητικού προγράμματος COSACC [COS-98]. Ένας από τους στόχους του προγράμματος, υπήρξε η ανάπτυξη μηχανισμού ψηφιακής σφραγίδας για την πιστοποίηση και επικύρωση, της ποιότητας των υπηρεσιών που προσφέρουν οι οργανισμοίμέλη του προγράμματος. Οι τροποποιήσεις των βασικών πρωτοκόλλων για την επικύρωση της ενημέρωσης που λαμβάνουν τα υποκείμενα σε ένα απευθείας σύστημα προστασίας δεδομένων, είναι συμβολή της παρούσας διατριβής Υπηρεσία "Επίβλεψη" της ΥΠΔ Η μοναδική επικοινωνία με τις υπηρεσίες ΕΤΟ, είναι το πιστοποιητικό που πρέπει να διαθέτει ο υπεύθυνος επεξεργασίας. Η Αρχή Ελέγχου πρέπει, επίσης, να διαθέτει μια υπηρεσία παραλαβής των αιτημάτων, παραπόνων τόσο των υποκειμένων όσο και των υπευθύνων επεξεργασίας. Η υπηρεσία "Επίβλεψη" προσφέρει δύο επιμέρους υπηρεσίες: 1. Ψηφιακή σφραγίδα. Αφορά στην έκδοση και επικύρωση ψηφιακών σφραγίδων με τις εξής κύριες λειτουργίες: (α) έκδοση σφραγίδας και (β) επικύρωση ελέγχου πολιτικής προστασίας δεδομένων. 2. Λειτουργική μονάδα επικοινωνίας με το κοινό. Η Αρχή Ελέγχου πρέπει να είναι σε θέση να επικοινωνεί με το κοινό ώστε να ασκεί καλύτερη επίβλεψη. Η υπηρεσία αυτή έχει ως στόχο την υποδοχή των αιτημάτων-παραπόνων του κοινού. Η Αρχή Ελέγχου πρέπει να δέχεται και ανώνυμα παράπονα-ερωτήματα. Η αποστολή των ανώνυμων αιτημάτων δύναται να γίνεται με χρήση των σχετικών υπηρεσιών του προστάτη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 133

134 ταυτότητας 12. Επιπλέον, πρέπει να παρέχονται εναλλακτικοί τρόποι επικοινωνίας με το κοινό (Ταχυδρομείο, Παράδοση που απαιτεί φυσική παρουσία του προσφεύγοντα, Fax, HTTP, SMTP, HTTPS). Η πλήρης περιγραφή της υπηρεσίας "Επίβλεψη" και των επιμέρους λειτουργιών της δίνεται στο παράρτημα II (σελ. 265). Κάθε λειτουργική μονάδα περιγράφεται μοναδικά με κάποιο μοναδικό αναγνωριστικό. Τα αναγνωριστικά των λειτουργικών μονάδων της υπηρεσίας «Επίβλεψη» δίνονται στο κεφάλαιο 8 (Πίνακας 23). Τα αναγνωριστικά της υπηρεσίας ξεκινούν από ΕΠ (Επίβλεψη), στην συνέχεια υπάρχει ένα αναγνωριστικό για κάθε επιμέρους υπηρεσία (ΨΣ: ψηφιακή σφραγίδα, ΕΚ: επικοινωνία με το κοινό). Τέλος, ακολουθούν δύο ψηφία τα οποία προσδιορίζουν τη λειτουργική μονάδα μέσα στην επιμέρους υπηρεσία. Για τη σύμβαση που ισχύει σχετικά με την ονοματοδοσία των λειτουργικών μονάδων (βλ ). Η ενημέρωση των υποκειμένων επεξεργασίας υποστηρίζεται από τις λειτουργικές μονάδες του προστάτη ταυτότητας (κεφάλαιο 6). Η αλληλουχία των κλήσεων των λειτουργικών μονάδων δίνεται στο κεφάλαιο Ασφάλεια δεδομένων Όπως αναφέρθηκε στην εισαγωγή του κεφαλαίου, οι πολιτικές προστασίας προσωπικών δεδομένων είναι έγγραφα στα οποία οι υπεύθυνοι επεξεργασίας καταγράφουν τα οργανοτεχνικά μέτρα που λαμβάνουν για να περιχαρακώσουν τις βασικές αρχές του νομικού πλαισίου προστασίας δεδομένων. Το Ευρωπαϊκό νομικό πλαίσιο προστασίας προσωπικών δεδομένων, για παράδειγμα, απαιτεί από τον υπεύθυνο επεξεργασίας τη λήψη όλων των απαραίτητων οργανοτεχνικών μέτρων για την προστασία τους. (European Directive 95/4, αρ 10, παρ. 2 ν. 2472/97). Ανεξάρτητα από νομική υποχρέωση, οι υπεύθυνοι επεξεργασίας πρέπει να ενσωματώνουν στις πολιτικές προστασίας δεδομένων όλα τα μέτρα που λαμβάνουν για την διασφάλιση της εμπιστευτικότητας και ακεραιότητας των δεδομένων που διατηρούν. Η ανάληψη και δημοσιοποίηση των απαραίτητων μέτρων για την διασφάλιση της εμπιστευτικότητας και ακεραιότητας των δεδομένων δρουν προς δύο κατευθύνσεις: (1) αυξάνουν την προσλαμβανόμενη αίσθηση ασφάλειας του υποκειμένου προς τον υπεύθυνο επεξεργασίας. Με τις πρόσθετες πληροφορίες που αποκτά το υποκείμενο μπορεί να αξιολογήσει την εμπιστοσύνη του προς τον υπεύθυνο επεξεργασίας και (2) διευκολύνουν τον υπεύθυνο επεξεργασίας ώστε να αποδείξει, σε περιπτώσεις ελέγχου από την Αρχή Ελέγχου, την επάρκεια των μέτρων που έχει λάβει για την προστασία των δεδομένων που διατηρεί. 12 Υπηρεσίες ανωνυμίας και ψευδωνυμίας (βλ και αντίστοιχα). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 134

135 Η επάρκεια (adequacy) των τεχνικών μέτρων αποδεικνύεται επιστημονικά με την διεξαγωγή ανάλυσης επικινδυνότητας (risk analysis, βλ. 2.3). Στόχος της είναι ο προσδιορισμός όλων των μέτρων που πρέπει να ληφθούν από τον υπεύθυνο επεξεργασίας προκειμένου να υπολογισθούν οι κίνδυνοι της συγκεκριμένης πληροφοριακής υποδομής που διαθέτει και στην συνέχεια να προταθούν και να υλοποιηθούν αντίμετρα προστασίας. Τα αποτελέσματα της ανάλυσης επικινδυνότητας είναι μια σειρά από αντίμετρα ασφάλειας που χρησιμεύουν στον ειδικό, για την δημιουργία ενός εγγράφου που ονομάζεται πολιτική ασφάλειας και περιγράφει, σε κατανοητή από τους χρήστες του συστήματος του υπευθύνου επεξεργασίας μορφή, τα μέτρα που λαμβάνονται από τον υπεύθυνο ώστε να προσδώσει στα προσωπικά δεδομένα, που επεξεργάζεται, επαρκές επίπεδο προστασίας. Η εφαρμογή των παραπάνω σημαίνει ότι ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει την επάρκεια των ληφθέντων μέτρων προστασίας προσωπικών δεδομένων για την απαλλαγή του από, τυχόν, νομικές ευθύνες σε περιπτώσεις όπου η ασφάλεια των δεδομένων παραβιασθεί Προβλήματα υπάρχοντος πλαισίου διαχείρισης πολιτικών ασφάλειας Ένα ΠΣ αποτελεί ένα ζωντανό οργανισμό που συνεχώς εξελίσσεται και επομένως μεταβάλλεται. Λόγω της διαρκούς μεταβολής, υπάρχει έντονη η ανάγκη της συνεχούς παρακολούθησης της ασφάλειας των ΤΠΕ που αποτελούν τμήμα του ΠΣ. Ο διαχειριστής (ασφάλειας) του οργανισμού αδυνατεί να γνωρίζει τις μεταβολές που επιτελούνται ανά πάσα στιγμή στην οργάνωση του τομέα ασφάλειας που είναι υπεύθυνος, με αποτέλεσμα να μην μπορεί να γνωρίζει τις αδυναμίες του στο σύνολο τους. Τέτοιου είδους μεταβολές αποτελούν για παράδειγμα η αυθαίρετη προσθήκη συσκευών στην καλωδίωση του κτιρίου που φιλοξενείται το ΠΣ, ο ανεξέλεγκτος δανεισμός περιουσιακών στοιχείων του οργανισμού, η προσθήκη νέου και πιθανώς μη ασφαλούς λογισμικού κ.λ.π. Από τα παραπάνω συμπεραίνουμε ότι υπάρχει ανάγκη δημιουργίας ενός μοντέλου το οποίο θα παρέχει στους διαχειριστές ασφάλειας την δυνατότητα αυτοματοποιημένης παρακολούθησης και εφαρμογής των τεχνικών μέτρων της πολιτικής ασφάλειας που έχει καθορισθεί σε όλο το εύρος της κατανεμημένης πληροφοριακής υποδομής για την οποία είναι υπεύθυνοι. Στο σημείο αυτό θα παρουσιασθεί ένα τέτοιο λειτουργικό μοντέλο. Η δημιουργία ενός τέτοιου μοντέλου βασίζεται στους παρακάτω άξονες: (α) δημιουργία πολιτικής ασφάλειας, (β) ανίχνευση και διαχείριση των αδυναμιών ΤΠΕ και (γ) διαχείριση δικτύων. Για κάθε έναν από τους προαναφερθέντες άξονες έχει διεξαχθεί αρκετή έρευνα με αξιόλογα πρακτικά αποτελέσματα ([FAR-91], [FAR-90]) χωρίς όμως να δίνεται βαρύτητα στις μεταξύ τους συσχετίσεις. Η ανεξάρτητη μελέτη του καθενός από τους άξονες αυτούς, δημιουργεί μια σειρά από προβλήματα: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 135

136 1. Τα εργαλεία δημιουργίας πολιτικών ασφάλειας δεν προσδιορίζουν τα εργαλεία υλοποίησης και διαχείρισής τους. Έτσι: α) ο διαχειριστής στερείται της δυνατότητας άμεσης εφαρμογής της πολιτικής ασφάλειας, σε όλο το εύρος του οργανισμού, με αποτέλεσμα να καταφεύγει σε ιδιοκτησιακές (proprietary) λύσεις. Το πρόβλημα γίνεται έντονο όταν η πληροφοριακή υποδομή του οργανισμού είναι κατανεμημένη σε γεωγραφικά μεγάλες αποστάσεις. β) η μετάβαση από τις προδιαγραφές που θέτει η πολιτική ασφάλειας στην υλοποίηση και διαχείρισή της στηρίζεται σε ad hoc διαδικασίες με αποτέλεσμα την απόκλιση από τις προδιαγραφές. 2. Τα περισσότερα εργαλεία ανίχνευσης και διαχείρισης αδυναμιών ΤΠΕ: α) δεν διαθέτουν πρότυπους μηχανισμούς επικοινωνίας τόσο μεταξύ των επί μέρους λειτουργικών τους μονάδων όσο και με άλλα ομοειδή εργαλεία. Αλλά και όταν διαθέτουν κάποιους μηχανισμούς επικοινωνίας αυτοί δεν είναι κατάλληλοι για πληροφοριακές υποδομές μεγάλης κλίμακας διότι δεν στηρίζονται σε πρότυπα. β) περιορίζονται στην αντιμετώπιση προκαθορισμένου (από τον κατασκευαστή) συνόλου ευπαθειών. 3. Τα εργαλεία διαχείρισης δικτύου προϋποθέτουν την δημιουργία πολιτικής ασφάλειας και την αποτύπωσή της σε πρότυπη ημι-τυπική γλώσσα. Η έλλειψη εργαλείων αυτοματοποίησης της παραπάνω διαδικασίας είναι ένα επιπρόσθετο πρόβλημα για την ορθή διαχείριση της ασφάλειας μιας δικτυακής υποδομής. Σχήμα 16: Υπάρχον πλαίσιο διαχείρισης ασφάλειας Το υπάρχον πλαίσιο λειτουργίας, αναφορικά με τον καθορισμό και εφαρμογή των τεχνικών μέτρων της πολιτικής ασφάλειας του οργανισμού φαίνεται να διαμορφώνεται σύμφωνα με το Σχήμα 16. Η υπάρχουσα κατάσταση οδηγεί τους διαχειριστές ασφάλειας στην χρήση εργαλείων διαχείρισης ασφάλειας τα οποία δεν είναι ευέλικτα, δεν βοηθούν στην επεκτασιμότητα και την κλιμάκωση της διαχείρισης ασφάλειας, δεν είναι εύκολα Οικονομικό Πανεπιστήμιο Αθηνών Σελ 136

137 προσαρμόσιμα στις αλλαγές της πολιτικής ασφάλειας και δεν συνεισφέρουν στην διαχείρισή της από ένα κεντρικό σημείο Προτεινόμενο μοντέλο διαχείρισης ασφάλειας Το βασικό πρόβλημα του παραπάνω πλαισίου διαχείρισης ασφάλειας είναι η απουσία κάποιου πρότυπου μηχανισμού μετάφρασης της πολιτικής ασφάλειας σε κάποια (ημι)τυπική γλώσσα. Η αποτύπωση μιας πολιτικής ασφάλειας σε ημι-τυπική γλώσσα επιλύει μερικά από τα παραπάνω προβλήματα: i) μειώνει την απόκλιση από τις προδιαγραφές της πολιτικής ασφάλειας ii) εξαλείφει το πρόβλημα επικοινωνίας των εργαλείων ανίχνευσης και διαχείρισης των ευπαθειών ΤΠΕ διότι χρησιμοποιεί πρότυπους μηχανισμούς επικοινωνίας που διαθέτουν τα εργαλεία διαχείρισης ασφάλειας ΤΠΕ iii) προσαρμόζει σε πληροφοριακές υποδομές μεγάλης κλίμακας την αποτελεσματικότητα των υπαρχόντων εργαλείων ανίχνευσης και διαχείρισης των ευπαθειών ΤΠΕ. Το αποτέλεσμα της μετάφρασης της πολιτικής ασφάλειας σε κάποια ημι-τυπική γλώσσα μπορεί να τύχει επεξεργασίας από αυτοματοποιημένο εργαλείο το οποίο: (α) αποτυπώνει την πολιτική ασφάλειας σε μορφή διαχειρίσιμων αντικειμένων. Τα διαχειρίσιμα αντικείμενα μπορούν να τύχουν, με τη σειρά τους, επεξεργασίας από κάποιο εργαλείο διαχείρισης δικτύων. (β) συσχετίζει τα διαχειρίσιμα αντικείμενα, που προέκυψαν κατά την διάρκεια του (α), με εργαλεία αντιμετώπισης ευπαθειών ΤΠΕ. Για να είναι αποτελεσματική η αποτύπωση μιας πολιτικής ασφάλειας σε μια ημι-τυπική γλώσσα πρέπει να υποστηρίζεται από μια πρότυπη διαδικασία διαχείρισης ασφάλειας ΤΠΕ. Η διαδικασία αυτή πρέπει να στηρίζεται σε ένα μοντέλο το οποίο είναι κατάλληλο για χρήση στο Διαδίκτυο και να περιγράφει [APO-98a]: 1. Μια Βάση Πληροφοριών Διαχείρισης Ασφάλειας (Security Μanagement Ιnformation Βase, ΒΠΔΑ), στην οποία αποθηκεύονται στοιχεία που αφορούν την ασφάλεια της υποδομής. Τα στοιχεία αυτά ονομάζονται διαχειρίσιμα αντικείμενα (managed objects), έχουν συγκεκριμένο τύπο δεδομένων και αποθηκεύονται με συγκεκριμένο τρόπο. 2. Έναν αντιπρόσωπο διαχείρισης (management agent) ο οποίος δέχεται ερωτήσεις και δίνει απαντήσεις σχετικά με τα στοιχεία που είναι αποθηκευμένα στην ΒΠΔΑ. 3. Ένα σταθμό διαχείρισης, από όπου λαμβάνει χώρα διαχείριση από κεντρικό σημείο. 4. Ένα πρότυπο πρωτόκολλο επικοινωνίας των παραπάνω μονάδων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 137

138 Η νέα διαδικασία που ενσωματώνει τις προτεινόμενες προσθήκες απεικονίζεται στο παρακάτω σχήμα. Σχήμα 17: Προτεινόμενο πλαίσιο διαχείρισης ασφάλειας Το προτεινόμενο, στο Σχήμα 17, βελτιώνει το υπάρχον πλαίσιο διαχείρισης των τεχνικών μέτρων ασφάλειας διότι προβλέπει την αποτύπωση της πολιτικής ασφάλειας σε κάποια ημιτυπική γλώσσα περιγραφής των διαχειρίσιμων αντικειμένων. Το προτεινόμενο πλαίσιο διαχείρισης μπορεί να υποστηριχθεί από ένα λειτουργικό μοντέλο διαχείρισης της ασφάλειας που ικανοποιεί τις παραπάνω προδιαγραφές. Η μεθοδολογία η οποία ακολουθήθηκε για την δημιουργία του λειτουργικού μοντέλου είναι η παρακάτω: απαιτήσεις χρήστη καθορισμός περιεχομένου ΒΠΔΑ περιγραφή μοντέλου διαχείρισης ασφάλειας προτεινόμενη αρχιτεκτονική και τεχνολογίες υλοποίησης Απαιτήσεις χρήστη Σύμφωνα με διεθνείς βιβλιογραφικές αναφορές αλλά και την κοινή πρακτική ένα μοντέλο κεντρικής διαχείρισης ασφάλειας πολύ μεγάλων επικοινωνιακών υποδομών θα πρέπει να παρέχει [APO-98b]: 1. Κλιμάκωση: το μοντέλο πρέπει να είναι κατάλληλο να εφαρμοσθεί τόσο σε μικρές πληροφοριακές νησίδες όσο και σε μεγάλες επικοινωνιακές υποδομές. 2. Επεκτασιμότητα: οι τεχνολογίες ασφάλειας πληροφοριών αναπτύσσονται με γοργούς ρυθμούς. Το μοντέλο πρέπει να είναι ανεξάρτητο υλοποίησης συγκεκριμένων εργαλείων λογισμικού. 3. Ενσωμάτωση με την υπάρχουσα πληροφοριακή υποδομή: το μοντέλο πρέπει να σχεδιασθεί με τέτοιο τρόπο ώστε να ενσωματώσει διεθνή πρότυπα κατάλληλα για εφαρμογή από την υπάρχουσα υποδομή του οργανισμού. 4. Συγκέντρωση και διήθηση (filtering) της πληροφορίας: το ποσό της πληροφορίας που συλλέγεται πρέπει να είναι ανάλογο του μεγέθους του οργανισμού. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 138

139 5. Ασφάλεια της πληροφορίας που συγκεντρώνεται με την χρήση του μοντέλου ήτοι η διατήρηση της εμπιστευτικότητας, αυθεντικότητας και ακεραιότητας της πληροφορίας. 6. Ελαχιστοποίηση των πόρων της δικτυακής υποδομής που απαιτούνται για την εφαρμογή του μοντέλου. 7. Προσαρμογή στις διαφορετικές απαιτήσεις ασφάλειας έτσι όπως αυτές προκύπτουν από την πολιτική ασφάλειας του κάθε οργανισμού. 8. Ευελιξία: καθώς ο οργανισμός εξελίσσεται η πολιτική ασφάλειας του οργανισμού μεταβάλλεται. Το μοντέλο πρέπει να δίνει την δυνατότητα παραμετροποίησης των λειτουργικών του μονάδων έτσι ώστε να είναι δυνατή αυτή η προσαρμογή. 9. Διαχείριση από ένα κεντρικό σημείο: το μοντέλο πρέπει να προσφέρει την δυνατότητα στον διαχειριστή ασφάλειας να ελέγχει και να τροποποιεί παραμέτρους ασφάλειας μιας κατανεμημένης υποδομής από ένα κεντρικό σημείο. 10. Φιλική διεπαφή χρήστη Βάση Διαχείρισης Πληροφοριών Ασφάλειας Καθορισμός περιεχομένου Το πιο καθοριστικό σημείο για την αποδοτική λειτουργία του μοντέλου είναι ο καθορισμός των πληροφοριών που θα τύχουν διαχείρισης και θα συμπεριληφθούν στην ΒΠΔΑ. Τα δεδομένα εισόδου αυτής της διαδικασίας είναι τα αποτελέσματα της πολιτικής ασφάλειας ενώ τα δεδομένα εξόδου είναι τα προς διαχείριση, από το προτεινόμενο μοντέλο, αντικείμενα. Λαμβάνοντας υπ' όψη τις διαφορές που παρουσιάζουν οι πολιτικές ασφάλειας διαφορετικών οργανισμών έγινε προσπάθεια να εντοπισθεί ο πυρήνας των πληροφοριών που πρέπει να τηρούνται για να οριοθετηθεί το βασικό επίπεδο ασφάλειας που πρέπει να προσφέρει ένας οργανισμός. Η προσπάθεια αυτή στηρίχθηκε στους παρακάτω άξονες: α) εντοπισμός των πληροφοριών που συλλέγουν με την αυτούσια χρήση τους ή τμημάτων τους τα δημόσια διαθέσιμα εργαλεία [MUF-96], [HAN-93] β) μελέτη της βιβλιογραφίας της σχετικής με το είδος της πληροφορίας που πρέπει να συλλεχθεί για την απεικόνιση του βασικού επιπέδου ασφάλειας που προσφέρει ένας οργανισμός [GAR-96], [BAR-96], [FAR-91], [HOL-91], [KAH-88], [PET-91], [BUN-97] γ) υλοποίηση ανάλυσης επικινδυνότητας στο ΠΣ του ΕΒΕΑ (στα πλαίσια του ερευνητικού έργου εγκατάστασης υπηρεσιών ΕΤΟ), για την προσαρμογή των πληροφοριών που προέκυψαν από τα βήματα 1 και 2 έτσι ώστε να αντανακλούν τις ανάγκες του οργανισμού που εξετάζεται ως περίπτωση μελέτης (case study). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 139

140 Ακολουθώντας τα παραπάνω βήματα προέκυψε ένα σύνολο από πληροφορίες το οποίο ταξινομήθηκε και ομαδοποιήθηκε στις παρακάτω κατηγορίες [APO-98a], [APO-98b]: 1. Υποομάδα αυθεντικοποίησης (Authentication subgroup). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με τις διαδικασίες αυθεντικοποίησης των χρηστών που χρησιμοποιεί η κάθε υπολογιστική συσκευή. 2. Υποομάδα ακεραιότητας (Integrity subgroup). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με την ακεραιότητα ορισμένων βασικών αρχείων που διατηρεί κάθε σύστημα. 3. Υποομάδα ελέγχου πρόσβασης αρχείων (File Access Control subgoup). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με τον έλεγχο πρόσβασης των αρχείων της υπολογιστικής μηχανής. 4. Υποομάδα ελέγχου (Audit subgroup). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με τα αρχεία καταγραφής (log files) που διατηρεί κάθε υπολογιστικό σύστημα και απεικονίζει στοιχεία για γεγονότα που τυχόν συμβαίνουν κατά την διάρκεια λειτουργίας του συστήματος. 5. Υποομάδα διάρθρωσης της υπηρεσίας ηλεκτρονικού ταχυδρομείου (Sendmail subgroup). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με τον έλεγχο των βασικών χαρακτηριστικών της διάρθρωσης υπηρεσίας ηλεκτρονικού ταχυδρομείου. 6. Υποομάδα διάρθρωσης υπηρεσίας παγκόσμιου ιστού (Web service subgroup). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με τη διάρθρωση της υπηρεσίας παγκόσμιου ιστού, αν παρέχεται, που διατηρεί το υπολογιστικό σύστημα. 7. Υποομάδα διάρθρωσης υπηρεσίας αντιγράφων ασφάλειας (Backup service). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με την διάρθρωση της υπηρεσίας αντιγράφων ασφάλειας των αρχείων που διατηρεί το υπολογιστικό σύστημα. 8. Υποομάδα ποικίλλων ελέγχων (Miscellaneous subgroup). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με σειρά ελέγχων παραμέτρων του υπολογιστικού συστήματος, οι οποίοι δεν εντάσσονται σε κάποια άλλη υποομάδα (π.χ. η υπηρεσία μεταφοράς αρχείων, εικονικού τερματικού). 9. Υποομάδα συναγερμών και συμβάντων (Alarm and Event subgroup). Περιγράφει διαχειρίσιμα αντικείμενα που σχετίζονται με την ασύγχρονη ενημέρωση του διαχειριστή ασφάλειας σε περίπτωση που κάποιες μεταβλητές των υποομάδων που ορίσθηκαν παραπάνω ξεπεράσουν κάποιες προκαθορισμένες τιμές Αναπαράσταση Βάσης Πληροφοριών Διαχείρισης Ασφάλειας Το επόμενο βήμα μετά τον καθορισμό των πληροφοριών που πρέπει να γίνουν αντικείμενο διαχείρισης, είναι η συμβολική αναπαράστασή τους σε μια πρότυπη ημι-τυπική γλώσσα. Μια Οικονομικό Πανεπιστήμιο Αθηνών Σελ 140

141 βάση διαχείρισης ουσιαστικά αποτελεί ένα σύνολο αντικειμένων. Παραδείγματα αντικειμένων αποτελούν τα παρακάτω: ένας υπολογιστής, ένας εκτυπωτής, μια φυσική γραμμή μετάδοσης, ένα αρχείο, ένα συνθηματικό κ.λ.π. Για την λογική απεικόνιση των αντικειμένων σε μια βάση διαχείρισης αντιστοιχίζεται μια μεταβλητή σε κάθε αντικείμενο. Η τιμή της μεταβλητής προσδιορίζει την κατάσταση στην οποία βρίσκεται το αντικείμενο την στιγμή την οποία εξετάζεται η τιμή της. Οι τύποι των αντικειμένων διακρίνονται σε δύο μεγάλες κατηγορίες: τα βαθμωτά (scalars) και δισδιάστατοι πίνακες βαθμωτών. Για να μπορεί να γίνεται η αναζήτηση ενός αντικειμένου με εύκολο και αποδοτικό τρόπο, πρέπει κάθε μεταβλητή, που αντιπροσωπεύει ένα λογικό αντικείμενο, να έχει έναν μοναδικό προσδιοριστή αντικειμένου (object identifier). Για την μοναδική αναγνώριση οποιουδήποτε αντικειμένου, έχει συμφωνηθεί μια ιεραρχία προσδιοριστών έτσι ώστε να υπάρχει ένας και μοναδικός τρόπος να διασχίσει κανείς αυτήν την ιεραρχία και να αναγνώσει την τιμή που αντιστοιχεί σε κάποιο λογικό αντικείμενο (μέσω του προσδιοριστή αντικειμένου). Για την περιγραφή της ΒΠΔΑ μπορεί να χρησιμοποιηθεί ο Αφηρημένος Συντακτικός Συμβολισμός.1 (Abstract Syntax Notation.1, ASN.1). Ο ASN.1 είναι μια ημι-τυπική γλώσσα περιγραφής δεδομένων για την αναπαράστασή τους σε μορφή ανεξάρτητη από την εσωτερική που χρησιμοποιούν οι διάφορες υπολογιστικές συσκευές. Με αυτό τον τρόπο εξασφαλίζεται η διεπικοινωνία και διαλειτουργικότητα (interoperability) μεταξύ υπολογιστικών συσκευών. Χρησιμοποιείται ευρέως στην κατασκευή κατανεμημένων εφαρμογών που λειτουργούν σε περιβάλλον δικτύων υπολογιστών. Το παρακάτω απόσπασμα κώδικα, απεικονίζει ένα παράδειγμα της γενικής περιγραφής της ΒΠΔΑ και της Υπο-ομάδας αυθεντικοποίησης σε ASN.1. Security OBJECT-TYPE SYNTAX security ACCESS read-write STATUS mandatory DESCRIPTION "A MIB representing security related information of the system" ::= { ucdavis 110 } security ::= SEQUENCE { Authentication authentication Integrity integrity File_Access_Control access_control Audit audit Sendmail sendmail Web_Service web_service BackUp backup Miscellanous misc Auditalarm auditalarm auditevent AuditEvent } Authentication OBJECT-TYPE SYNTAX authentication ACCESS read-only STATUS mandatory DESCRIPTION "MIB representing user authenticatiob information " Οικονομικό Πανεπιστήμιο Αθηνών Σελ 141

142 ::= { Security 1} authentication ::= SEQUENCE { Root_Passwd INTEGER Accounts_Number INTEGER Crack_Table crack_table Crack_Date DisplayString Cracked_Number INTEGER Shadow INTEGER Users_Id_Table users_id_table Users_Id_Number INTEGER Root_Id_Table root_id_table Root_Id_Number INTEGER Expiration_Table expiration_table Expiration_Number INTEGER Expiration_Last_Date DisplayString Innactivity_Table innactivity_table Innactive_Number INTEGER Innactive_Last_Date DisplayString Auth_Control_Time DisplayString } Σχήμα 18: Παράδειγμα περιγραφής της ΒΠΔΑ σε ASN Μοντέλο Διαχείρισης Ασφάλειας Μετά τον καθορισμό των πληροφοριών που συλλέγονται και την αναπαράστασή τους σε ημι-τυπική γλώσσα, σειρά έχει η σχεδίαση της υποδομής που συλλέγει τις πληροφορίες. Οι ανάγκες κλιμάκωσης και επεκτασιμότητας (βλ ) επιβάλλουν την ιεραρχική δόμηση της πληροφορίας που διαχειρίζεται το μοντέλο διαχείρισης ασφάλειας. Το προτεινόμενο ιεραρχικό μοντέλο διαχείρισης, της πληροφορίας που συλλέγεται, αποτελείται από δύο επίπεδα [APO-98b]: 1. Στο πρώτο επίπεδο η προς διαχείριση επικοινωνιακή υποδομή διαιρείται σε τομείς ασφάλειας (security domains). Κάθε τομέας ασφάλειας αποτελείται από διαχειρίσιμους πόρους οι οποίοι καλύπτονται από την ίδια πολιτική ασφάλειας και τον διαχειρίζεται ένα πρόγραμμα διαχειριστής ασφάλειας (security manager). 2. Στο δεύτερο επίπεδο λειτουργεί ένα σύστημα διαχείρισης επί των προγραμμάτων διαχειριστών ασφάλειας του κάθε τομέα ασφάλειας. Το επίπεδο αυτό διαχειρίζεται ένα πρόγραμμα διαχειριστής των διαχειριστών των τομέων ασφάλειας. Σε κάθε τομέα ασφάλειας εγκαθίσταται ένα πρόγραμμα-αντιπρόσωπος ασφάλειας ο οποίος διατηρεί μια ΒΠΔΑ η οποία αντιπροσωπεύει τις απαιτήσεις της πολιτικής ασφάλειας για τον τομέα. Το προτεινόμενο μοντέλο διαχείρισης ασφάλειας δίνεται στο Σχήμα 19. Το πρόγραμμα-αντιπρόσωπος ασφάλειας αποτελείται από δύο τμήματα: 1. Τον αντιπρόσωπο του πρωτοκόλλου επικοινωνίας, με τον διαχειριστή ασφάλειας του τομέα, που χειρίζεται τα μηνύματα που λαμβάνει από το πρόγραμμα διαχειριστή ασφάλειας σχετικά με την διαχείριση της ΒΠΔΑ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 142

143 2. Τα προγράμματα συλλέκτες (collectors) τα οποία είναι υπεύθυνα για την εκχώρηση τιμών στις μεταβλητές των υποομάδων της ΒΠΔΑ (βλ ). Τα προγράμματα συλλέκτες είναι εργαλεία ανίχνευσης ευπαθειών ΤΠΕ των διαχειρίσιμων πόρων του τομέα ασφάλειας, και εκχώρησης των σχετικών τιμών στις μεταβλητές της ΒΠΔΑ. Σχήμα 19: Λειτουργικό μοντέλο διαχείρισης ασφάλειας Η επικοινωνία μεταξύ του προγράμματος διαχειριστή του τομέα ασφάλειας και των αντιπροσώπων ασφάλειας επιτυγχάνεται με την χρήση κάποιου πρότυπου πρωτοκόλλου διαχείρισης ασφάλειας (π.χ. SNMP). Σε τακτά χρονικά διαστήματα (καθορισμένα από την πολιτική ασφάλειας) ο διαχειριστής ασφάλειας μπορεί να προβεί στην συλλογή στοιχείων που σχετίζονται με την εφαρμογή των τεχνικών μέτρων της πολιτικής ασφάλειας υποβάλλοντας ερωτήσεις (με χρήση του πρότυπου πρωτοκόλλου επικοινωνίας) στους αντιπροσώπους ασφάλειας. Οι λειτουργικές μονάδες που απαρτίζουν κάθε πρόγραμμα καθώς και οι μεταξύ τους επικοινωνίες απεικονίζονται στο Σχήμα 20. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 143

144 Σχήμα 20: Εσωτερική δομή και επικοινωνία προγραμμάτων αντιπροσώπων και διαχειριστή ασφάλειας Το πρόγραμμα διαχειριστής ασφάλειας διατηρεί τα στοιχεία που συλλέγει σε μια τοπική βάση δεδομένων. Τα στοιχεία αυτά μπορούν να διαχωριστούν σε δύο μεγάλες υποκατηγορίες: 1. Τοπικά στοιχεία που αφορούν στην διαχείριση του τοπικού τομέα ασφάλειας και καταχωρούνται στις τοπικές ΒΠΔΑ. 2. Συγκεντρωτικά στοιχεία που δημιουργούνται από την ομαδοποίηση τοπικών στοιχείων. Τα στοιχεία αυτά ανταλλάσσουν μεταξύ τους οι διαχειριστές τομέων ασφάλειας για την διαχείριση της πολιτικής ασφάλειας σε ένα υψηλότερο, γεωγραφικά διευρυμένο επίπεδο και καταχωρούνται σε Παροδικές Βάσεις Πληροφοριών Διαχείρισης (ΠΒΠΔ, Temporal Management Information Base) Ικανοποίηση απαιτήσεων χρήστη Το μοντέλο που παρουσιάσθηκε ικανοποιεί τις απαιτήσεις χρήσης που παρουσιάσθηκαν στην παράγραφο ως εξής: 1. Κλιμάκωση. Η ιεραρχική οργάνωση της πληροφορίας διαχείρισης δίνει την δυνατότητα εφαρμογής του μοντέλου: σε μεγάλες επικοινωνιακές υποδομές με την διαίρεση του τομέα ασφάλειας σε πολλούς υπο-τομείς, σε μικρές πληροφοριακές νησίδες με την εφαρμογή μόνο του 1ου επιπέδου διαχείρισης και την εγκατάσταση ενός προγράμματος διαχειριστή και ενός ή περισσοτέρων προγραμμάτων αντιπροσώπων (Σχήμα 19). 2. Επεκτασιμότητα. Το μοντέλο δεν εξαρτάται από κάποια συγκεκριμένη τεχνολογία υλοποίησης. Υπάρχει η δυνατότητα χρησιμοποίησης οποιουδήποτε πρωτοκόλλου Οικονομικό Πανεπιστήμιο Αθηνών Σελ 144

145 επικοινωνίας στο Διαδίκτυο (π.χ. HTTP, SNMP). Επίσης, δεν απαιτείται εξειδικευμένο λογισμικό για τα προγράμματα των αντιπροσώπων ή διαχειριστών. 3. Ενσωμάτωση με την υπάρχουσα πληροφοριακή υποδομή. Υπάρχουν προγράμματα διαχειριστές ή αντιπρόσωποι, τόσο για πλατφόρμες UNIX όσο και για MS-Windows. Η δημιουργία ενός εργαλείου το οποίο θα στηρίζεται στο προτεινόμενο μοντέλο μπορεί να γίνει με την χρήση κοινών γλωσσών προγραμματισμού και γλωσσών προγραμματισμού φλοιού λειτουργικών συστημάτων. 4. Συγκέντρωση και διήθηση. Η ιεραρχική δόμηση της αρχιτεκτονικής του μοντέλου επιτρέπει την συγκέντρωση τω πληροφοριών στους διαχειριστές. Το διήθηση της συγκεντρωμένης πλέον πληροφορίας γίνεται με την κατασκευή προγραμμάτων που ανταποκρίνονται στις διαφορετικές ανάγκες κάθε οργανισμού. 5. Ασφάλεια των πληροφοριών. Η ασφάλεια των πληροφοριών που διακινούνται μπορεί να χωρισθεί σε δύο τμήματα: 1. Ασφάλεια των ΒΠΔΑ. Οι ΒΠΔΑ αποτελούν πληροφορίες του οργανισμού και ως εκ τούτου πρέπει να έχουν συμπεριληφθεί ως αγαθά που χρίζουν προστασίας στην μελέτη επικινδυνότητας που έχει εκπονήσει ο οργανισμός. 2. Ασφάλεια κατά την διακίνηση των πληροφοριών. Όλα τα πρότυπα πρωτόκολλα διαχείρισης δικτύων διαθέτουν μηχανισμούς ασφάλειας των διακινούμενων πληροφοριών με χρήση κρυπτογραφίας δημοσίου κλειδιού. Για παράδειγμα το πρωτόκολλο SSL μπορεί να ενεργοποιηθεί αν χρησιμοποιηθεί το πρωτόκολλο HTTP για την επικοινωνία αντιπροσώπων και διαχειριστών ενώ το SNMPv3 έχει ενσωματωμένες υπηρεσίες κρυπτογραφίας δημοσίου κλειδιού. 6. Προσαρμογή σε διαφορετικές απαιτήσεις ασφάλειας και ευελιξία. Οι απαιτήσεις ασφάλειας προκύπτουν από τα αντίμετρα της ανάλυσης επικινδυνότητας. Η χρήση του ASN.1 ως τυπική γλώσσα περιγραφή τους δεν θέτει κανένα περιορισμό στον διαχειριστή ασφάλειας του οργανισμού σχετικά με το πλήθος των αντιμέτρων ή το μέγεθος της ΒΠΔΑ. Με την εισαγωγή παραμέτρων χρόνου στην ΒΠΔΑ, κάθε οργανισμός που χρησιμοποιεί το μοντέλο μπορεί να προσαρμόσει την ΒΠΔΑ στις δικές του απαιτήσεις έτσι όπως αυτές προκύπτουν μέσα από την πολιτική ασφάλειας του οργανισμού. Εξάλλου, η λογική υποδιαίρεση των πληροφοριών διαχείρισης ασφάλειας που προτάθηκε (βλ ) είναι μόνο ενδεικτική. Επιπλέον, ο ASN.1 δίνει απεριόριστες δυνατότητες παραμετροποίησης οποιασδήποτε μεταβλητής θέλει ο διαχειριστής ασφάλειας να συμπεριλάβει στην ΒΠΔΑ. 7. Διαχείριση από κεντρικό σημείο. Το μοντέλο περιλαμβάνει τα εξής κεντρικά σημεία διαχείρισης ανάλογα με το επίπεδο διαχείρισης (Σχήμα 19): α) στο 1ο επίπεδο κεντρικό σημείο είναι το πρόγραμμα διαχειριστής ασφάλειας του τομέα και β) στο 2ο επίπεδο κεντρικό σημείο είναι το πρόγραμμα υπερδιαχειριστής ασφάλειας όλου του τομέα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 145

146 8. Φιλική διεπαφή χρήστη με χρήση γραφικών παραστάσεων και αναφορών κειμένου. Το πρόγραμμα διαχειριστής ασφάλειας ενσωματώνει λειτουργική μονάδα δημιουργίας γραφικών αναπαραστάσεων (Σχήμα 20). Με την χρήση γραφικών παραστάσεων ο διαχειριστής ασφάλειας μπορεί εύκολα να συμπεράνει την εξέλιξη βασικών παραμέτρων ασφάλειας στο χρόνο. Με αυτό τον τρόπο μπορεί να ποσοτικοποιηθεί η απόδοση των υφιστάμενων αντιμέτρων ασφάλειας και να προβεί σε μεταβολή τους με αποτέλεσμα να αυξάνεται η ευελιξία προσαρμογής του οργανισμού στις εκάστοτε ανάγκες του Υπηρεσία "Ασφάλεια" της ΥΠΔ Η υπηρεσία "Ασφάλεια" της ΥΠΔ παρέχει στον υπεύθυνο επεξεργασίας τη δυνατότητα να κατασκευάζει και διαχειρίζεται τα μέτρα ασφάλειας που περιγράφονται στην πολιτική ασφάλειας του οργανισμού. Η υπηρεσία "Ασφάλεια" αποτελείται από τις εξής επιμέρους υπηρεσίες: 1. Δημιουργία ΒΠΔΑ. Αυτή η υπηρεσία αποτελείται από τις εξής λειτουργίες: 1.1. Λειτουργία καθορισμού περιεχομένου (κμ ΑΣ_ΚΠ_01, βλ ) Είσοδος: (1) Πολιτική ασφάλειας σε φυσική γλώσσα Έξοδος: (2) Ομάδες αντιμέτρων Λειτουργία: (1) Ταξινόμηση αντιμέτρων σε υποομάδες. 1.2 Λειτουργία αναπαράστασης ΒΔΠΑ (βλ ) Μετάφραση Πολιτικής ασφάλειας (κμ ΑΣ_ΑΝ_01) Είσοδος: (1) Ομάδες αντιμέτρων (2) Ημιτυπικοί κανόνες περιγραφής Έξοδος: (2) Διαχειρίσιμα αντικείμενα (σε ημι-τυπική γλώσσα) Λειτουργία: (1) Ανάλυση των αντιμέτρων της ομάδας (2) Προσδιορισμός Διαχειρίσιμου αντικειμένου (3) Περιγραφή αντικειμένου σε ημι-τυπική γλώσσα Μεταγλώττιση ΒΔΠΑ (κμ ΑΣ_ΑΝ_02) Είσοδος: (1) Διαχειρίσιμα αντικείμενα (σε ημι-τυπική γλώσσα) (2) Ημιτυπικοί κανόνες μεταγλώττισης Έξοδος: (2) Ένδειξη επιτυχίας ή εντοπισμός λαθών Λειτουργία: (1) Συντακτική ανάλυση των αντιμέτρων της ομάδας (2) Προσδιορισμός διαχειρίσιμου αντικειμένου (3) Περιγραφή αντικειμένου σε ημι-τυπική γλώσσα ή επιστροφή κωδικού σφάλματος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 146

147 2. Υπηρεσία Αντιπρόσωπου ασφάλειας. Αποτελείται από τις εξής λειτουργίες: 2.1 Λειτουργία αντιπροσώπου πρωτοκόλλου Συλλογή τιμών των διαχειρίσιμων αντικειμένων (κμ ΑΣ_ΑΣ_01) Είσοδος: (1) Περιγραφή αντικειμένου διαχείρισης Έξοδος: (2) Τιμή αντικειμένου διαχείρισης ή κωδικός σφάλματος Λειτουργία: (1) Αναζήτηση αντικειμένου στην ΒΠΔΑ (2) Ανάκτηση τιμής αντικειμένου (3) Επιστροφή τιμής αντικειμένου ή κωδικού σφάλματος Αλλαγή τιμών των διαχειρίσιμων αντικειμένων (κμ ΑΣ_ΑΣ_02) Είσοδος: (1) Περιγραφή αντικειμένου διαχείρισης (2) Τιμή Έξοδος: (2) Νέα τιμή αντικειμένου διαχείρισης ή κωδικός σφάλματος Λειτουργία: (1) Αναζήτηση αντικειμένου στην ΒΠΔΑ (2) Αλλαγή τιμής αντικειμένου (3) Επιστροφή νέας τιμής αντικειμένου ή κωδικού σφάλματος. 2.2 Λειτουργία ενημέρωσης ΒΠΔΑ (κμ ΑΣ_ΑΣ_03) Είσοδος: (1) Μήνυμα ενεργοποίησης (2) Ομάδα διαχειρίσιμων αντικειμένων Έξοδος: (2) Θετική ή αρνητική επιβεβαίωση εκτέλεσης Λειτουργία: (1) Ενεργοποίηση προγράμματος συλλέκτη των στοιχείων της ομάδας (2) Αναζήτηση αντικειμένων ομάδας στην ΒΠΔΑ (3) Αλλαγή τιμής αντικειμένων (4) Επιστροφή θετικής ή αρνητικής επιβεβαίωση εκτέλεσης. 2.3 Λειτουργία χρονοπρογραμματισμού ενημέρωσης ΒΠΔΑ (κμ ΑΣ_ΑΣ_04) Είσοδος: (1) Όνομα προγράμματος συλλέκτη (2) Ώρα Έξοδος: (2) Θετική ή αρνητική επιβεβαίωση εκτέλεσης Λειτουργία: (1) Αναζήτηση εγγραφής με βάση το όνομα συλλέκτη στον πίνακα χρονοπρογραμματισμού του λειτουργικού συστήματος (2) Μεταβολή ώρας ενεργοποίησης (3) Επιστροφή θετικής ή αρνητικής επιβεβαίωση εκτέλεσης. 3. Υπηρεσία διαχειριστή ασφάλειας τομέα. Αποτελείται από τις εξής λειτουργίες: 3.1 Λειτουργία συλλογής διαχειρίσιμων αντικειμένων (κμ ΑΣ_ΔΑ_01) Είσοδος: (1) Περιγραφή αντικειμένου διαχείρισης Οικονομικό Πανεπιστήμιο Αθηνών Σελ 147

148 Έξοδος: (2) Τιμή αντικειμένου διαχείρισης ή κωδικός σφάλματος Λειτουργία: (1) Αποστολή μηνύματος στη Λειτουργία αντιπροσώπου πρωτοκόλλου (2) Επιστροφή τιμής αντικειμένου ή κωδικού σφάλματος. 3.2 Λειτουργία μεταβολής διαχειρίσιμων αντικειμένων (κμ ΑΣ_ΔΑ_02) Είσοδος: (1) Περιγραφή αντικειμένου διαχείρισης (2) Τιμή Έξοδος: (2) Νέα τιμή αντικειμένου διαχείρισης ή κωδικός σφάλματος Λειτουργία: (1) Αποστολή μηνύματος στη Λειτουργία αντιπροσώπου πρωτοκόλλου (2) Επιστροφή νέας τιμής αντικειμένου ή κωδικού σφάλματος. 3.3 Λειτουργία γραφικών αναπαραστάσεων (κμ ΑΣ_ΔΑ_03) Είσοδος: (1) Διαχειρίσιμα αντικείμενα (2) Τιμές των διαχειρίσιμων αντικειμένων Έξοδος: (2) Γραφική παράσταση ή κωδικός σφάλματος Λειτουργία: (1) Δημιουργία πλειάδων της μορφής {Διαχειρίσιμο αντικείμενο, τιμή} (2) Αποστολή πλειάδων στη μονάδα γραφικών αναπαραστάσεων (2) Παρουσίαση γραφικής αναπαράστασης ή επιστροφή κωδικού σφάλματος. 5.4 Σύνοψη Η προσλαμβανόμενη αίσθηση ασφάλειας του υποκειμένου στηρίζεται στην διαπίστωση ότι η ενημέρωση που λαμβάνει από τον υπεύθυνο επεξεργασίας συμβαδίζει με την πραγματική επεξεργασία των προσωπικών δεδομένων που συλλέγει. Η διαπίστωση αυτή στηρίζεται σε δύο παράγοντες: 1. Την προσωπική θεώρηση της προστασίας δεδομένων από πλευράς του υποκειμένου. Η υπηρεσία "Ενημέρωση" της τεχνολογικής διαδικτυακής ΥΠΔ, δίνει τη δυνατότητα στον υπεύθυνο και το υποκείμενο επεξεργασίας να ορίζουν απευθείας τις πολιτικές προστασίας δεδομένων τους και να ελέγχουν τη συμβατότητά τους με το πλαίσιο προστασίας δεδομένων. Επιπλέον, το υποκείμενο έχει τη δυνατότητα να διαπραγματεύεται απευθείας την πολιτική προστασίας δεδομένων του. 2. Τον προληπτικό έλεγχο των πολιτικών προστασίας δεδομένων και την πιστοποίησή τους από την Αρχή Ελέγχου. Η υπηρεσία "Επίβλεψη" της τεχνολογικής διαδικτυακής ΥΠΔ παρέχει τη δυνατότητα στο υποκείμενο να επιβεβαιώνει απευθείας, με εύκολο τρόπο, την διενέργεια ελέγχου από κάποια Αρχή Ελέγχου προς τον υπεύθυνο επεξεργασίας. Η αρχή της επίβλεψης δημιουργεί την ανάγκη στον υπεύθυνο επεξεργασίας να μπορεί, με εύκολο τρόπο, να αποδείξει την επάρκεια των τεχνικών μέτρων που λαμβάνει για να προστατεύσει τα προσωπικά δεδομένα των υποκειμένων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 148

149 Η υπηρεσία "Ασφάλεια και ακεραιότητα" δίνει τη δυνατότητα στους υπεύθυνους επεξεργασίας να δημιουργούν και διαχειρίζονται τα τεχνικά μέτρα προστασίας που λαμβάνουν. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 149

150 6 ΕΠΙΛΟΓΗ ΑΠΟΚΑΛΥΨΗΣ ΤΑΥΤΟΤΗΤΑΣ Προς αποφυγή παραβίασης των αρχών προστασίας δεδομένων, πολλοί ιδιοκτήτες διαδικτυακών τόπων γίνονται επιφυλακτικοί σχετικά με την συλλογή και επεξεργασία προσωπικών δεδομένων με συνέπεια την εξασθένηση του ενδιαφέροντος τους, προκειμένου να δώσουν κίνητρα στα υποκείμενα επεξεργασίας να αποκαλύψουν τα προσωπικά τους δεδομένα. Από την άλλη όμως, η δημιουργία καταναλωτικών περιγραμμάτων ωφελεί τον χρήστη του Διαδικτύου. Δίνοντας τα προσωπικά του δεδομένα στους ιδιοκτήτες διαδικτυακών τόπων, έχει την δυνατότητα να προσπελαύνει ιστοσελίδες που αντανακλούν τα προσωπικά του ενδιαφέροντα, να μην χάνει χρόνο σε άσκοπες αναζητήσεις και να επωφελείται από προσφορές που, τυχόν, προσφέρουν οι ιδιοκτήτες των διαδικτυακών τόπων. Τα οφέλη που αποκομίζουν, τα υποκείμενα επεξεργασίας που είναι πρόθυμα να παραχωρήσουν τα προσωπικά τους δεδομένα, οδηγούν σε αύξηση την τάση για συλλογή προσωπικών δεδομένων. Παρά τους κινδύνους που εγκυμονεί, η διακίνηση προσωπικών δεδομένων τείνει να γίνει αποδεκτή, από πλευράς χρηστών του Διαδικτύου, πρακτική. Την εξισορρόπηση των δύο παραπάνω αντίρροπων τάσεων φαίνεται να πετυχαίνει η εξουσιοδότηση του χρήστη (user empowerment). Αντί να καταβάλλεται προσπάθεια να προσεγγισθεί η ιδιωτικότητα με ένα τρόπο που ικανοποιεί όλες τις ενδιαφερόμενες οντότητες, προτείνεται η δημιουργία συστημάτων τέτοιων, που επιτρέπουν στο υποκείμενο επεξεργασίας να εφαρμόζει και να ικανοποιεί κατ' επιλογή του τις προτιμήσεις του περί ιδιωτικότητας με εύκολο και αποδοτικό τρόπο. Η συμβολή του παρόντος κεφαλαίου στην επιστήμη συνίσταται στην δημιουργία ενός λειτουργικού μοντέλου ενσωμάτωσης των ΤΠΙ στις ΤΑΠΕ (βλ. 6.4). Κάνοντας χρήση του προτεινόμενου μοντέλου δίνεται στον χρήστη ενός ΠΣ η δυνατότητα να επιλέγει πότε θα αποκαλύψει την πραγματική του ταυτότητα. Τέλος, περιγράφεται η υπηρεσία «Πρόσβαση» της ΥΠΔ που βοηθά το υποκείμενο να ασκήσει, με απευθείας διαδικασίες, το δικαίωμα πρόσβασης στα δεδομένα που διατηρεί ο υπεύθυνος επεξεργασίας (βλ. 6.5). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 150

151 6.1 Εξουσιοδότηση χρήστη Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Πολλά κανονιστικά πλαίσια προστασίας δεδομένων επιβάλλουν στους υπεύθυνους επεξεργασίας να λαμβάνουν όλα τα απαραίτητα μέτρα, κατά συνέπεια και τα οικονομικά βάρη, που απαιτούνται ώστε να μην παραβιάζονται οι βασικές αρχές-δικαιώματα προστασίας δεδομένων. Παράδειγμα τέτοιας νομοθεσίας αποτελούν οι Ευρωπαϊκές Οδηγίες προστασίας προσωπικών δεδομένων (95/46/ΕΚ, 58/2002/ΕΚ). Από την άλλη πλευρά, το υποκείμενο δεν αναλαμβάνει καμία ευθύνη για την αυτοπροστασία των προσωπικών του δεδομένων. Αποτέλεσμα της παραπάνω αντιμετώπισης της προστασίας δεδομένων είναι η αύξηση του κόστους χρήσης των υπηρεσιών Διαδικτύου. Υπάρχουν δύο είδη κόστους, που θα πληρώσει ο τελικός χρήστης, σε ένα περιβάλλον όπου όλα τα μέτρα προστασίας δεδομένων να λαμβάνονται από την πλευρά των υπευθύνων επεξεργασίας [ALB-02]: 1. Απώλεια καταναλωτικού πλεονάσματος (loss of consumer surplus). Οι υπεύθυνοι επεξεργασίας προσφέρουν δωρεάν υπηρεσίες στους χρήστες του Διαδικτύου με αντάλλαγμα την συλλογή κάποιων προσωπικών δεδομένων τους. Σε περίπτωση που, λόγω των υποχρεώσεων που επιβάλλονται στον υπεύθυνο επεξεργασίας, η προσφορά των υπηρεσιών αυτών γίνει ασύμφορη και σταματήσει η παροχή τους, οι χρήστες του Διαδικτύου πρέπει να πληρώνουν για τις υπηρεσίες αυτές. 2. Κόστος ευκαιρίας (opportunity cost). Σε περιπτώσεις όπου ο υπεύθυνος επεξεργασίας δεν προσφέρει μια υπηρεσία, λόγω των υποχρεώσεων που επιβάλλονται στον υπεύθυνο επεξεργασίας, η οποία καλύπτει τις ανάγκες χρηστών του Διαδικτύου, οι χρήστες θα πρέπει να απαρνηθούν τα οφέλη που θα είχαν αν τους προσφερόταν η υπηρεσία. Σκοπός της εξουσιοδότησης του χρήστη, είναι η δημιουργία τέτοιων τεχνολογικών λύσεων που στηρίζουν με τεχνικά μέσα το δικαίωμα της επιλογής αποκάλυψης της ταυτότητας του υποκειμένου. Υπάρχουν σαφή πλεονεκτήματα προς την κατεύθυνση της εξουσιοδότησης του χρήστη του Διαδικτύου: το υποκείμενο γνωρίζει καλύτερα από οποιονδήποτε άλλο τις προτιμήσεις του σχετικά με την ιδιωτικότητα. Για παράδειγμα, η ομάδα εργασίας του άρθρου 29 της Ευρωπαϊκής Ένωσης, δημοσίευσε κείμενο με το οποίο ενθαρρύνει την χρήση αναδυόμενων παραθύρων (pop-up boxes) από τους ιδιοκτήτες δικτυακών τόπων [WPW-00]. Υπάρχουν όμως πολλοί χρήστες οι οποίοι αντιμετωπίζουν την χρήση τους με δυσαρέσκεια. Πρέπει να δίνεται η τεχνική δυνατότητα στον χρήστη που το επιθυμεί να μην εμφανίζονται τέτοιου είδους παράθυρα. η εξουσιοδότηση του χρήστη ελαττώνει το κόστος ευκαιρίας διότι οι ιδιοκτήτες διαδικτυακών τόπων αποκτούν κίνητρα να κατασκευάσουν πρωτοποριακές εφαρμογές για τους χρήστες που κατ' επιλογή προσφέρουν τα προσωπικά τους δεδομένα. Κατ' επέκταση το υποκείμενο επεξεργασίας απολαμβάνει, έχοντας γνώση των αποτελεσμάτων των ενεργειών του, υπηρεσίες που διαφορετικά δεν θα μπορούσε. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 151

152 Προς την κατεύθυνση της εξουσιοδότησης χρήστη προσανατολίζονται όλες οι τεχνολογίες προσωπικού υπολογιστή που παρουσιάσθηκαν στην παράγραφο Οι τεχνολογίες αυτές όμως, αντιμετωπίζουν μόνο μεμονωμένες απειλές κατά της ιδιωτικότητας (βλ. 2.6). Κατά συνέπεια δεν μπορούν, από μόνες τους, να αποτελέσουν μέρος της τεχνολογικής διαδικτυακής ΥΠΔ. Μια εναλλακτική προσέγγιση που στρέφεται προς την εξουσιοδότηση του χρήστη και προσφέρει μια συνολική αντιμετώπιση των προαναφερθεισών απειλών είναι ο προστάτης ταυτότητας (identity protector). Ο προστάτης ταυτότητας είναι μια έννοια που εμφανίσθηκε στα 1995 ([HEN-95]) και υλοποιείται από μια οντότητα που σκοπό έχει τον διαχωρισμό των προσωπικών δεδομένων από τα ψευδώνυμα που διατηρεί ο χρήστης. Η κεντρική ιδέα της οντότητας αυτής είναι η ελαχιστοποίηση των προσωπικών δεδομένων που απαιτούνται από ένα σύστημα προκειμένου να αυθεντικοποιήσει ένα χρήστη. 6.2 Προστάτης ταυτότητας Ο άνθρωπος έχει την έμφυτη και καθημερινή ανάγκη να λειτουργεί σε διαφορετικά περιβάλλοντα χρησιμοποιώντας διαφορετικές συμπεριφορές, υποκοριστικά και κώδικες επικοινωνίας. Κατ' αναλογία με τον φυσικό κόσμο, ο χρήστης του Διαδικτύου έχει την ανάγκη να μπορεί να παρουσιάζει διαφορετικές ψηφιακές ταυτότητες ανάλογα με το ποιον συναλλάσσεται. Ο προστάτης ταυτότητας περιφρουρεί την ανάγκη του χρήστη του Διαδικτύου να διαχειρίζεται κατά βούληση τις διαφορετικές ψηφιακές ταυτότητες που επιθυμεί. Η πραγματική ταυτότητα ενός χρήστη δεν είναι αναγκαία σε κάθε συναλλαγή του μέσα στην ΥΠΔ [INF-95]. Παραταύτα, η αυθεντικοποίηση του χρήστη από ένα υπολογιστικό σύστημα, η μη αποποίηση ευθύνης πραγματοποίησης μιας συναλλαγής και η απόδοση ευθυνών σε περιπτώσεις παράβασης του νόμου είναι μερικά παραδείγματα όπου η εξακρίβωση της πραγματικής ταυτότητας του χρήστη είναι αναγκαία. Από τα παραπάνω συμπεραίνουμε ότι η πραγματική ταυτότητα ενός χρήστη και οι ψευδο-ταυτότητες που διατηρεί δεν πρέπει να συνδυάζονται παρά μόνο σε ειδικές περιπτώσεις. Κατ' αυτή την έννοια ο προστάτης ταυτότητας χωρίζει το χώρο δράσης ενός χρήστη σε δύο τμήματα: (α) το τμήμα ταυτότητας στο οποίο είναι αναγκαία η διακρίβωση της πραγματικής ταυτότητας του χρήστη και (β) το τμήμα ψευδο-ταυτότητας στο οποίο ο χρήστης δρα χρησιμοποιώντας διαφορετικές ταυτότητες. Η λειτουργία του προστάτη ταυτότητας απεικονίζεται στο Σχήμα 21. Σχήμα 21 Λειτουργία προστάτη ταυτότητας Ο προστάτης ταυτότητας αναλαμβάνει την μετατροπή της πραγματικής ταυτότητας του υποκειμένου επεξεργασίας σε μια ή περισσότερες ψευδο-ταυτότητες. Το τμήμα ψευδο- Οικονομικό Πανεπιστήμιο Αθηνών Σελ 152

153 ταυτότητας εξασφαλίζει ότι δεν είναι δυνατή η ανεύρεση της πραγματικής ταυτότητας του υποκειμένου από τα ίχνη των προσωπικών του δεδομένων και ότι δεν είναι δυνατόν να γίνει αντιστοίχιση μιας πραγματικής ταυτότητας και των προσωπικών δεδομένων που την αφορούν Προσεγγίσεις του προστάτη ταυτότητας Υπάρχουν τρεις διαφορετικές προσεγγίσεις σχετικά με τον προστάτη ταυτότητας [CTO-97]: α) να ενσωματωθεί στο ΠΣ ως ανεξάρτητο τμήμα (component) β) να αποτελέσει ένα ανεξάρτητο του ΠΣ τμήμα το οποίο ελέγχεται αποκλειστικά από το υποκείμενο επεξεργασίας (π.χ. έξυπνη κάρτα) γ) να αποτελέσει ένα ανεξάρτητο του ΠΣ τμήμα το οποίο ελέγχεται από μια Έμπιστη Οντότητα. Η δεύτερη προσέγγιση παρουσιάσθηκε σε άρθρο του David Chaum στα 1985 [CHA-85], και αφορά στην δημιουργία ψευδωνύμων, κατάλληλων για ηλεκτρονικές επικοινωνίες, πληρωμές και επίδειξη πιστοποιητικών. Αυτή η προσέγγιση παρουσιάζει τα εξής μειονεκτήματα: 1. Η αναγωγή της προστασίας ταυτότητας σε απλή δημιουργία ψευδωνύμων είναι μια στενή ερμηνεία της πολύπλοκης έννοιας της προστασίας προσωπικών δεδομένων στο Διαδίκτυο. Για παράδειγμα η εμφάνιση αυτόκλητων διαφημιστικών μηνυμάτων, έστω και αν αναφέρονται σε κάποια ψευδο-ταυτότητα και όχι την πραγματική ταυτότητα του χρήστη, κατά την διάρκεια της πλοήγησης αποτελεί παραβίαση της προσωπικής ζωής του χρήστη σύμφωνα με την Ευρωπαϊκή νομοθεσία. 2. Λόγο της πρώιμης εποχής που εμφανίσθηκε η παραπάνω εργασία, ο προστάτης ταυτότητας παρουσιάζεται ως μια οντότητα που το μόνο της έργο είναι η παράγωγή ψηφιακών ψευδωνύμων. Η εμφάνιση όμως του παγκόσμιου ιστού στα 1994, πρόσθεσε νέες απειλές κατά της ιδιωτικότητας οι οποίες απαιτούν τεχνολογικά σύνθετες λύσεις. Η εγκατάσταση ενός cookie, για παράδειγμα, στον υπολογιστή του χρήστη, η διαρροή του φυλλομετρητή και η δημιουργία ενός καταναλωτικού περιγράμματος αποτελούν απειλές που δεν αντιμετωπίζονται απλά με την χρήση ενός ψευδωνύμου. 3. Δεν γίνεται πρόβλεψη μηχανισμού παράκαμψης ανωνυμίας σε περιπτώσεις αξιόποινων πράξεων που διαπράττονται από το χρήστη. Η προστασία της ταυτότητας του χρήστη πρέπει να υποστηρίζεται από μηχανισμούς καταγραφής της αντιστοίχισης μεταξύ ψευδωνύμου και πραγματικής ταυτότητας. Η αντιστοίχιση πρέπει να γίνει από μια τρίτη οντότητα η οποία δεν λαμβάνει μέρος στην συναλλαγή. 4. Η χρήση έξυπνων καρτών ως μέσων αποθήκευσης στοιχείων ταυτοποίησης του χρήστη, έχει προταθεί και σε άλλες εφαρμογές ηλεκτρονικού εμπορίου χωρίς μεγάλη επιτυχία. Ο Οικονομικό Πανεπιστήμιο Αθηνών Σελ 153

154 λόγος είναι ότι υπάρχουν απειλές, που προϋποθέτουν εξειδικευμένες γνώσεις, κατά των έξυπνων καρτών, οι οποίες μπορούν να θέσουν σε κίνδυνο την ασφάλεια των δεδομένων που είναι αποθηκευμένα σε αυτές. Για τους παραπάνω λόγους και παρά τις πρωτοποριακές ιδέες σχετικά με την δημιουργία ψευδωνύμων, δεν υπάρχει κάποια υλοποίηση που να στηρίζεται στον σχεδιασμό που προτείνεται στο προαναφερθέν άρθρο Ανάθεση του προστάτη ταυτότητας σε μια Έμπιστη Οντότητα Σύμφωνα με την τρίτη προσέγγιση, ο προστάτης ταυτότητας λαμβάνει χώρα σε μια εξωτερική του συστήματος οντότητα, που εμπιστεύεται και χρησιμοποιεί ο χρήστης. Στις περισσότερες και πλέον πρόσφατες προσπάθειες, οι ερευνητές προτείνουν την διάσπαση του προστάτη ταυτότητας σε δύο τμήματα [CAR-01], [BOR-99]: (α) το τμήμα διαχείρισης υπηρεσιών προστασίας της ταυτότητας του υποκειμένου επεξεργασίας το οποίο υλοποιείται με την χρήση κινητών αντιπροσώπων (mobile agents). Ένας αντιπρόσωπος είναι μια οντότητα λογισμικού ή/και υλικού που έχει σκοπό να φέρει σε πέρας καθήκοντα που του αναθέτει ο χρήστης του. Το μοντέλο λειτουργίας των αντιπροσώπων στηρίζεται στην εμπιστοσύνη που πρέπει να υπάρχει μεταξύ αντιπρόσωπου και χρήστη. Ο χρήστης δημιουργεί ένα περίγραμμα στον αντιπρόσωπο, και ο τελευταίος αναλαμβάνει την διαχείριση των προσωπικών δεδομένων του χρήστη στο Διαδίκτυο κάνοντας χρήση των τεχνολογιών που αναφέρθηκαν στην παράγραφο 2.7. (β) Το τμήμα παραγωγής ψευδωνύμων. Σε περιπτώσεις που ο χρήστης δεν εμπιστεύεται τον αντιπρόσωπο χρησιμοποιεί κάποιο ψευδώνυμο το οποίο χρησιμοποιείται για την επικοινωνία του χρήστη με τον αντιπρόσωπο. Το τμήμα αυτό είναι ουσιαστικά ο προστάτης ταυτότητας και υλοποιείται στον υπολογιστή του χρήστη. Η παραπάνω προσέγγιση παρουσιάζει πλεονεκτήματα όπως: (α) ευκινησία (mobility) στην διενέργεια συναλλαγών του χρήστη. (β) εξοικονόμηση χρόνου για τον χρήστη. Ο χρήστης δεν ασχολείται με θέματα προστασίας ιδιωτικότητας τα οποία αναλαμβάνει ο αντιπρόσωπος. Οι κινητοί αντιπρόσωποι έχουν χρησιμοποιηθεί σε διάφορες εφαρμογές ηλεκτρονικών συναλλαγών. Η χρήση τους όμως για την προστασία προσωπικών δεδομένων παρουσιάζει σοβαρά μειονεκτήματα τα οποία είναι: το ιδιοκτησιακό καθεστώς του αντιπρόσωπου. Υπάρχουν δύο εναλλακτικές σχετικά με αυτό το ζήτημα: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 154

155 i. Ο αντιπρόσωπος ανήκει στον χρήστη. Η προσέγγιση αυτή συνοδεύεται από υψηλό κόστος και δυσκολία στην διαχείριση και διαμόρφωση (configuration) του αντιπρόσωπου. ii. Ο αντιπρόσωπος ανήκει στον πάροχο υπηρεσιών και ο χρήστης νοικιάζει την χρήση του. Τα προσωπικά δεδομένα του χρήστη περνούν αυτόματα στον πάροχο υπηρεσιών ο οποίος δεσμεύεται να τηρεί την νομοθεσία περί προστασίας τους. Ο πάροχος υπηρεσιών γίνεται μια επί πλέον πηγή κινδύνων. οι αντιπρόσωποι εκ των πραγμάτων συλλέγουν και επεξεργάζονται προσωπικά δεδομένα. Εξαιρουμένων των περιπτώσεων ιδιοκτησίας του χρήστη, στην πλειονότητά τους οι αντιπρόσωποι ανήκουν στους πάροχους υπηρεσιών. Ως υπεύθυνοι επεξεργασίας, οι πάροχοι υπηρεσιών δεσμεύονται με μια σειρά υποχρεώσεων που απορρέουν από την νομοθεσία. Σύμφωνα όμως με όσα αναφέρθηκαν στην παράγραφο 3.1, οι δεσμεύσεις αυτές εξασθενίζουν την εξουσιοδότηση του χρήστη. Θα μπορούσαμε να πούμε λοιπόν, ότι στις περιπτώσεις όπου οι αντιπρόσωποι ανήκουν στους πάροχους υπηρεσιών, η ενσωμάτωση του προστάτη ταυτότητας σε έναν αντιπρόσωπο επιφέρει αποτελέσματα αντίθετα από αυτά για τα οποία επινοήθηκε. η διάσπαση της ταυτότητας του χρήστη από τις τεχνολογίες διαχείρισής της αφήνει την ευθύνη της διαχείρισης των προσωπικών δεδομένων του χρήστη, στον αντιπρόσωπο ο οποίος αναλαμβάνει το (χρηματικό) κόστος αυτής της ευθύνης. Η αύξηση της απώλειας καταναλωτικού πλεονάσματος και του κόστους ευκαιρίας είναι το αποτέλεσμα της σχεδιαστικής αυτής επιλογής. η εμπιστοσύνη του χρήστη και του αντιπρόσωπου πρέπει να διασφαλισθεί με εκτόςγραμμής (off-line) διαδικασίες. H υπογραφή συμφωνητικού και η Δήλωση Πρακτικών Αντιπροσώπου (Agent Practices Statement, APS) αποτελούν διαδικασίες με τις οποίες αυξάνεται η εμπιστοσύνη. Η πολυπλοκότητα τους όμως είναι τέτοια που θα αποτελέσει μια επιπλέον πηγή κινδύνων κατά της ιδιωτικότητας και διενέξεων μεταξύ χρήστη και αντιπρόσωπου. για την επίτευξη του στόχου του ο αντιπρόσωπος πρέπει να συνεργάζεται με άλλους αντιπρόσωπους. Αποτέλεσμα αυτού του γεγονότος είναι η δημιουργία πολύπλοκης επικοινωνιακής υποδομής, η οποία διαμοιράζει την ψηφιακή εμπιστοσύνη σε πολλές διαφορετικές οντότητες (χρήστες, αντιπρόσωποι, έμπιστες τρίτες οντότητες) οι οποίες συχνά παρουσιάζονται κάτω από διαφορετική διαχείριση και ιδιοκτησία, με, πιθανώς, αντικρουόμενα συμφέροντα. η πολυπλοκότητα χρήσης του αντιπρόσωπου ξεπερνά τις γνώσεις χειρισμού του μέσου χρήστη του Διαδικτύου. η χρήση μιας ακόμη οντότητας διαχείρισης της ταυτότητας του χρήστη αποτελεί μια επιπλέον πηγή κινδύνων κατά της ιδιωτικότητας. Οι αντιπρόσωποι είναι οντότητες που και αυτές αντιμετωπίζουν μια σειρά από απειλές [BOR-99]. Παρά το γεγονός ότι υπάρχουν τεχνικές για την αντιμετώπιση των απειλών αυτών, οι περισσότερες τεχνικές στηρίζονται Οικονομικό Πανεπιστήμιο Αθηνών Σελ 155

156 στην χρήση εκτός-γραμμής πρακτικών, οι οποίες είναι δυσλειτουργικές, προσθέτουν επιπλέον πηγές κινδύνων, αυξάνουν την απώλεια καταναλωτικού πλεονάσματος και το κόστος ευκαιρίας και τελικά επιφέρουν αγανάκτηση στον τελικό χρήστη. απαιτείται η δημιουργία σχέσεων εμπιστοσύνης μεταξύ των αντιπροσώπων. Η δημιουργία σχέσεων εμπιστοσύνης στο Διαδίκτυο δεν είναι τετριμμένο πρόβλημα και οι χρήστες αναγκαστικά εκτίθενται στο Πρόβλημα Μεταβατικότητας της Εμπιστοσύνης (Transitivity Trust Problem) 13. Γενικά η χρήση αντιπροσώπων για την διαχείριση της ταυτότητας του υποκειμένου, επιβαρύνει την προστασία προσωπικών δεδομένων με επιπλέον πηγές κινδύνων. Το αποτέλεσμα είναι η δημιουργία πολύπλοκου κανονιστικού πλαισίου για την ρύθμιση των σχέσεων των ενδιαφερομένων μερών και ο περιορισμός της εξουσιοδότησης του χρήστη. Στην διατριβή παρουσιάζεται η τρίτη προσέγγιση (βλ. 6.3) του προστάτη ταυτότητας και προτείνεται η σχεδίαση του προστάτη ταυτότητας ως μιας αυτοτελούς μονάδας ενσωματωμένης στο ΠΣ στην οποία δεν γίνεται διαχωρισμός της ταυτότητας (ή των ψευδωνύμων) του χρήστη από τις υπηρεσίες διαχείρισής της. Με αυτόν τον τρόπο, ο χρήστης μπορεί να ενσωματώνει μηχανισμούς προστασίας δεδομένων εντός των εφαρμογών του ΠΣ που χρησιμοποιεί, να αποφεύγει απειλές που εμφανίζονται με την χρήση εξωτερικών οντοτήτων λογισμικού για την διαχείριση προσωπικών στοιχείων και δεδομένων και να αποκτά πρόσβαση στην τεχνολογική διαδικτυακή ΥΠΔ. 6.3 Προσέγγιση του προστάτη ταυτότητας ως ανεξάρτητου τμήματος του ΠΣ Η προσέγγιση του προστάτη ταυτότητας ως ανεξάρτητου τμήματος το οποίο ενσωματώνεται στο ΠΣ και δεν διαχωρίζει την ταυτότητα του χρήστη από τις υπηρεσίες διαχείρισής της 14, αυξάνει την δυνατότητα αυτοπροστασίας και κατ επέκταση προασπίζει το δικαίωμα επιλογής αποκάλυψης των προσωπικών δεδομένων του υποκειμένου. Η προσέγγιση αυτή παρουσιάζει τα εξής πλεονεκτήματα: 13 Το πρόβλημα της Μεταβατικότητας της εμπιστοσύνης σχετίζεται με την απόφαση που πρέπει να λάβει μια οντότητ α Α που εμπιστεύεται μια οντότητα Β αν θα πρέπει να εμπιστευθεί μια οντότητα Γ την οποία εμπιστεύεται η Β. 14 Με τον όρο "διαχωρισμός" νοείται η ανάθεση της διαχείρισης της ταυτότητας σε τρίτη οντότητα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 156

157 ο προστάτης ταυτότητας ανήκει κατ αποκλειστικότητα στο υποκείμενο επεξεργασίας, το οποίο αποφασίζει αν θα αποκαλύψει την ταυτότητά του ή θα παραμείνει ανώνυμο. Κατ επέκταση μειώνεται η απώλεια καταναλωτικού πλεονάσματος και το κόστος ευκαιρίας και υποστηρίζεται η εξουσιοδότηση του χρήστη. δεν υπάρχουν απειλές και κίνδυνοι κατά της ιδιωτικότητας που πηγάζουν από την διαμεσολάβηση τρίτων. η χρήση του είναι απλή. Ο προστάτης ταυτότητας λαμβάνει την μορφή βιβλιοθηκών που ενσωματώνονται στις ΤΠΕ και η αλληλεπίδραση με το χρήστη γίνεται μέσω της (γραφικής) διεπαφής του. Επομένως δεν χρειάζονται επιπλέον γνώσεις για τη χρήση του. δεν απαιτείται η δημιουργία σχέσεων εμπιστοσύνης με τρίτες οντότητες. Κατ επέκταση ο χρήστης δεν εκτίθεται στους κινδύνους που πηγάζουν από την μεταβατικότητα της εμπιστοσύνης. η ενοποίηση της ταυτότητας του χρήστη με τις διαδικασίες διαχείρισής της, έχει σαν αποτέλεσμα την εισαγωγή των τεχνολογιών ΤΠΙ στις ΤΠΕ με αποτέλεσμα την εξοικείωση, την καλύτερη εκπαίδευση και την συνεπή χρήση τους από τον χρήστη του Διαδικτύου. Το μειονέκτημα της προσέγγισης αυτής, εστιάζεται στην απώλεια σημαντικού χρόνου από πλευράς χρήστη ο οποίος αναλαμβάνει ο ίδιος τις αποφάσεις και ευθύνες αποκάλυψης των προσωπικών του δεδομένων. Από την άλλη πλευρά, το γεγονός αυτό αποτελεί και πλεονέκτημα διότι αυξάνεται η ενημέρωση (awareness) του χρήστη. Γενικά, η ενσωμάτωση του προστάτη ταυτότητας εντός των ΤΠΕ δεν παρουσιάζει τα προβλήματα που πηγάζουν από την ανάθεση της διαχείρισης της ταυτότητας του χρήστη σε αντιπρόσωπους. 6.4 Προστάτης ταυτότητας Για την σχεδίαση του προστάτη ταυτότητας πρέπει να γίνουν κάποιες παραδοχές ώστε να εξασφαλισθεί ότι η λειτουργία του θα προστατεύει επαρκώς τα προσωπικά δεδομένα του χρήστη του. Αυτές περιλαμβάνουν: Παραδοχή 1: Όπως αναφέρθηκε στην παράγραφο 6.2, ο προστάτης ταυτότητας πρέπει να χωρίζει το χώρο δράσης του χρήστη σε δύο μέρη: το τμήμα ταυτότητας και το τμήμα ψευδοταυτότητας (βλ. Σχήμα 21). Ο προστάτης ταυτότητας πρέπει να ενεργοποιείται οποτεδήποτε ο χρήστης μεταβαίνει από το ένα τμήμα στο άλλο. Τα δύο αυτά τμήματα είναι συμπληρωματικά. Πρέπει να καταβάλλεται προσπάθεια ώστε το τμήμα ταυτότητας να είναι όσο το δυνατόν μικρότερο ενώ το τμήμα ψευδο-ταυτότητας όσο το δυνατόν μεγαλύτερο [INF-95]. Παραδοχή 2: Ο προστάτης ταυτότητας πρέπει να καλείται σε κάθε περίπτωση αναφοράς στα στοιχεία ταυτότητας και στα προσωπικά δεδομένα του χρήστη και να προστατεύεται επαρκώς και ο ίδιος από το σύστημα (tamperproof). Πρέπει να υπάρχει εγγύηση από κάποια Τρίτη οντότητα για την αξιοπιστία και αμεταβλητότητά του (immutability). Η εγγύηση αυτή μπορεί να παρασχεθεί με χρήση υπηρεσιών πιστοποίησης ή ψηφιακών σφραγίδων [CTO-97], Οικονομικό Πανεπιστήμιο Αθηνών Σελ 157

158 του μηχανισμού της αντανάκλασης (reflection) [SPI-00]. Στο παρακάτω σχήμα παρουσιάζεται σχηματικά ο ρόλος του προστάτη ταυτότητας ως ενδιαμέσου μεταξύ υποκειμένων (χρήστες, διαδικασίες, εφαρμογές) και αντικειμένων (αρχεία, προγράμματα, μέσα αποθήκευσης, πληροφορίες για τους χρήστες) των δεδομένων, δια μέσου των υπαρχόντων εξουσιοδοτήσεων που έχουν τα υποκείμενα για πρόσβαση στα αντικείμενα των πληροφοριών. Για τον λόγο αυτό ο προστάτης ταυτότητας πρέπει να τοποθετηθεί στο χαμηλότερο δυνατό επίπεδο δηλαδή τον πυρήνα του λειτουργικού συστήματος. Σχήμα 22: Ο προστάτης ταυτότητας ως ενδιάμεσος μεταξύ υποκειμένων και αντικειμένων Παραδοχή 3. Πρέπει να δίνεται η δυνατότητα παράκαμψης της ανωνυμίας του υποκειμένου (βλ ). Σε περιπτώσεις όπου αυτό είναι αναγκαίο πρέπει να αποκαλύπτεται η ταυτότητα του χρήστη (π.χ. παραβάσεις νόμων, αποποίηση ευθύνης). Για την σχεδίαση και ανάπτυξη του προστάτη ταυτότητας ακολουθείται μια τυπική μεθοδολογία τεχνολογίας λογισμικού που περιλαμβάνει τα εξής στάδια: απαιτήσεις χρήστη καθορισμός υπηρεσιών μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική τεχνολογίες υλοποίησης λεπτομέρειες σχεδίασης λειτουργικών μονάδων Απαιτήσεις χρήστη Για την καταγραφή των αναγκών των χρηστών από τον προστάτη ταυτότητας έχουν γίνει δειγματοληπτικές έρευνες με χρήση ερωτηματολογίου [INF-95]. Συνδυάζοντας τα αποτελέσματα των ερευνών αυτών με διεθνείς βιβλιογραφικές αναφορές προέκυψαν οι παρακάτω απαιτήσεις των χρηστών [REN-97], [REG-95], [INF-95], [SCO-97], [CLA-01]: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 158

159 1. Ανωνυμία (Anonymity): η δυνατότητα του χρήστη να μπορεί να χρησιμοποιεί το ΠΣ, χωρίς να αποκαλύπτει την ταυτότητά του, είτε στο σύστημα, είτε σε οποιονδήποτε άλλον χρήστη Ψευδωνυμία (Pseudonymity): η δυνατότητα του χρήστη να μπορεί να χρησιμοποιεί το ΠΣ με χρήση κάποιου ψευδωνύμου. Παράλληλα θα πρέπει να μπορεί ο χρήστης να διαχειρίζεται τα ψευδώνυμα αυτά Προστασία Προσωπικών Δεδομένων (Personal Data Protection): αυτή η απαίτηση αναφέρεται σε δύο επίπεδα: (α) σε τεχνικό επίπεδο σχετίζεται με την ανάγκη του υποκειμένου επεξεργασίας να αντιμετωπισθούν οι επιθέσεις κατά της ασφάλειας των προσωπικών του δεδομένων. (β) σε κανονιστικό επίπεδο σχετίζεται με την ανάγκη του χρήστη το ΠΣ να ενσωματώνει δυνατότητες ελέγχου συμβατότητας πολιτικών προστασίας δεδομένων με το κανονιστικό πλαίσιο προστασίας δεδομένων της κοινότητας στην οποία ανήκει Προσφερόμενες υπηρεσίες Το επόμενο βήμα για την σχεδίαση του προστάτη ταυτότητας είναι η ανάπτυξη υπηρεσιών που ικανοποιούν τις απαιτήσεις των χρηστών της προηγούμενης παραγράφου. Οι υπηρεσίες αυτές περιλαμβάνουν: 1. Υπηρεσίες ανωνυμίας, είναι οι υπηρεσίες που εξασφαλίζουν την δυνατότητα ενός χρήστη να ενεργεί δοσοληψίες με το σύστημα και να έχει επαφή με άλλους χρήστες, χωρίς κάποιο στοιχείο του ΠΣ ή κάποιος άλλος χρήστης να μπορεί να προσδιορίσει την ταυτότητά του. 15 Υπάρχουν δύο είδη ηλεκτρονικής ανωνυμίας: (α) η διακριβώσιμη -traceable- ανωνυμία στην οποία είναι δυνατή η αναζήτηση της πραγματικής ταυτότητας του χρήστη και (β) η μη διακριβώσιμη -untraceable- ανωνυμία στην οποία δεν είναι δυνατή η αναζήτηση της πραγματικής ταυτότητας του χρήστη. [FRO-96] 16 Υπάρχουν δύο είδη ηλεκτρονικής ψευδωνυμίας: (α) η διακριβώσιμη -traceable- ή μόνιμη ψευδωνυμία στην οποία είναι δυνατή η αντιστοίχιση του ψευδωνύμου και της πραγματικής ταυτότητας του χρήστη και (β) η μη διακριβώσιμη - untraceable- ή προσωρινή ψευδωνυμία στην οποία δεν είναι δυνατή η αντιστοίχιση του ψευδωνύμου και της πραγματικής ταυτότητας του χρήστη. [FRO-96] Οικονομικό Πανεπιστήμιο Αθηνών Σελ 159

160 2. Υπηρεσίες ψευδωνυμίας: Η βασικότερη υπηρεσία που προσφέρει ο προστάτης ταυτότητας είναι η δημιουργία ψευδωνύμων [CTO-97]. Παράλληλα, πρέπει να δίνεται η δυνατότητα στους χρήστες να διαχειρίζονται τα ψευδώνυμα που χρησιμοποιούν. 3. Υπηρεσίες Προστασίας Προσωπικών Δεδομένων: Οι υπηρεσίες αυτές χωρίζονται σε δύο ομάδες: (α) οι τεχνικές υπηρεσίες προστασίας προσωπικών δεδομένων διαφυλάσσουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των προσωπικών δεδομένων. (β). οι υπηρεσίες συμβατότητας με το κανονιστικό πλαίσιο είναι υπεύθυνες για την μετάφραση των κανόνων του κανονιστικού-ρυθμιστικού πλαισίου προστασίας δεδομένων, σε κωδικοποιημένη μορφή κατάλληλη για επεξεργασία από υπολογιστικές συσκευές. Ο προστάτης ταυτότητας λειτουργεί σε ένα ΠΣ και συνδιαλλάσσεται με διάφορες οντότητες, με σκοπό την παροχή των παραπάνω υπηρεσιών. Οι οντότητες αυτές, ο ρόλος τους και οι μεταξύ τους σχέσεις αποτελούν το μοντέλο αναφοράς του προστάτη ταυτότητας και περιγράφονται στην επόμενη παράγραφο Μοντέλο αναφοράς Το μοντέλο αναφοράς περιλαμβάνει τις οντότητες και τις μεταξύ τους συσχετίσεις που εμπλέκονται σε ένα συνδεδεμένο με το Διαδίκτυο ΠΣ. Οι οντότητες που αναφέρονται είναι: (α) ο χρήστης του ΠΣ (β) οι υπόλοιποι χρήστες του ΠΣ (γ) ο Διαχειριστής του ΠΣ και (δ) ο πάροχος υπηρεσιών του Διαδικτύου. Όλες οι οντότητες επικοινωνούν με την διαμεσολάβηση του προστάτη ταυτότητας. Εξαίρεση σε αυτόν τον κανόνα αποτελούν οι περιπτώσεις όπου απαιτείται η αποκάλυψη της πραγματικής ταυτότητας (παράκαμψη ανωνυμίας) του χρήστη από τον διαχειριστή του συστήματος και περιλαμβάνουν: τις εξουσιοδοτήσεις του χρήστη από το σύστημα και την τιμολόγηση του χρήστη για τις υπηρεσίες του συστήματος [BOR-99], [REG-95], [INF-95]. Αποτέλεσμα της διαμεσολάβησης του προστάτη ταυτότητας είναι ο χωρισμός του πεδίου δράσης του χρήστη σε δύο υποπεδία: (α) το πεδίο πραγματικής ταυτότητας και (β) το πεδίο ψευδοταυτότητας. Οι παραπάνω σχεδιαστικές επιλογές ικανοποιούν τις Παραδοχές 1 και 3 (βλ. 6.4). Κατά την διάρκεια της κανονικής λειτουργίας του συστήματος ικανοποιείται και η παραδοχή 2 που απαιτεί την ενεργοποίηση του προστάτη ταυτότητας κάθε φορά που γίνεται αναφορά στην ταυτότητά του ή τα προσωπικά του δεδομένα. Εξαίρεση αποτελούν οι περιπτώσεις όπου απαιτείται η παράκαμψη του από τον διαχειριστή του συστήματος για τους λόγους που αναφέρθηκαν παραπάνω ή σε περιπτώσεις όπου ο χρήστης έχει υποπέσει σε κολάσιμες πράξεις και απαιτείται καταλογισμός ευθύνης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 160

161 Σχήμα 23: Μοντέλο αναφοράς προστάτη ταυτότητας Οι σχέσεις μεταξύ των οντοτήτων του μοντέλου αναφοράς έχουν ως εξής: 1. Άλλοι χρήστες χρήστης: οι υπόλοιποι χρήστες του ΠΣ επιδιώκουν την πρόσβαση στα προσωπικά δεδομένα του χρήστη από περιέργεια και κακόβουλες διαθέσεις. 2. Πάροχος υπηρεσιών χρήστης: ο πάροχος υπηρεσιών Διαδικτύου επιβουλεύεται τα προσωπικά δεδομένα του χρήστη με σκοπό την δημιουργία καταναλωτικών περιγραμμάτων. 3. Προστάτης ταυτότητας χρήστης: ο προστάτης ταυτότητας ενεργεί προς όφελος του χρήστη και προστατεύει το δικαίωμα της επιλογής αποκάλυψης, ζητά την συγκατάθεση του όταν μια οντότητα ζητά προσωπικά δεδομένα και λειτουργεί με διαφάνεια προς τον χρήστη κάθε φορά που δίνονται προσωπικά δεδομένα σε τρίτους. 4. Διαχειριστής πεδίο ταυτότητας: αυτή η σχέση ενεργοποιείται μόνο για λόγους τιμολόγησης, εξουσιοδοτήσεων και ελέγχου παράνομων πράξεων του χρήστη. 5. Πεδίο ταυτότητας προστάτης ταυτότητας: ο προστάτης ταυτότητας πρέπει να επιδιώκει την ελαχιστοποίηση των δεδομένων που αποκαλύπτονται προς το πεδίο ταυτότητας. Σε αυτές οι περιπτώσεις η αίτηση πρέπει να συνοδεύεται από ενεργοποίηση της προηγούμενης σχέσης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 161

162 6.4.4 Λειτουργική αρχιτεκτονική Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Η παρουσίαση της λειτουργικής αρχιτεκτονικής του προστάτη ταυτότητας γίνεται βαθμιαία και περιλαμβάνει τα παρακάτω στάδια: 1. Περιγραφή των λειτουργικών μονάδων της αρχιτεκτονικής. 2. Παρουσίαση λειτουργικής αρχιτεκτονικής. 3. Ανάλυση των λειτουργικών μονάδων και περιγραφή των αλγορίθμων που τις υλοποιούν Περιγραφή λειτουργικών μονάδων Οι υπηρεσίες του προστάτη ταυτότητας αποτελούνται από επί μέρους λειτουργικές μονάδες (functional units) που επιτελούν ένα συγκεκριμένο έργο και υλοποιούνται εντός του ΠΣ, υπό μορφή βιβλιοθηκών έτοιμων προς κλήση, από οποιαδήποτε εφαρμογή, και όχι σε κάποιον εξωτερικό αντιπρόσωπο. Η πλήρης περιγραφή των λειτουργικών μονάδων του προστάτη ταυτότητας δίνεται στο παράρτημα ΙΙΙ (σελ. 267) Λειτουργικές μονάδες ανωνυμίας Το μοντέλο των αντιπροσωπευτικών υπηρεσιών που διαχειρίζονται ενδιάμεσες οντότητες (intermediary-operated proxy-services) είναι το πιο διαδεδομένο για την υλοποίηση τέτοιων υπηρεσιών. Κάθε ενδιάμεσος γνωρίζει τις ταυτότητες των γειτονικών ενδιάμεσων, αλλά έχει ανεπαρκή πληροφορία για να μπορεί να αναγνωρίσει τον αρχικό και τους γειτονικούς του. Έτσι δεν μπορεί να ανιχνεύσει προς τα πίσω ή προς τα εμπρός μια δεδομένη επικοινωνία και να φτάσει να ανακαλύψει την πηγή της ή τον αποδέκτη της. Οι λειτουργικές μονάδες που αποτελούν αυτή την υπηρεσία είναι ([PFI-01], [ROW-00], [FRO-96], [LEE-96]): 1. Λειτουργική μονάδα ανώνυμου ταχυδρομείου (κμ 17 ΠΤ_ΑΝ_01) 2. Λειτουργική μονάδα ανώνυμης πλοήγησης (κμ ΠΤ_ΑΝ_02) 17 Κωδικός μονάδος (βλ ) Οικονομικό Πανεπιστήμιο Αθηνών Σελ 162

163 3. Λειτουργική μονάδα ανώνυμων πληρωμών (κμ ΠΤ_ΑΝ_03). Οι τυφλές ψηφιακές υπογραφές είναι η πιο διαδεδομένη τεχνική για την διενέργεια ανώνυμων πληρωμών (βλ. 2.7). Ο προστάτης ταυτότητας πρέπει να προσφέρει υπηρεσίες διακριβώσιμης και μη διακριβώσιμης ανωνυμίας. Οι τεχνολογίες ανώνυμου ταχυδρομείου και ανώνυμης πλοήγησης (βλ. 2.7), παρέχουν υπηρεσίες μη διακριβώσιμης ανωνυμίας στους χρήστες τους. Ωστόσο, η μη διακριβώσιμη ανωνυμία δημιουργεί δυσκολίες στην τιμολογιακή χρέωση υπηρεσιών και την ανάθεση ευθυνών για παράνομες πράξεις [BOR-02] Λειτουργικές μονάδες ψευδωνυμίας Ένα ψευδώνυμο (pseudonym ή nym) είναι μία, κατά το δυνατόν, τυχαία ακολουθία χαρακτήρων, η οποία αντικαθιστά την πραγματική ταυτότητα του χρήστη στις συναλλαγές του, και της οποίας η σχέση με την πραγματική οντότητα που βρίσκεται πίσω από αυτή είναι δυνατόν να αποκαλυφθεί κάτω από συγκεκριμένες συνθήκες [FIS-01], [PFI-01]. Με την χρήση ψευδωνύμου ένας χρήστης μπορεί να εκτελέσει δοσοληψίες σε ένα σύστημα και να πλοηγηθεί στο Διαδίκτυο χωρίς να αποκαλύψει την πραγματική του ταυτότητα. Η δυνατότητα σύνδεσης του ψευδωνύμου με τα πραγματικά στοιχεία του χρήστη, καθιστά εφικτή τη διαδικασία χρέωσης (accounting) και αντιπαρέρχεται τα μειονεκτήματα της μη διακριβώσιμης ανωνυμίας. Με την χρήση των υπηρεσιών ψευδωνυμίας γίνεται εφικτή η χρήση των υπηρεσιών ανωνυμίας μέσα στο σύστημα, διατηρώντας την δυνατότητα ολοκλήρωσης όλων των διεργασιών. Οι λειτουργικές μονάδες αυτής της υπηρεσίας είναι: 1. Λειτουργική μονάδα παραγωγής ψηφιακών ψευδωνύμων (κμ ΠΤ_ΨΔ_01). Ένα ψηφιακό ψευδώνυμο (pseudo-identity) μπορεί να είναι μια τυχαία ακολουθία χαρακτήρων (γραμμάτων, λέξεων και χαρακτήρων ελέγχου). Έτσι, ο χρήστης δεν είναι γνωστός στον πάροχο υπηρεσιών με τα πραγματικά του στοιχεία (όνομα. Διεύθυνση, πόλη κλπ), αλλά με αυτό το τυχαίο αλφαριθμητικό. Υπάρχει δυνατότητα χρήσης διαφορετικού ψευδωνύμου για κάθε πάροχο υπηρεσιών, αποφεύγοντας με τον τρόπο αυτό και την διασταύρωση πληροφοριών μεταξύ των παρόχων. 2. Λειτουργική μονάδα αντιστοίχισης ψευδωνύμων σε πραγματικά ονόματα (κμ ΠΤ_ΨΔ_02). Μέσω αυτής της λειτουργίας πραγματοποιείται η παράκαμψη ανωνυμίας του υποκειμένου (βλ ). 3. Λειτουργική μονάδα αντιστοίχισης πραγματικών ονομάτων σε ψευδώνυμα (κμ ΠΤ_ΨΔ_03). 4. Λειτουργική μονάδα αντιστοίχισης ψευδωνύμων σε άλλα ψευδώνυμα (κμ ΠΤ_ΨΔ_04). Η λειτουργία αυτή προσφέρει αυξημένη προστασία δεδομένων, διότι καθίσταται δυσκολότερη η αποκάλυψη της ταυτότητας του χρήστη, μέσω της χρήσης αλυσίδας από ψευδώνυμα. Μόνο ο προστάτης ιδιωτικότητας γνωρίζει ολόκληρη την αλυσίδα αντιστοιχίσεων ψευδωνύμων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 163

164 Η προσωρινή ψευδωνυμία (one time pseudonymity) συνδέεται άμεσα με την μηδιακριβώσιμη ανωνυμία, διότι η ζωή του ψευδώνυμου διαρκεί όσο και η σύνοδος για την οποία φτιάχτηκε. Επομένως, οποιαδήποτε αντιστοίχιση προσωρινής ψευδο-ταυτότητας και πραγματικής ταυτότητας είναι αδύνατη μετά το πέρας της συνόδου. Η διαφορά τους έγκειται στο γεγονός ότι κατά την διάρκεια της συνόδου είναι δυνατή η αντιστοίχιση ψευδωνύμου και πραγματικής ταυτότητας. Αντίθετα, η μόνιμη ψευδωνυμία (persisted pseudonymity) είναι μια αυτοτελής στρατηγική ασφάλειας, που σαν σκοπό έχει την ανωνυμία του χρήστη, αλλά και την δυνατότητα άμεσης σύνδεσης του ψευδωνύμου με τα πραγματικά του στοιχεία, όταν αυτό χρειαστεί. Στην περίπτωση της μόνιμης ψευδωνυμίας, το ΠΣ αποθηκεύει την εγγραφή αντιστοίχισης του ψευδωνύμου με την πραγματική ταυτότητα του χρήστη, προκειμένου να μπορεί να γίνει χρέωση και αποστολή λογαριασμού, ή καταλογισμός ευθύνης για κολάσιμες πράξεις. Ο χρήστης, χρησιμοποιεί μόνο αυτό το ψευδώνυμο, εκτός και εάν αιτηθεί την έκδοση και άλλων, εναλλακτικών ψευδωνύμων, των οποίων επίσης η αντιστοιχία με την πραγματική του ταυτότητα καταγράφεται από το ΠΣ Λειτουργικές μονάδες Προστασίας Προσωπικών Δεδομένων Οι υπηρεσίες αυτής της κατηγορίας αυτές χωρίζονται σε δύο ομάδες: 1. Οι τεχνικές υπηρεσίες προστασίας προσωπικών δεδομένων διαφυλάσσουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των προσωπικών δεδομένων [CLA-01], [INF-95], [OEC-99]. Οι λειτουργικές μονάδες που τις αποτελούν είναι: 1. Λειτουργική μονάδα κρυπτογραφίας 18 (κμ ΠΤ_ΠΔ_01) 2. Λειτουργική μονάδα ψηφιακών υπογραφών 19 (κμ ΠΤ_ΠΔ_02) 3. Λειτουργική μονάδα διήθησης (κμ ΠΤ_ΠΔ_03) 4. Λειτουργική μονάδα ολικής διαγραφής αρχείων (κμ ΠΤ_ΠΔ_04) 18 Οι υπηρεσίες κρυπτογράφησης αρχείων σε τοπικό επίπεδο. 19 Η υπηρεσία αυτή ανήκει στις υπηρεσίες Υποδομής Δημοσίου Κλειδιού. Αναφέρονται ξεχωριστά εξαιτίας της σπουδαιότητάς τους για την διασφάλιση της ακεραιότητας μηνυμάτων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 164

165 5. Λειτουργική μονάδα Υποδομής Δημοσίου Κλειδιού (βλ ). 2. Οι υπηρεσίες συμβατότητας με το ρυθμιστικό πλαίσιο είναι υπεύθυνες για την μετάφραση των κανόνων του ρυθμιστικού πλαισίου σε κωδικοποιημένη μορφή κατάλληλη για επεξεργασία από υπολογιστικές συσκευές. Περιλαμβάνουν τις εξής λειτουργίες: 1. Λειτουργική μονάδα δημιουργίας και ενημέρωσης πολιτικών προστασίας δεδομένων (κμ ΠΤ_ΠΔ_05). Παρέχει στον χρήστη την δυνατότητα να δημιουργεί κατά βούληση την δική του πολιτική προστασίας δεδομένων ενώ παράλληλα να διαπραγματεύεται την πολιτική προστασίας δεδομένων που του παρουσιάζει ένας διαδικτυακός τόπος. 2. Λειτουργική μονάδα Διαχείρισης νομικής γνώσης (κμ ΠΤ_ΠΔ_06). Συνεργάζεται με τη λειτουργική μονάδα δημιουργίας και ενημέρωσης πολιτικών προστασίας προσωπικών δεδομένων ώστε να παρέχουν την δυνατότητα στον χρήστη να λαμβάνει γνώση και να αξιοποιεί το νομικό πλαίσιο προστασίας δεδομένων που υπάρχει στο περιβάλλον που λειτουργεί (Μηχανική Γνώση Προστασίας Δεδομένων σελ. 59). Πλέον των παραπάνω απαραίτητες είναι δύο ακόμη λειτουργικές μονάδες οι οποίες δεν ανήκουν σε καμία από τις προαναφερθείσες κατηγορίες υπηρεσιών: 1. Λειτουργική μονάδα Διαχείρισης Βάσης Δεδομένων (κμ ΠΤ_ΔΧ_01). Είναι απαραίτητη για την καταγραφή στοιχείων της δραστηριότητας του προστάτη ταυτότητας σε Βάση Δεδομένων ώστε να μπορούν να ανακτηθούν σε πρώτη ζήτηση. Τα κρυπτογραφικά κλειδιά, τα ψευδώνυμα και οι αλυσίδες ψευδωνύμων είναι μερικά παραδείγματα στοιχείων που καταγράφονται. 2. Λειτουργική μονάδα Διαχείρισης του προστάτη ταυτότητας (κμ ΠΤ_ΔΧ_02). Είναι απαραίτητη για την διαχείριση και παραμετροποίηση του προστάτη ταυτότητας. Ο Πίνακας 17 αντιστοιχίζει τις υπηρεσίες του προστάτη ταυτότητας με τις λειτουργικές μονάδες που τις υλοποιούν. Ο ορισμός της κάθε λειτουργικής μονάδας περιγράφει την λειτουργικότητα που προσφέρει. Κάθε λειτουργική μονάδα αποκρύπτει τις λεπτομέρειες υλοποίησης στο εσωτερικό της και παρέχει και λαμβάνει τις υπηρεσίες της από και προς τις υπόλοιπες με την κλήση αφηρημένων αρχέτυπων (primitives). Η χρήση των αφηρημένων αρχέτυπων επιτρέπει την εύκολη συντήρηση, αναβάθμιση, αντικατάσταση και εγγυάται την διαλειτουργικότητα μεταξύ των λειτουργικών μονάδων. Καμία λειτουργική μονάδα δεν εξαρτάται από κάποια συγκεκριμένη τεχνολογία. Κατ επέκταση μπορεί να χρησιμοποιηθεί οποιαδήποτε υπάρχουσα ή νέα τεχνολογία υλοποιεί τις λειτουργίες της μονάδας. Επιπρόσθετα, οποτεδήποτε εμφανίζεται μια νέα ΤΠΙ μπορεί να ενσωματωθεί στον προστάτη ταυτότητας χωρίς να χρειάζεται η αλλαγή του λειτουργικού μοντέλου που προτείνεται. Ουσιαστικά κάθε λειτουργική μονάδα δρα ως ενδιάμεσος μεταξύ Οικονομικό Πανεπιστήμιο Αθηνών Σελ 165

166 των λειτουργιών που είναι απαραίτητες για την υλοποίηση μιας υπηρεσίας και της συγκεκριμένης τεχνολογίας που απαιτείται για την υλοποίησή της. Υπηρεσίες Ανωνυμία Λειτουργικές μονάδες Ανώνυμο Ταχυδρομείο (Anonymous Mail) Ανώνυμη Πλοήγηση (Anonymous Browsing) Ανώνυμες Πληρωμές (Anonymous Payments) Ψευδωνυμία Παραγωγή Ψευδωνύμων (Pseudo ID Generation) Αντιστοίχιση ψευδωνύμου σε πραγματικό όνομα (Pseudo ID to Real Translation) Αντιστοίχιση πραγματικού ονόματος σε ψευδώνυμο (Real to Pseudo ID Translation) Μετατροπή ψευδωνύμου σε άλλο ψευδώνυμο (Pseudo to Pseudo ID Conversion) Προστασία προσωπικών δεδομένων Κρυπτογράφηση-Αποκρυπτογράφηση (Encryption-Decryption) Ψηφιακή Υπογραφή (Digital Signing) Διήθηση (Filtering) Οριστική Διαγραφή Αρχείων (File Erasing) Υπηρεσίες Έμπιστης Τρίτης Οντότητας (TTP Services) Πληροφορίες Πολιτικής Προστασίας Προσωπικών Δεδομένων (Privacy Policy Information) Διαχείριση Νομικής Γνώσης (Legal Knowledge Management) 20 Πίνακας 17: Αντιστοίχιση υπηρεσιών και λειτουργιών προστάτη ταυτότητας Παρουσίαση λειτουργικής αρχιτεκτονικής Το σύνολο των λειτουργιών που προσφέρουν οι λειτουργικές μονάδες μαζί με τις μεταξύ τους σχέσεις αποτελεί τη λειτουργική αρχιτεκτονική του προστάτη ταυτότητας και απεικονίζεται στο Σχήμα 24. Επιπλέον, στο σχήμα περιλαμβάνεται η συσχέτιση των λειτουργικών μονάδων του προστάτη ταυτότητας με τις υπόλοιπες υπηρεσίες της τεχνολογικής διαδικτυακής ΥΠΔ. Όπως παρατηρεί ο αναγνώστης, όλες οι υπηρεσίες της, δύναται να υποστηριχθούν από τις λειτουργικές μονάδες του προστάτη ταυτότητας. Με τον 20 Δεν υπάρχει διαθέσιμη τεχνολογία που να υλοποιεί αυτή την υπηρεσία. Κατά την χρονική στιγμή συγγραφής της διατριβής μόνο ερευνητικές προσπάθειες είναι γνωστές [KEN-02]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 166

167 τρόπο αυτό, ο προστάτης ταυτότητας ανάγεται στο μοναδικό σημείο διέλευσης και ελέγχου της επικοινωνίας μεταξύ υποκειμένου και υπεύθυνου επεξεργασίας. Ακολούθως, περιγράφονται αναλυτικά οι τεχνολογίες που μπορούν να χρησιμοποιηθούν για την υλοποίηση του λειτουργικού μοντέλου. Ο Πίνακας 18 αντιστοιχίζει τις λειτουργίες του προστάτη ταυτότητας με τις διαθέσιμες τεχνολογίες υλοποίησής τους. Όλες οι τεχνολογίες που προτείνονται στηρίζονται σε διεθνή πρότυπα και για το λόγο αυτό μπορούν να χρησιμοποιηθούν για την δημιουργία μιας αρχιτεκτονικής που είναι εφαρμόσιμη, επεκτάσιμη και αξιόπιστη. Σχήμα 24: Λειτουργική αρχιτεκτονική προστάτη ταυτότητας Για την επικοινωνία του χρήστη με το λειτουργικό μοντέλο δημιουργήθηκε μια υψηλού επιπέδου Διεπαφή Προγραμματισμού, σε επίπεδο, Εφαρμογής (ΔΠΕ, Application Programming Interface) η οποία: (α) παρέχει στους σχεδιαστές εφαρμογών και στους Οικονομικό Πανεπιστήμιο Αθηνών Σελ 167

168 χρήστες την δυνατότητα να ενσωματώνουν μηχανισμούς προστασίας προσωπικών δεδομένων εντός των εφαρμογών που χρησιμοποιούν και (β) χρησιμοποιείται ως εργαλείο για την αντιμετώπιση απειλών που προκύπτουν από την χρήση εξωτερικών οντοτήτων λογισμικού για την διαχείριση προσωπικών στοιχείων και δεδομένων. ΥΠΗΡΕΣΙΕΣ ΑΝΩΝΥΜΙΑ ΨΕΥΔΩΝΥΜΙΑ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (Τεχνικές υπηρεσίες) ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (Υπηρεσίες συμβατότητας με το νομικό πλαίσιο) Λειτουργίες Τεχνολογίες Ανώνυμο ηλεκτρονικό ταχυδρομείο Ανώνυμη πλοήγηση στο Διαδίκτυο Δημιουργία Ψευδοταυτότητας Μετατροπή πραγματικής ταυτότητα σε ψευδοταυτότητα Μετατροπή ψευδοταυτότητας σε πραγματική ταυτότητα Μετατροπή ψευδοταυτότητας σε ψευδοταυτότητα Κρυπτογράφηση Αποκρυπτογράφηση Διήθηση Ψηφιακές υπογραφές 'Άλλες υπηρεσίες ΕΤΟ Διαγραφή αρχείων Μετάφρασης νομικού πλαισίου Απευθείας ενημέρωση για πολιτικές προστασίας προσωπικών δεδομένων Κρυπτοβιβλιοθήκες 21 Αλγόριθμοι ψηφιακών υπογραφών Διαχείριση cookies OPS Ολική Αρχείων Φίλτρα Διαγραφή Αναχώματα &Αντιπρόσωποι 22 P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επαναταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing 21 Συγκριτική μελέτη των πιο διαδεδομένων κρυπτοβιβλιοθηκών υπάρχει στο [MOU-00] 22 Ορισμένα αναχώματα υλοποιούν υπηρεσίες VPN (Virtual Private Network) Οικονομικό Πανεπιστήμιο Αθηνών Σελ 168

169 Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές RDBMS υποστηρίζει SQL που Πίνακας 18: Αντιστοίχιση υπηρεσιών προστάτη ταυτότητας και τεχνολογιών υλοποίησής τους Υπηρεσίες ΕΤΟ και προστάτης ταυτότητας 24 Η σχέση των υπηρεσιών ΕΤΟ και των υπηρεσιών του προστάτη ταυτότητας είναι διττή: 1. Πολλές από τις υποψήφιες για την υλοποίηση των υπηρεσιών του προστάτη ταυτότητας τεχνολογίες, κάνουν χρήση της κρυπτογραφίας δημοσίου κλειδιού, των ψηφιακών υπογραφών και των ψηφιακών πιστοποιητικών (Πίνακας 7). Τα δίκτυα ιδιωτικότητας, οι ανώνυμοι επανα-ταχυδρομητές, το onion routing, οι rewebbers και οι ψηφιακές σφραγίδες είναι παραδείγματα τέτοιων τεχνολογιών. Οι υπηρεσίες αυτές δεν μπορούν να λειτουργήσουν αποδοτικά αν δεν υπάρχει μια ΥΔΚ [ΛEK-02]. Η ύπαρξη μιας ΥΔΚ κρίνεται αναγκαία και από άλλες ερευνητικές προσπάθειες για την λειτουργία του προστάτη ταυτότητας [BOR-02]. 2. Για την λειτουργία του προστάτη ταυτότητας απαιτείται η συνεργασία με την λειτουργική μονάδα παροχής υπηρεσιών ΕΤΟ. Ο προστάτης ταυτότητας δεν κάνει χρήση όλου του φάσματος των υπηρεσιών που προσφέρει μια ΕΤΟ. Παρόλα αυτά, είναι αναγκαία η ύπαρξη μιας λειτουργικής μονάδας παροχής υπηρεσιών ΕΤΟ που αναλαμβάνει την επικοινωνία με μια ΕΤΟ για την υλοποίηση των αναγκαίων για την λειτουργία του προστάτη ταυτότητας υπηρεσιών. Τέτοιες λειτουργικές μονάδες εμπεριέχονται σε ευρέως χρησιμοποιούμενους φυλλομετρητές (Internet Explorer, Netscape Communicator), σε γνωστά προϊόντα ασφάλειας και σε βιβλιοθήκες κρυπτογραφίας [MOU-00]. Η επαναχρησιμοποίηση έτοιμων λειτουργικών μονάδων είναι μια σχεδιαστική επιλογή που δύναται να αξιοποιήσει ο σχεδιαστής του προστάτη ταυτότητας. Το επόμενο κεφάλαιο πραγματεύεται τα ζητήματα 23 Το κλασικό μοντέλο δικτυοενδιάμεσων δεν κάνει χρήση υπηρεσιών ΕΤΟ. Το μοντέλο που προτάθηκε στο κεφάλαιο 4, της διατριβής, κάνει χρήση τέτοιων υπηρεσιών. 24 Στην παρούσα παράγραφο, θα συζητηθούν έννοιες που σχετιζονται με τις Έμπιστες Τρίτες Οντότητες (ΕΤΟ) οι ποίες παρουσιάζονται αναλυτικά στο επόμενο κεφάλαιο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 169

170 παροχής υπηρεσιών ΕΤΟ προς την τεχνολογική διαδικτυακή ΥΠΔ. Οι υπηρεσίες του προστάτη ταυτότητας συνεργάζονται με τις υπηρεσίες ΕΤΟ μέσω των παρακάτω λειτουργικών μονάδων. Γίνεται διαχωρισμός των υπηρεσιών του προστάτη ταυτότητας σε εκείνες που απαιτούν επικοινωνία με την ΕΤΟ και εκείνες που εκτελούνται σε τοπικό επίπεδο Υπηρεσίες που απαιτούν επικοινωνία με την ΕΤΟ 1. Αίτηση έκδοσης πιστοποιητικού (κμ ΠΤ_ΕΤΟ_01). Η αίτηση έκδοσης πιστοποιητικού αποστέλλεται στην ΕΤΟ από το υποκείμενο ή τον υπεύθυνο επεξεργασίας είτε σε έντυπη μορφή είτε σε ηλεκτρονική μορφή. Σε κάθε περίπτωση πρέπει να χαρακτηρίζεται από την ασφαλή μεταβίβασή της, συγκεκριμένη μορφοποίηση που διευκολύνει την επεξεργασία της και ελαχιστοποίηση του μεγέθους της. Τα δύο πιο γνωστά πρότυπα που προτείνουν συγκεκριμένες δομές για τις αιτήσεις πιστοποίησης είναι τα Privacy Enhanced Mail (PEM) [KAL-93] και PKCS#10 [RSA-93]. Είσοδος: (1) τα προσωπικά στοιχεία που θα αναγράφονται στο πιστοποιητικό (2) σήμανση ανώνυμου πιστοποιητικού. Προαιρετικά, το υποκείμενο επεξεργασίας μπορεί να στείλει το ψευδώνυμο που θέλει να αναγράφεται στο πιστοποιητικό (με χρήση της μονάδας ΠΤ_ΨΔ_01) Στο παρακάτω παράδειγμα με συντακτικό XML ορίζεται το στοιχείο cert_request ως η αίτηση πιστοποίησης, η οποία περιέχει τα ελάχιστα στοιχεία που είναι απαραίτητα για την επεξεργασία της, ενώ το δημόσιο κλειδί εμφανίζεται ως προαιρετικό [ΛΕΚ-02]: <!ELEMENT cert_request (time, distinguished_name, identification_number, , key_producer, public_key?, key_length?, key_usage, user_type, security_level, anonymity, revocation_code?)> <!ATTLIST cert_request encoding CDATA "base64"> ---- <cert_request encoding= base64 > <time>01/10/ :45:00</time> <distinguished_name>cn=dlek;ou=icsd;o=aegean;c=gr</distinguished_nam e> <identification_number>icsd980532</identification_number> <key_producer>eto</key_producer> Οικονομικό Πανεπιστήμιο Αθηνών Σελ 170

171 e> <key_usage>data_enciphering;data_signing;timestamping</key_usag <user_type>student</user_type> <security_level>2</security_level> <anonymity>no</anonymity> <revocation_code>123revoke_my_cert</revocation_code> </cert_request> Έξοδος: δυαδική τιμή που υποδεικνύει θετική ή αρνητική επιβεβαίωση λήψης. Λειτουργία: (1) σύναψη ασφαλούς επικοινωνίας με την ΕΤΟ, όπως είναι η φυσική παρουσία ή μία ασφαλής δικτυακή σύνοδος, (2) αποστολή της αίτησης, (3) αποθήκευση της αίτησης σε προεπιλεγμένο μέσο, (4) επιστροφή θετικής ή αρνητικής επιβεβαίωσης λήψης της αίτησης. 2. Επικύρωση εγκυρότητας πιστοποιητικού. (βλ. συνάρτηση TTPCertificate(PublicKey), σελ. 282, κμ ΠΤ_ΕΤΟ_02). 3. Αποστολή πιστοποιητικού (κμ ΠΤ_ΕΤΟ_03). Οι απαιτήσεις ασφάλειας σε αυτή τη διαδικασία περιορίζονται μόνο στην ακεραιότητα και την αυθεντικότητα του πιστοποιητικού ή του τεκμηρίου τριτεγγύησης ταυτότητας (ΤΤΤ). Η εμπιστευτικότητα δεν απαιτείται, αφού ένα πιστοποιητικό ή ένα ΤΤΤ όχι μόνο επιτρέπεται, αλλά επιβάλλεται να είναι δημόσια προσπελάσιμο. Εφόσον το πιστοποιητικό ή το ΤΤΤ είναι μία ψηφιακά υπογεγραμμένη δομή δεδομένων, δεν απαιτούνται επιπλέον μηχανισμοί ασφάλειας κατά τη διανομή του. Συνεπώς η λειτουργικότητα αυτής της μονάδας περιορίζεται στην επιλογή του φυσικού μέσου διανομής και στην επιβεβαίωση λήψης από τον παραλήπτη. Είσοδος: έγκυρο πιστοποιητικό ή ΤΤΤ (+ H n-k (CertYκ, RV) σε περίπτωση ΤΤΤ) Έξοδος: (1) μια δυαδική τιμή που υποδεικνύει εάν το πιστοποιητικό ή το ΤΤΤ παραδόθηκε επιτυχώς στην αιτούσα οντότητα ή όχι και (2) κωδικός σφάλματος στην αρνητική περίπτωση. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 171

172 Λειτουργία: 25 (1) το πιστοποιητικό εισόδου αποστέλλεται με το επιλεγμένο ηλεκτρονικό ή φυσικό μέσο, (2) αναμένεται θετική επιβεβαίωση παραλαβής σε εύλογο χρονικό διάστημα (3) επανάληψη της αποστολής με άλλο μέσο σε περίπτωση μη λήψης επιβεβαίωσης. Η διανομή του πιστοποιητικού μπορεί να γίνει με τους εξής τρόπους: φυσικό μεταφέρσιμο μέσο αποθήκευσης (δισκέτα, έξυπνη κάρτα) ένα πρωτόκολλο πρόσβασης στην υπηρεσία ευρετηρίου (LDAP) ένα πρωτόκολλο ηλεκτρονικού ταχυδρομείου (SMTP, IMAP, POP3) το πρωτόκολλο μεταφοράς αρχείων (FTP) το πρωτόκολλο υπερκειμένου (HTTP) Συνεργασία με άλλες λειτουργικές μονάδες: ΠΤ_ΠΔ_02-1, ΠΤ_ΔΧ_ Επικοινωνία με τις υπηρεσίες ευρετηρίου (κμ ΠΤ_ΕΤΟ_04). Γενικά σε ένα ευρετήριο καταχωρούνται πληροφορίες οι οποίες είναι απαραίτητο να είναι δημόσια διαθέσιμες και ευρέως προσπελάσιμες από ανοικτά περιβάλλοντα μέσω απλών τυποποιημένων διεπαφών. Η ύπαρξη ενός ευρετηρίου θεωρείται αναπόσπαστο τμήμα των λειτουργιών της ΕΤΟ, αφού μέσω αυτού δημοσιεύονται στο ευρύ κοινό τα πιστοποιητικά και οι ΛΑΠ 26. Στο πρότυπο X.509 εκτός από τις κλάσεις του ευρετηρίου που αφορούν τη διαχείριση των πιστοποιητικών, ορίζονται επιπλέον κλάσεις για τη δημοσίευση των πολιτικών πιστοποίησης και κλάσεις για τη λειτουργία της ΕΤΟ ως αρχή διαχείρισης δικαιωμάτων, όπως τα πιστοποιητικά ιδιοτήτων, οι αντίστοιχες ΛΑΠ και οι διαδρομές εκχώρησης δικαιωμάτων (delegation paths). Οι επιμέρους λειτουργίες της υπηρεσίας ευρετηρίου, όπως η καταχώρηση, αναζήτηση και ανάκτηση πληροφοριών, δεν θα ήταν σκόπιμο να αναλυθούν στο παρόν κείμενο, εφόσον περιγράφονται σε σχετικά διεθνή πρότυπα όπως το LDAP και το DNS. Οι ιδιαιτερότητες της υλοποίησης των προτύπων έτσι ώστε να ικανοποιούνται οι απαιτήσεις των υπηρεσιών της ΕΤΟ, εντοπίζονται στη δομή της πληροφορίας και όχι στις μεθόδους διαχείρισής της. 25 (1) Εκτέλεσε βήμα , (2) Εκτέλεσε βήμα Οι Λίστες Ανακληθέντων Πιστοποιητικών περιέχουν τα πιστοποιητικά εκείνα που δεν είναι πλέον έγκυρα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 172

173 Χρήση και διαχείριση πιστοποιητικών σε τοπικό επίπεδο Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Σε τοπικό επίπεδο, ο προστάτης ταυτότητας πρέπει να επιτελέσει τις παρακάτω λειτουργίες που σχετίζονται με την χρήση και διαχείριση των πιστοποιητικών σε τοπικό επίπεδο: 1. Κρυπτογράφηση (κμ ΠΤ_ΠΔ_01-1), αποκρυπτογράφηση (κμ ΠΤ_ΠΔ_01-2, βλ. συνάρτηση Encrypt, σελ. 277). 2. Ψηφιακή υπογραφή-επιβεβαίωση υπογραφής κειμένου (ΠΤ_ΠΔ_02, βλ. συνάρτηση DSign, σελ. 280, κμ). 3. Σύνοψη (hash) μηνύματος ή εγγράφου (κμ ΠΤ_ΠΔ_02-1, βλ. συνάρτηση HashFile, σελ. 281). 3. Αποθήκευση πιστοποιητικού (κμ ΠΤ_ΕΤΟ_05). Η δημιουργία ενός πιστοποιητικού ή ενός ΤΤΤ (βλ ) είναι απαραίτητο να ακολουθείται από την αποθήκευσή του σε ασφαλή μέσα για ποικίλους λόγους, όπως η ύπαρξη αντιγράφων ασφάλειας, η δημοσιοποίηση των πιστοποιητικών από την υπηρεσία ευρετηρίου, η ανάκτηση των πιστοποιητικών ή των τεκμηρίων από τους χρήστες τους, αλλά και η ανάκτηση για χρήση από τις άλλες υπηρεσίες της ΥΠΔ. Είσοδος: (1) πιστοποιητικό 27, (2) κωδικός μέσου αποθήκευσης Έξοδος: (1) μια δυαδική τιμή που υποδεικνύει εάν το πιστοποιητικό έχει αποθηκευθεί επιτυχώς ή όχι και (2) κωδικός σφάλματος στην αρνητική περίπτωση. Λειτουργία: η λειτουργία της μονάδας αυτής προφανώς είναι διαφορετική, ανάλογα με το αποθηκευτικό μέσο που έχει επιλεχθεί. Ως αποθηκευτικά μέσα δεν νοούνται εδώ μόνο τα φυσικά μέσα αλλά γενικά τα συστήματα διαχείρισης πληροφορίας. Η αποθήκευση του πιστοποιητικού θα πρέπει να γίνεται σε δύο τουλάχιστο αποθηκευτικά μέσα. Διακρίνονται τα παρακάτω συστήματα ως μέσα αποθήκευσης πιστοποιητικών: ένα ευρετήριο X.500 που είναι προσπελάσιμο χρησιμοποιώντας το πρωτόκολλο LDAP ένα σύστημα διαχείρισης βάσεων δεδομένων (DBMS) που είναι προσπελάσιμο μέσω ανοικτών εργαλείων που παρέχουν μία διεπαφή σε SQL (Structured Query Language) 27 Αν πρόκειται για τεκμήριο τριτεγγύησης τότε ΣΑΠΙΥκ, H(CertΥκ, RV), n, RV. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 173

174 έναν εξυπηρετητή αρχειοθέτησης (file server) που είναι προσπελάσιμος μέσω FTP έναν εξυπηρετητή ιστοσελίδων (web server) που είναι προσπελάσιμος μέσω HTTP μαγνητικά μέσα μαζικής αποθήκευσης ως αντίγραφα ασφάλειας. 4. Ανάκτηση πιστοποιητικού (κμ ΠΤ_ΕΤΟ_06). Η λειτουργία των υπηρεσιών ΕΤΟ του προστάτη ταυτότητας στηρίζεται στην υψηλή και καθολική διαθεσιμότητα των εκδοθέντων πιστοποιητικών ή των ΤΤΤ των χρηστών της ΥΠΔ. Τυπικό παράδειγμα που αποδεικνύει τη σημαντικότητα της λειτουργίας ανάκτησης ενός τυχαίου πιστοποιητικού, είναι η επιβεβαίωση της ψηφιακής υπογραφής χρηστών που επικοινωνούν για πρώτη φορά. Η εξασφάλιση της εγκυρότητας της υπογραφής γίνεται με τη χρήση του δημοσίου κλειδιού του αποστολέα, το οποίο περιέχεται στο πιστοποιητικό του, ενώ η αδιαμφισβήτητη αντιστοίχιση του μηνύματος με τον αποστολέα του ως φυσική οντότητα γίνεται με τα επιπλέον στοιχεία που περιέχονται στο πιστοποιητικό και προσδιορίζουν μονοσήμαντα την ταυτότητά του. Είσοδος: (1) αίτημα χρήστη, (2) πρωτόκολλο και διεύθυνση επιστροφής πιστοποιητικού ή ΤΤΤ, (3) κριτήρια αναζήτησης που προσδιορίζουν μονοσήμαντα ένα πιστοποιητικό ή ένα τεκμήριο, όπως (αρχή έκδοσης + σειριακός αριθμός πιστοποιητικού) ή το διακριτικό όνομα (distinguished name) του υποκειμένου επεξεργασίας. Έξοδος: έγκυρο πιστοποιητικό ή ΤΤΤ Λειτουργία: (1) έλεγχος εγκυρότητας του αιτήματος και των κριτηρίων αναζήτησης, (2) προαιρετική αυθεντικοποίηση του αιτούντος, (3) αναζήτηση στον αποθηκευτικό σύστημα της επιλογής του χρήστη, (4) επιστροφή του πιστοποιητικού ή ΤΤΤ στον αποστολέα του αιτήματος Στο επίπεδο εφαρμογής τελικού χρήστη η διεπαφή μπορεί να είναι κοινή και η πρόσβαση σε διαφορετικά αποθηκευτικά συστήματα να είναι διαφανής. Εναλλακτικά μπορούν να παρέχονται διαφορετικών ειδών διεπαφές ανάλογα με το αποθηκευτικό σύστημα. Σε κάθε περίπτωση διακρίνονται οι εξής τρόποι πρόσβασης: ιδιοσκευή εφαρμογής τελικού χρήστη που υλοποιεί τα πρωτόκολλα LDAP ή ODBC και επικοινωνεί απευθείας με την υπηρεσία ευρετηρίου. διεπαφή μεταβίβασης ερωτημάτων (queries) στην υπηρεσία ευρετηρίου. εφαρμογή που υλοποιεί το πρωτόκολλο FTP για την πρόσβαση στον εξυπηρέτη αρχειοθέτησης της ΕΤΟ. ένας διαδικτυακός τόπος που εκτελεί διεργασίες στην πλευρά του εξυπηρέτη και επιστρέφει το ζητούμενο πιστοποιητικό με το πρωτόκολλο HTTP. Επισημαίνεται ότι από τις παραπάνω εναλλακτικές λύσεις, η διεπαφή μεταβίβασης ερωτημάτων στην υπηρεσία ευρετηρίου συγκεντρώνει τα περισσότερα πλεονεκτήματα. Η υλοποίησή της είναι απλή, τα χρησιμοποιούμενα πρότυπα τυγχάνουν ευρείας αποδοχής και Οικονομικό Πανεπιστήμιο Αθηνών Σελ 174

175 μπορούν να πραγματοποιηθούν αναζητήσεις θέτοντας πολύπλοκα κριτήρια για τις επιπλέον πληροφορίες που περιέχει ένα ευρετήριο Αποθήκευση πραγματικής ταυτότητας Σε περιπτώσεις όπου το υποκείμενο χρησιμοποιεί ανώνυμο πιστοποιητικό ή ΤΤΤ, πρέπει να δίνεται η δυνατότητα στον υπεύθυνο επεξεργασίας να αιτηθεί την παράκαμψη ανωνυμίας του υποκειμένου (βλ ). Στο τέλος της διαδικασίας ο υπεύθυνος επεξεργασίας χρησιμοποιεί την παρούσα μονάδα (κμ ΠΤ_ΕΤΟ_07) για να αποθηκεύσει την πραγματική ταυτότητα του υποκειμένου του οποίου την ταυτότητα αποκάλυψε. Είσοδος: (1) ψηφιακά υπογεγραμμένη (με το κλειδί της ΕΤΟ) και κρυπτογραφημένη (με το κλειδί του υπεύθυνου) πραγματική ταυτότητα Έξοδος: πραγματική ταυτότητα υποκειμένου επεξεργασίας Λειτουργία: (1) επικύρωση υπογραφής της ΕΤΟ (2) αποκρυπτογράφηση μηνύματος (3) αποθήκευση ταυτότητας Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_01, ΠΤ_ΠΔ_02, ΠΤ_ΔΧ_ Σχεδίαση λειτουργικών μονάδων Όλες οι λειτουργίες των υπηρεσιών του προστάτη ταυτότητας περιγράφονται σε μορφή συναρτήσεων, οι οποίες στο σύνολό τους αποτελούν την διεπαφή χρήστη (βλ. παράρτημα ΙΙΙ). Η ψευδογλώσσα που χρησιμοποιείται για την περιγραφή των συναρτήσεων ονομάζεται Γλώσσα Υλοποίησης Ιδιωτικότητας (Privacy Implementation Language, PIL) είναι υψηλού επιπέδου και ανεξάρτητη γλώσσας προγραμματισμού και κατά συνέπεια ευνοεί την γενικότητα [ΠAN-01]. Κατ' αυτόν τον τρόπο, ο μηχανικός λογισμικού μπορεί να χρησιμοποιήσει οποιαδήποτε γλώσσα προγραμματισμού για να υλοποιήσει τις επιμέρους λειτουργίες των υπηρεσιών του προστάτη ταυτότητας. Επίσης, είναι δυνατή η χρήση υπαρχόντων τεχνολογιών που υλοποιούν αυτές τις λειτουργίες ή συνδυασμοί λειτουργιών. Οι τεχνολογίες αυτές παρουσιάσθηκαν στην παράγραφο 2.7. Το συντακτικό, η γραμματική και οι λογικοί τελεστές της PIL είναι όμοια με αυτά της γλώσσας προγραμματισμού C, ενώ τα ονόματα των συναρτήσεων αποτελούν μια απλή κωδικοποίηση της σημασίας τους στην αγγλική γλώσσα (πχ Real to Pseudo ID Translation με είσοδο το Real ID: Real2Pseudo(RealID)) ώστε να συμπεραίνεται άμεσα η λειτουργία που υλοποιεί κάθε συνάρτηση. Αποφεύγεται ο ορισμός του τύπου των μεταβλητών που χρησιμοποιούνται ώστε να απελευθερωθεί ο σχεδιαστής από τους περιορισμούς της γλώσσας υλοποίησης. Για λόγους ομοιομορφίας και απλούστευσης της διαδικασίας κωδικοποίησης των αλγορίθμων, σε αρκετές περιπτώσεις χρησιμοποιούνται βοηθητικές συναρτήσεις με αυθαίρετα ονόματα τα οποία επιλέχτηκαν να είναι σχετικά με την λειτουργία τους (πχ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 175

176 SendMail: Αποστολή Ταχυδρομείου, GoToURL: Σύνδεση σε έναν διαδικτυακό τόπο κτλ). Οι συναρτήσεις αυτές δεν αποτελούν υπηρεσία, αλλά δηλώνουν μια συγκεκριμένη λειτουργία που υλοποιεί ο αλγόριθμος της συναρτήσεως που υλοποιεί την υπηρεσία. Υπάρχουν διαθέσιμοι πολλοί αλγόριθμοι υλοποίησής τους και πολλές γλώσσες προγραμματισμού τις παρέχουν έτοιμες για χρήση, δίνοντάς τους διαφορετικά ονόματα. Η υλοποίηση αυτών των συναρτήσεων δεν αποτελεί αντικείμενο της παρούσης εργασίας. Παρόλα αυτά, όπου εμφανίζονται, υπάρχουν επιπλέον σχετικές επεξηγήσεις και παρατηρήσεις υπό τον τίτλο «Βοηθητικές Συναρτήσεις». Μία συνάρτηση που εμφανίζεται να καλείται στην υλοποίηση μιας λειτουργίας, είναι είτε συνάρτηση που ανήκει στο ΔΠΕ, οπότε περιγράφεται αναλυτικά σε κάποια παράγραφο του Παραρτήματος ΙΙΙ (σελ. 267), είτε ανήκει στις βοηθητικές συναρτήσεις. Τέλος, κάθε αλγόριθμος επεξήγεται και με λόγια. Δίπλα σε κάθε εντολή αναγράφεται υπό μορφή σχολίων (μεταξύ των τελεστών «/*» και «*/») και η σημασία της. Το σύνολο των λειτουργιών του προστάτη ταυτότητας περιγράφεται αναλυτικά στο Παράρτημα ΙΙΙ (σελ. 267) της διατριβής. Για κάθε λειτουργία παρατίθενται τα δεδομένα εισόδου (input), τα δεδομένα εξόδου (output), ο αλγόριθμος υλοποίησης (implementation algorithm) και ένα παράδειγμα. Στις επόμενες παραγράφους δίνεται η αναλυτική περιγραφή μιας εκ των υπηρεσιών ως παράδειγμα. Ακολουθεί η υλοποίηση της υπηρεσίας με χρήση της γλώσσας προγραμματισμού C Παράδειγμα λειτουργικής μονάδας: Ανώνυμο ταχυδρομείο Η λειτουργία αυτή επιτρέπει την αποστολή ανώνυμου ηλεκτρονικού μηνύματος. Ανάλογα με το επίπεδο προστασίας που επιθυμεί ο χρήστης, μπορεί να μετατρέψει το ψευδώνυμό του σε κάποιο άλλο, τόσες φορές όσο και το επίπεδο ψευδωνυμίας (level) που δέχεται ως όρισμα. Η αποστολή του μηνύματος είναι δυνατή με χρήση τεχνολογίας onion routing (βλ. 2.8), ή ανώνυμων επανα-ταχυδρομητών (βλ. 2.7). Μαζί με το μήνυμα (file) μπορούν να σταλούν συνημμένα αρχεία (attachments) Συνάρτηση: AnonymMail(ID, URI, level, file, *att) (κμ ΠΤ_ΑΝ_01) Είσοδος: ID : Ταυτότητα χρήστη ή Ψευδώνυμο URI : Διεύθυνση αποδέκτη level : Επίπεδο ψευδωνυμίας file : Αρχείο μηνύματος *att : Πίνακας ή συνδεδεμένη λίστα συνημμένων αρχείων Έξοδος: Κανένα Οικονομικό Πανεπιστήμιο Αθηνών Σελ 176

177 Λειτουργία: void AnonymMail(ID, URI, level, file, *att) { if (ID == REAL) { ψευδώνυμο...*/ /*Εάν το ID είναι το πραγματικό και όχι if (Real2Pseudo (ID) == unknown ) { /*...εάν δεν υπάρχει ψευδώνυμο που να αντιστοιχεί σ αυτό το ID...*/ ID= CreatePseudonym(ID); } else { ID = Real2Pseudo(ID); ήδη υπάρχον ψευδώνυμο*/ } } /*...δημιούργησε ένα καινούριο ψευδώνυμο*/ /*Αλλιώς...*/ /*... αντιστοίχησε το πραγματικό ID στο if (level >= 2) { /*Εάν ο χρήστης επιθυμεί επίπεδο ψευδωνυμίας μεγαλύτερο από 1...*/ for (counter=1; counter=level; counter++){ /*...μετέτρεψε ψευδώνυμο τόσες φορές όσες επιθυμεί ο χρήστης*/ } ID = Pseudo2Pseudo(ID); } SendMail(ID,file,*att); /*Στείλε το μήνυμα και τα συνημμένα του χρησιμοποιώντας το ID όπως έχει διαμορφωθεί*/ } Παράδειγμα: Για να σταλεί το μήνυμα MyMessage με συνημμένο το αρχείο MyFile.doc στον recip@server.net από τον χρήστη User, ο οποίος επιθυμεί επίπεδο ψευδωνυμίας 3, η κλήση της συνάρτησης έχει ως εξής : AnonymMail( User, recip@server.net,3, MyMessage,*att); Ο πίνακας αρχείων *att θα περιέχει μόνο μία εγγραφή, την att[0], η οποία δείχνει, ή περιέχει το αρχείο MyFile.doc. Βοηθητικές Συναρτήσεις: SendMail(ID,file,*att): Υλοποιεί την αποστολή του μηνύματος και των συνημμένων του χρησιμοποιώντας ένα συγκεκριμένο user ID. Ανάλογες συναρτήσεις υλοποιούνται από τις σύγχρονες γλώσσες προγραμματισμού. Η υλοποίησή της μπορεί επίσης να γίνει και με Οικονομικό Πανεπιστήμιο Αθηνών Σελ 177 το

178 χρήση τεχνολογίας ανώνυμου επανα-ταχυδρομητή, δικτύου ιδιωτικότητας και onion routing Υλοποίηση αλγορίθμου Όλες οι λειτουργίες του προστάτη ταυτότητας είναι βιβλιοθήκες λογισμικού που χρησιμοποιούνται όταν επιθυμεί ο χρήστης. Επομένως, από προγραμματιστικής πλευράς, ο προστάτης ταυτότητας είναι ένα σύνολο διαθεσίμων βιβλιοθηκών, οι οποίες μπορούν να υλοποιηθούν με την κατασκευή καταλλήλων αρχείων (στο λειτουργικό σύστημα UNIX είναι τα.h αρχεία ενώ στα MS/Windows τα DLL αρχεία). Στην συνέχεια παρατίθεται ένα υποθετικό παράδειγμα που βοηθά τον αναγνώστη να κατανοήσει καλύτερα τον τρόπο εφαρμογής της ΔΠΕ του προστάτη ταυτότητας Υπόθεση Εργασίας Στα πλαίσια ανάπτυξης μιας εφαρμογής, πρέπει να ικανοποιηθεί η εξής απαίτηση χρήστη: Ο χρήστης θέλει να έχει την δυνατότητα, αφού επιλέξει κάποια αρχεία και κάποιον αποδέκτη, με ένα και μόνο κλικ του ποντικιού επάνω σε ένα στοιχείο του γραφικού περιβάλλοντος (button), αυτόματα, να κρυπτογραφηθούν τα αρχεία και να αποσταλούν στον επιλεγμένο αποδέκτη, σαν συνημμένα ενός ανώνυμου μηνύματος. Για την υλοποίηση του παραδείγματος θα χρησιμοποιηθούν οι συναρτήσεις Encrypt και AnonymMail. Οι συναρτήσεις αυτές, εκτός του αρχείου και του αποδέκτη, απαιτούν κάποια επιπλέον ορίσματα. Επομένως, η εφαρμογή, πριν καλέσει τις αντίστοιχες βιβλιοθήκες, θα αναλάβει να ρωτήσει τον χρήστη για τις τιμές που θα πάρουν οι υπόλοιπες παράμετροι Φραστική Περιγραφή Αλγορίθμου Βήμα Οντότητα που ενεργεί Ενέργεια Αποτέλεσμα 1ο Χρήστης Πάτημα του αντίστοιχου κουμπιού 2ο Εφαρμογή Ο χρήστης ερωτάται σχετικά με ποιον αλγόριθμο κρυπτογράφησης θα χρησιμοποιήσει, μέσω ενός μενού επιλογών που θα περιέχει τους διαθέσιμους αλγόριθμους. 3ο Χρήστης Επιλέγεται αλγόριθμος 4ο Εφαρμογή Καλείται η συνάρτηση βιβλιοθήκης Encrypt(Object, Algorithm, UserKey), τόσες φορές, όσα και τα επιλεγμένα αρχεία. Δημιουργούνται τα κρυπτογραφημένα αρχεία 5ο Εφαρμογή Ο χρήστης ερωτάται τι επίπεδο ανωνυμίας επιθυμεί. 6ο Χρήστης Επιλέγεται επίπεδο 7ο Εφαρμογή Καλείται η συνάρτηση βιβλιοθήκης Ανώνυμη αποστολή των Οικονομικό Πανεπιστήμιο Αθηνών Σελ 178

179 AnonymMail(ID, URI, level, file, *att), με τιμές παραμέτρων αντίστοιχα, ένα διακριτικό για τον χρήστη, την διεύθυνση του παραλήπτη, το επίπεδο ανωνυμίας που επιλέχθηκε από τον χρήστη, το μήνυμα και έναν πίνακα συνημμένων, του οποίου οι εγγραφές θα περιέχουν τα συνημμένα κρυπτογραφημένα αρχεία. κρυπτογραφημένων αρχείων στον προεπιλεχθέντα αποδέκτη Περιγραφή του Αλγορίθμου σε ψευδογλώσσα PIL OnButtonClick(UserID,*SelectedFilesList,Recipient) { SelectedAlgorithm = AskUser(Algorithm); for (i=0; SelectedFilesList[i]!=NULL; i++) { AttachmentsList[i]=Encrypt(SelectedFilesList[i], Key); } SelectedAlgorithm, AnonymityLevel = AskUser(level); AnonymMail(UserID,Recipient,AnonymityLevel, AttachementList); } AutoMessage, Υλοποίηση του Αλγορίθμου σε γλώσσα C. Έστω ότι ισχύουν οι παρακάτω ρεαλιστικές παραδοχές: οι διαθέσιμοι αλγόριθμοι κρυπτογράφησης είναι μόνο τρεις: RSA, EL GAMAL, DES. υπάρχει διαθέσιμο το προγραμματιστικό περιβάλλον embedded SQL. τα κλειδιά κρυπτογράφησης τηρούνται σε πίνακες του RDBMS. τα κλειδιά συμμετρικής κρυπτογράφησης τηρούνται στον πίνακα key_table. τα δημόσια κλειδιά των αποδεκτών τηρούνται στον πίνακα public_key_table. έχει προκατασκευασθεί αρχείο επικεφαλίδων (privacy.h), που περιλαμβάνει τις επικεφαλίδες των συναρτήσεων του προστάτη ταυτότητας. Εναλλακτικά είναι δυνατόν να κατασκευασθούν.dll αρχεία σε οποιαδήποτε γλώσσα προγραμματισμού. η επικοινωνία με το χρήστη γίνεται μέσω απλών εντολών (printf-scanf). Το παρακάτω πρόγραμμα της γλώσσας προγραμματισμού C, αποτελεί υλοποίηση του παραδείγματος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 179

180 #include <stdio.h> #include C:/Privacy.h #define 0 CORRUPTED #define 1 NORMALY_ENDED. int OnButtonClick(UserID,*SelectedFilesList,Recipient) { int SelectedAlgorithm, i, AnonymityLevel; FILE AutoMessage; char* Key; fprintf(stdout, %s\n, What algorithm to use? ); fprintf(stdout, %s\n, 1. RSA ); fprintf(stdout, %s\n, 2. EL GAMAL ); fprintf(stdout, %s\n, 3. DES ); scanf( %d, &SelectedAlgorithm); if(selectedalgorithm!=1 && SelectedAlgorithm!=2 && SelectedAlgorithm!=3) return CORRUPTED; if (SelectedAlgorithm==3) { exec sql select Key into :Key from key_table where algorithm = :SelectedAlgorithm and User = :UserID; } else { exec sql select Key into :Key from public_key_table where algorithm = :SelectedAlgorithm and User = :Recipient; } for (i=0; SelectedFilesList[i]!= \0 ; i++) { AttachmentsList[i]=Encrypt(SelectedFilesList[i], SelectedAlgorithm, Οικονομικό Πανεπιστήμιο Αθηνών Σελ 180

181 Key); } fprintf(stdout, %s\n, What chain algorithm to use? ); scanf( %d, &AnonymityLevel); fopen(automessage, w ); fprintf(automessage, %s, This is an auto message. \n See the encrypted attached files ); fclose(automessage); AnonymMail(UserID,Recipient,AnonymityLevel, AttachementList); AutoMessage, return NORMALY_ENDED; } Παρατηρήσεις Στο παράδειγμα, έγινε η υπόθεση ότι υπάρχει έτοιμη μια βιβλιοθήκη της γλώσσας C (αρχείο επικεφαλίδων Privacy.h). Εναλλακτικά οι συναρτήσεις της ΔΠΕ του προστάτη ταυτότητας είναι δυνατόν να λάβουν τη μορφή δυναμικών βιβλιοθηκών (αρχεία.dll), με χρήση γλώσσας προγραμματισμού τρίτης γενιάς (3GL). Η ανεξαρτησία του προστάτη ταυτότητας από γλώσσα προγραμματισμού παρέχει ευελιξία στον σχεδιαστή εφαρμογών. Οποιαδήποτε γλώσσα προγραμματισμού, τρίτης ή τέταρτης γενιάς (4GL), χρησιμοποιηθεί για την ανάπτυξη της εφαρμογής είναι δυνατή η κλήση των υπηρεσιών του προστάτη ταυτότητας (αρκεί μόνο το όνομα της δυναμικής βιβλιοθήκης που υλοποιεί τις υπηρεσίες του προστάτη ταυτότητας). Τέλος, είναι χαρακτηριστική η ευκολία μετάφρασης του αλγορίθμου από ψευδογλώσσα PIL σε γλώσσα προγραμματισμού C. Οι επιπλέον ενέργειες μετάφρασης περιλαμβάνουν τις δηλώσεις μεταβλητών και την αντικατάσταση των βοηθητικών συναρτήσεων (πχ. AskUser), με τις κατάλληλες εντολές της γλώσσας. Στο σημείο αυτό ολοκληρώνεται η παρουσίαση των ζητημάτων που σχετίζονται με την υπηρεσία «Επιλογή αποκάλυψης» της ΥΠΔ. Στην επόμενη παράγραφο παρουσιάζεται η τελευταία υπηρεσία της ΥΠΔ που σχετίζεται με την άσκηση του δικαιώματος πρόσβασης, με χρήση απευθείας διαδικασιών, του υποκειμένου στα δεδομένα που διατηρεί ο υπεύθυνος επεξεργασίας. 6.5 Δικαίωμα πρόσβασης-υπηρεσία "Πρόσβαση" της ΥΠΔ Το υποκείμενο επεξεργασίας πρέπει να έχει το δικαίωμα πρόσβασης στα προσωπικά δεδομένα που διατηρεί ο υπεύθυνος επεξεργασίας, το οποίο υποστηρίζεται από την υπηρεσία Οικονομικό Πανεπιστήμιο Αθηνών Σελ 181

182 "Πρόσβαση" της ΥΠΔ. Κατά τη διαδικασία πρόσβασης, τα προσωπικά δεδομένα του πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση. Αυτή η απαίτηση, υποχρεώνει τον υπεύθυνο επεξεργασίας να προβεί σε ταυτοποίηση του υποκειμένου που ζητά πρόσβαση σε κάποια προσωπικά δεδομένα. Επιπλέον, το υποκείμενο επεξεργασίας είναι αναγκασμένο να μην μπορεί να χρησιμοποιήσει τις υπηρεσίες ανωνυμίας και ψευδωνυμίας του προστάτη ταυτότητας για να αποκτήσει πρόσβαση στα προσωπικά του δεδομένα. Οι λειτουργίες της υπηρεσίας περιλαμβάνουν: Λειτουργίες που εκτελούνται από το υποκείμενο επεξεργασίας 1. Λειτουργία αίτησης πρόσβασης (κμ ΠΡ_01) Είσοδος: (1) Όνομα χρήστη (2) Συνθηματικό ή (3) Ψηφιακό πιστοποιητικό Έξοδος: (1) Προσωπικά δεδομένα ή κωδικός σφάλματος Λειτουργία: (1) Αποστολή ονόματος χρήστη, συνθηματικού (2) Επιστροφή προσωπικών δεδομένων ή κωδικού σφάλματος. Αυτή η λειτουργία μπορεί να πραγματοποιηθεί με ένα πρωτόκολλο επικοινωνίας στο διαδίκτυο (π.χ. FTP, Telnet, HTTP). Λειτουργίες που εκτελούνται από τον υπεύθυνο επεξεργασίας 1. Λειτουργία καταχώρησης (κμ ΠΡ_02) Είσοδος: (1) Προσωπικά δεδομένα υποκειμένου (2) Ένδειξη μη ανακοίνωσης σε δημόσιους καταλόγους (3) ψηφιακό πιστοποιητικό (προαιρετικό) Έξοδος: (1) όνομα χρήστη (2) συνθηματικό πρόσβασης 28 (3) Δικαιώματα πρόσβασης ή κωδικός σφάλματος Λειτουργία: (1) Καταχώρηση δεδομένων εισόδου (2) Δημιουργία ονόματος χρήστη (3) Δημιουργία συνθηματικού πρόσβασης (4) Αντιστοίχιση με το όνομα χρήστη (5) Ορισμός 28 Αυτά τα στοιχεία δεν χρειάζονται αν το υποκείμενο προσκομίζει ψηφιακό πιστοποιητικό στην είσοδο της λειτουργίας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 182

183 δικαιωμάτων πρόσβασης (6) Επιστροφή ονόματος χρήστη, συνθηματικού, δικαιωμάτων πρόσβασης ή κωδικού σφάλματος. Η λειτουργία της μονάδας αυτής προφανώς είναι διαφορετική, ανάλογα με το αποθηκευτικό μέσο που έχει επιλεχθεί να αποθηκευθούν τα στοιχεία. Ως αποθηκευτικά μέσα δεν νοούνται εδώ μόνο τα φυσικά μέσα αλλά γενικά τα συστήματα διαχείρισης πληροφορίας. Η αποθήκευση των δεδομένων πρέπει να γίνεται σε δύο τουλάχιστο αποθηκευτικά μέσα. Διακρίνονται τα παρακάτω συστήματα ως μέσα αποθήκευσης προσωπικών δεδομένων: ένα σύστημα διαχείρισης βάσεων δεδομένων (DBMS) που είναι προσπελάσιμο μέσω ανοικτών εργαλείων που παρέχουν μία διεπαφή σε SQL (Structured Query Language) έναν εξυπηρετητή αρχειοθέτησης (file server) που είναι προσπελάσιμος μέσω FTP έναν εξυπηρετητή ιστοσελίδων (web server) που είναι προσπελάσιμος μέσω HTTP μαγνητικά μέσα μαζικής αποθήκευσης ως αντίγραφα ασφάλειας 2. Λειτουργία ελέγχου πρόσβασης (κμ ΠΡ_03) Είσοδος: (1) Ενέργεια χρήστη Έξοδος: (1) Κανένα ή κωδικός σφάλματος Λειτουργία: (1) Έλεγχος δικαιωμάτων πρόσβασης (2) Αποστολή ενέργειας προ το σύστημα διαχείρισης Βάσεων Δεδομένων ή επιστροφή κωδικού σφάλματος. Όταν το υποκείμενο χρησιμοποιεί ψηφιακό πιστοποιητικό για να αποκτήσει πρόσβαση στα δεδομένα, η εμπιστευτικότητα και ακεραιότητα των δεδομένων, κατά την διάρκεια της αλληλεπίδρασης, με τις παραπάνω λειτουργίες, είναι εξασφαλισμένη. Σε αντίθετη περίπτωση, ο υπεύθυνος επεξεργασίας πρέπει να δημιουργεί ασφαλείς συνόδους για να επιτρέψει την πρόσβαση (π.χ. custom application + SSL, HTTPS, SSH). 3. Λειτουργία πρόσβασης (κμ ΠΡ_04) Είσοδος: (1) Όνομα χρήστη (2) Συνθηματικό ή (3) Ψηφιακό πιστοποιητικό Έξοδος: (1) Προσωπικά δεδομένα ή κωδικός σφάλματος Λειτουργία: (1) έλεγχος εγκυρότητας ονόματος χρήστη και συνθηματικού (2) Αναζήτηση προσωπικών δεδομένων με βάση το όνομα χρήστη και το συνθηματικό (3) Επιστροφή προσωπικών δεδομένων ή κωδικού σφάλματος. 6.6 Σύνοψη Η ενσωμάτωση της προστασίας δεδομένων στα ΠΣ είναι προτροπή του Ευρωπαϊκού γενικού ρυθμιστικού πλαισίου. Από την άλλη, η ολοκληρωτική ανάθεση των ευθυνών για την τήρηση των μέτρων, προστασίας των προσωπικών δεδομένων, στους υπεύθυνους Οικονομικό Πανεπιστήμιο Αθηνών Σελ 183

184 επεξεργασίας θα οδηγήσει στην μείωση της ποιότητας των προσφερόμενων υπηρεσιών στο Διαδίκτυο. Για την εξισορρόπηση των αντίρροπων τάσεων μεταξύ νόμου και επιχειρηματικού συμφέροντος, απαιτείται η εξουσιοδότηση χρήστη και η υποστήριξή του με σχετικές τεχνολογίες. Η ενσωμάτωση των ΤΠΙ εντός του ΠΣ του χρήστη, με τη μορφή του προστάτη ταυτότητας, είναι ένα βήμα προς αυτή την κατεύθυνση. Ο προστάτης ταυτότητας μπορεί να αποτελέσει το μοναδικό σημείο πρόσβασης και ελέγχου της επικοινωνίας του υποκειμένου με τον υπεύθυνο επεξεργασίας στο πλαίσιο της τεχνολογικής διαδικτυακής ΥΠΔ. Για το λόγο αυτό, απαιτείται η υποστήριξη όλων των υπηρεσιών της ΥΠΔ, που παρουσιάσθηκαν στα δύο προηγούμενα κεφάλαια, από τον προστάτη ταυτότητας. Για την επίτευξη αυτού του στόχου και σύμφωνα με όσα αναφέρθηκαν στην παράγραφο , είναι κρίσιμης σημασίας η ενσωμάτωση μέρους των υπηρεσιών ΕΤΟ εντός του ΠΣ. Η ενσωμάτωση αυτή καλείται να λάβει χώρα σε ένα τεχνολογικό καθεστώς που χαρακτηρίζεται από την έλλειψη ενός ενοποιημένου λειτουργικού μοντέλου ενσωμάτωσης υπηρεσιών ΕΤΟ σε ένα ΠΣ (αντικείμενο που πραγματεύεται το επόμενο κεφάλαιο). Στο πλαίσιο αυτό, ο προστάτης ταυτότητας απαιτεί τη συνεργασία με τις εξής υπηρεσίες ΕΤΟ: Καταχώρηση, Διαχείριση Πιστοποιητικών και Υπηρεσίες ευρετηρίου. Παρουσιάσθηκαν οι λειτουργικές μονάδες της υπηρεσίας «Πρόσβαση» που υποστηρίζουν την άσκηση του δικαιώματος πρόσβασης του υποκειμένου στα προσωπικά του δεδομένα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 184

185 7 ΥΠΟΔΟΜΗ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ ΚΑΙ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Στην διάρκεια του πέμπτου κεφαλαίου υπογραμμίστηκε ο ρόλος των υπηρεσιών «Ενημέρωση» (Σχήμα 14) και «Επίβλεψη» (Σχήμα 15) στην αίσθηση ασφάλειας των μελών της ΥΠΔ. Σκοπός του παρόντος κεφαλαίου είναι η τεκμηρίωση της σχέσης της έννοιας της εμπιστοσύνης με την ΥΠΔ και η πρόταση για ένα λειτουργικό μοντέλο παροχής υπηρεσιών ΕΤΟ κατάλληλου να στηρίξει αυτή τη σχέση. Για το λόγο αυτό, αρχικά, γίνεται γενική περιγραφή της έννοιας της εμπιστοσύνης και στη συνέχεια, αναδεικνύεται η σχέση της με την έννοια της αίσθησης ασφάλειας, τις υπηρεσίες της ΥΠΔ και τις υπηρεσίες ΕΤΟ. Η ύπαρξη μιας ΥΔΚ (η οποία αποτελείται από ένα σύνολο ΕΤΟ) αποτελεί μέσο άμβλυνσης της αίσθησης ανασφάλειας των χρηστών του διαδικτύου προς την επικοινωνιακή υποδομή που χρησιμοποιούν. Για το λόγο αυτό, προτείνεται ένα μοντέλο παροχής υπηρεσιών ΕΤΟ κατάλληλου για την δημιουργία μιας αρχιτεκτονικής ΥΔΚ που χαρακτηρίζεται από ευελιξία, επεκτασιμότητα, δυνατότητα κλιμάκωσης και βασίζεται σε διεθνή πρότυπα. Η συμβολή του παρόντος κεφαλαίου στην επιστήμη συνίσταται στην ΥΔΚ που προκύπτει από την υιοθέτηση του μοντέλου που παρουσιάζεται (βλ. 7.3). Για την επίτευξη του στόχου αυτού ακολουθούνται τα παρακάτω βήματα: (α) πρόταση για λειτουργικό μοντέλο παροχής υπηρεσιών ΕΤΟ, ακολουθώντας μια τυπική μεθοδολογία τεχνολογίας λογισμικού που περιλαμβάνει τα παρακάτω στάδια: προσδιορισμός απαιτήσεων χρήστη προσδιορισμός υπηρεσιών μοντέλο αναφοράς περιγραφή λειτουργικής αρχιτεκτονικής περιγραφή προτύπων και τεχνολογιών υποψήφιων για την υλοποίηση της λειτουργικής αρχιτεκτονικής. (β) ανάλυση της επίδρασης των αρχών-δικαιωμάτων προστασίας δεδομένων στις υπηρεσίες ΕΤΟ. (γ) συσχέτιση μεταξύ των υπηρεσιών ΕΤΟ με τις υπηρεσίες της ΥΠΔ σε τεχνολογικό επίπεδο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 185

186 7.1 Εμπιστοσύνη Η εμπιστοσύνη είναι ένα κοινωνικό φαινόμενο και για το λόγο αυτό είναι σύμφυτη με την ύπαρξη της έννοιας της κοινωνίας. Σύμφωνα με τον Luhmann χωρίς την ύπαρξή της ο άνθρωπος δεν θα ήταν σε θέση να αντιμετωπίσει την πολυπλοκότητα του φυσικού κόσμου, διότι σε αυτή στηρίζεται η δυνατότητα του ανθρώπου να αναπτύσσει λογικούς συνειρμούς και να επιλέγει ανάμεσα στα πιθανά ενδεχόμενα που παρουσιάζονται στην καθημερινή του ζωή [LUH-79]. Ως αναπόσπαστο κομμάτι της, η εμπιστοσύνη έχει τόσες πτυχές όσες και η καθημερινότητα. Από την δεκαετία του '50, η εμπιστοσύνη (trust) αποτελεί θέμα έρευνας σε διάφορες επιστημονικές περιοχές όπως η επικοινωνία, η επιστήμη υπολογιστών, η διοίκηση επιχειρήσεων, το μάρκετινγκ, η φιλοσοφία, η ψυχολογία, οι πολιτικές επιστήμες και η κοινωνιολογία. Κάθε επιστημονική περιοχή έχει δημιουργήσει το δικό της νοητικό πλαίσιο αντίληψης της έννοιας της εμπιστοσύνης. Αποτέλεσμα των ερευνών αυτών είναι η κατασκευή ενός πολυδιάστατου συνόλου αρχών που διέπουν την εμπιστοσύνη το οποίο απαιτεί ανάλυση και σύνθεση Ορισμός της εμπιστοσύνης Η εμπιστοσύνη είναι μια έννοια την οποία όλοι καταλαβαίνουν αλλά είναι δύσκολο να ορισθεί επακριβώς. Οι ορισμοί που υπάρχουν στη διεθνή βιβλιογραφία, αντιμετωπίζουν την εμπιστοσύνη από διαφορετικές πλευρές. Στην επιστήμη του μάρκετινγκ, η εμπιστοσύνη προσεγγίζεται ως η "προθυμία κάποιου να βασίζεται σε μια οντότητα με την οποία συναλλάσσεται και του εμπνέει σιγουριά" [MOO-94], στον τομέα της αλληλεπίδρασης ανθρώπου και υπολογιστών νοείται ως "η θετική πεποίθηση σχετικά με την αξιοπιστία και την σιγουριά που εισπράττει μια οντότητα για ένα πρόσωπο, αντικείμενο ή διαδικασία" [FOG-99], οι ψυχολόγοι αντιμετωπίζουν την εμπιστοσύνη σαν την "γενικευμένη προσδοκία ενός προσώπου ότι μπορεί να βασίζεται στις υποσχέσεις ενός άλλου προσώπου [ROT-71] ενώ στον τομέα των επικοινωνιών ένας γενικευμένος ορισμός, ο οποίος υιοθετείται στην παρούσα διατριβή, αναφέρει ότι "μια οντότητα Α θεωρείται ότι εμπιστεύεται μια δεύτερη οντότητα Β όταν η οντότητα Α αποδέχεται ότι η οντότητα Β θα συμπεριφερθεί ακριβώς όπως αναμένεται και απαιτείται" [ITU-01]. Δεν υπάρχει ένας κοινά αποδεκτός ορισμός της έννοιας της εμπιστοσύνης που να καλύπτει όλες τις ιδιότητες και τα χαρακτηριστικά της, εξαιτίας του γεγονότος ότι όλοι οι άνθρωποι έχουν προσωπική αντίληψη της εμπιστοσύνης (μέσω της προσωπικής τους εμπειρίας). Ένας ορισμός που έχει δοθεί από τον Deutsch στα 1962 (στην επιστήμη της ψυχολογίας) και είναι ευρέως αποδεκτός, παρουσιάζει ότι "η εμπιστοσύνη απαντάται οποτεδήποτε ένας άνθρωπος (στον εσωτερικό του κόσμο) αντιλαμβάνεται την ύπαρξη επιλογής μεταξύ των διαφορετικών (λογικών) μονοπατιών ενός σταυροδρομιού, καθένα από τα οποία στο τέλος του επιφυλάσσει (για το άτομο που το επιλέγει) ένα "καλό" ή ένα 'κακό", η εμφάνιση του οποίου εξαρτάται από τις, άγνωστες κατά την στιγμή επιλογής, πράξεις άλλων ανθρώπων. Επίσης, το "κακό" έχει περισσότερο καταστροφικά αποτελέσματα από την ωφελιμότητα που θα αποκομίσει, αυτός που επέλεξε ένα συγκεκριμένο λογικό μονοπάτι, από το "καλό". Τέλος, ο άνθρωπος Οικονομικό Πανεπιστήμιο Αθηνών Σελ 186

187 που επιλέγει να ακολουθήσει ένα (λογικό) μονοπάτι ορίζεται ότι έχει κάνει μια επιλογή εμπιστοσύνης (trusting choice) ενώ εκείνος που δεν επιλέγει κάποιο λογικό μονοπάτι ορίζεται ως δύσπιστος (distrustful) [DEU-62]. Εξαιτίας της παρέμβασης της προσωπικής εμπειρίας στην ερμηνεία της, οι περισσότεροι επιστήμονες ακολούθησαν την ερμηνευτική προσέγγιση (βλ. 3.1) στην προσπάθεια διερεύνησης της έννοιας της εμπιστοσύνης. Ο Marsh υποστηρίζει όμως, ότι η απουσία μιας κοινής γλώσσας, που όλοι κατανοούν με τον ίδιο τρόπο, είναι αυτή που οδηγεί στην μειωμένη αντίληψη του φαινομένου της εμπιστοσύνης [MAR-94]. Ο ίδιος ερευνητής μάλιστα, προτείνει ένα γενικευμένο μαθηματικό τύπο στον οποίο αποτυπώνει την εμπιστοσύνη ως όπου T x(y,α)=u x(α) I x(α) T x(y) (7.1) -1 Tx(y,α)<1: η εμπιστοσύνη του x προς τον y σε μια α συγκεκριμένη περίσταση. -1 Ux(α) 1: η ωφελιμότητα που θα αποκομίσει ο x στην α περίσταση. 0 Ix(α) 1: η κρισιμότητα της περίστασης α, όπως την αξιολογεί ο x. Tx(y): η εκτίμηση της εμπιστοσύνης του x προς τον y από προηγούμενες μεταξύ τους αλληλεπιδράσεις. Συνεχίζοντας, όρισε ένα κατώφλι συνεργασίας (cooperation threshold) ως την αριθμητική τιμή που πρέπει να υπερβαίνει η εμπιστοσύνη του x προς τον y ώστε να συνεργαστούν μεταξύ τους σε μια συγκεκριμένη περίσταση α: T x(y,α) > Cooperation_Threshold x(α) Will_Cooperate(x,y,α) (1.2) και Perceived_Risk x(α) Cooperation_Threshold x(α) = Perceived_Competence x(y, α) + T x(y) I x(α) Όπου Perceived_Riskx(α): ο εκτιμώμενος, από τον x, κίνδυνος που ενέχει η περίσταση α. Perceived_Competencex(y, α): η εκτίμηση του x για την ικανότητα του y. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 187

188 Για την εκτίμηση του κινδύνου ο ερευνητής στηρίζεται στον παράγοντα της πρότερης γνωριμίας του x με τον y. Σε περιπτώσεις όπου αυτή απουσιάζει προτείνει κάποια τυπική μέθοδο εκτίμησης κινδύνου (π.χ. θεωρία Bayes). Για την εκτίμηση της ικανότητας του y στηρίζεται στους παρακάτω παράγοντες: (α) την πρότερη γνωριμία του x με τον y, (β) την συμμετοχή του y σε οργανισμούς-συλλόγους επαγγελματιών που διέπονται από κώδικες δεοντολογίας σχετικούς με το επάγγελμα του y και (γ) την ύπαρξη νομικού πλαισίου. Ειδικά για τον (γ) παράγοντα στηρίζεται στην εργασία του Minsky σχετικά με τα συστήματα που κυβερνώνται από νόμους (law-governed systems), στην οποία αποδεικνύεται ότι συστήματα που δεν διαθέτουν νομικό πλαίσιο και μια οντότητα που τον επιβάλλει (enforcer) είναι ακατανόητα, απρόβλεπτα και επομένως όχι έμπιστα [MIN-91] Εμπιστοσύνη και προστασία δεδομένων Η παραπάνω διαπίστωση, είναι σημαντική για την παρούσα εργασία διότι στηρίζει την θέση ότι υπάρχει συσχέτιση μεταξύ εμπιστοσύνης και νομικού πλαισίου προστασίας δεδομένων και μιας Αρχής (authority) η οποία το ελέγχει και, τέλος, το επιβάλλει. Η σχέση αυτή δύναται να ερευνηθεί ακολουθώντας το παράδειγμα του λειτουργισμού (με εργαλεία τα μαθηματικά μοντέλα) και επιδρά στην μείωση του κατωφλιού συνεργασίας (Cooperation_Thresholdx(α)) μεταξύ x και y, καθώς αυξάνει την εκτίμηση του x για την ικανότητα του y (Perceived_Competencex(y, α)) δεδομένου ότι Cooperation_Threshold x(α) 0 όταν Perceived_Competence x(y, α) Κατ επέκταση μπορούμε να θεωρήσουμε ότι οι υπηρεσίες της ΥΠΔ, που αποτελούν το ψηφιακό ανάλογο των αρχών προστασίας δεδομένων (data protection principles) συνεισφέρουν στην μείωση του κατωφλιού συνεργασίας μεταξύ υποκειμένων και υπευθύνων επεξεργασίας. Ο Marsh εφάρμοσε τη θεωρία του στο χώρο της Κατανεμημένης Τεχνητής Νοημοσύνης με σκοπό να δημιουργήσει ένα μοντέλο βάση του οποίου ένας αυτόνομος αντιπρόσωπος μπορεί να αποφασίσει με ποιους άλλους (αντιπροσώπους) θα συνεργασθεί. Κατ' αυτή την έννοια, μπορούμε να υποθέσουμε ότι ένα τέτοιο μοντέλο δύναται να βρει εφαρμογή στο διαδίκτυο προάγοντας την συνεργασία μεταξύ ανθρώπων, χρησιμοποιώντας υπηρεσίες ΕΤΟ (θεωρείται ότι οι ΕΤΟ δρουν ως αντιπρόσωποι). Παρά τα μερικά προβλήματα που προκύπτουν από την εφαρμογή του παραπάνω μοντέλου (π.χ. το γινόμενο αρνητικών αριθμών στον τύπο 1.1 παράγει θετική τιμή για την εμπιστοσύνη), τα πειράματα προσομοίωσης έδειξαν ικανοποιητική προσαρμογή του μοντέλου στις πειραματικές μετρήσεις. Επιπλέον, εξαιτίας της εγγενούς ασάφειάς της και της ύπαρξης πολλών ορισμών της έννοιας της εμπιστοσύνης, η τυποποίηση μπορεί να οδηγήσει σε λαθεμένα συμπεράσματα δεδομένου ότι από ένα μαθηματικό τύπο, με πεπερασμένο σύνολο μεταβλητών, δύναται να παραλειφθούν χαρακτηριστικά και ιδιότητες που έχουν θεωρηθεί ως στατιστικώς ασήμαντα ενώ δεν είναι τέτοια. Σε κάθε περίπτωση, όμως η τυποποίηση αποτελεί ένα περιορισμένο μεν αλλά χρήσιμο εργαλείο για την μείωση Οικονομικό Πανεπιστήμιο Αθηνών Σελ 188

189 της ασάφειας και της αβεβαιότητας που υπάρχουν όταν ερευνώνται πολύπλοκα κοινωνικά φαινόμενα Εμπιστοσύνη και υπηρεσίες ΕΤΟ Η κρυπτογραφία δημόσιου κλειδιού και οι ψηφιακές υπογραφές αποτελούν τους ευρύτερα χρησιμοποιούμενους μηχανισμούς προστασίας της εμπιστευτικότητας και ακεραιότητας των πληροφοριών που διακινούνται στο διαδίκτυο. Επομένως, συνεισφέρουν στην μείωση της αίσθησης ανασφάλειας (ή κατ αναλογία στην αύξηση της αίσθησης ασφάλειας) κατά την διάρκεια επικοινωνίας χρηστών απευθείας (on line) υπηρεσιών όταν το επικοινωνιακό μέσο είναι το διαδίκτυο. Αυτό έχει σαν αποτέλεσμα την μείωση της τιμής του κατωφλιού συνεργασίας (βλ. εξίσωση 7.1) μεταξύ υποκειμένου και υπεύθυνου επεξεργασίας, δεδομένου ότι: Cooperation_Thresholdx(α) 0 όταν Perceived_Riskx(α) 0 Από τα παραπάνω μπορούμε να συνάγουμε το συμπέρασμα ότι οι ΕΤΟ, ως διαπιστευμένοι φορείς που παρέχουν υπηρεσίες διαχείρισης κλειδιών κρυπτογράφησης και ψηφιακών υπογραφών, συμβάλλουν στην μείωση της αίσθησης ανασφάλειας κατά την διάρκεια επικοινωνίας χρηστών απευθείας υπηρεσιών όταν το επικοινωνιακό μέσο είναι το διαδίκτυο. Στο υπόλοιπο του παρόντος κεφαλαίου, παρουσιάζεται λειτουργικό μοντέλο παροχής υπηρεσιών ΕΤΟ, κατάλληλο για την δημιουργία μιας αρχιτεκτονικής ΥΔΚ που θα χαρακτηρίζεται από ευελιξία, επεκτασιμότητα, δυνατότητα κλιμάκωσης και θα βασίζεται σε διεθνή πρότυπα. 7.2 Έμπιστες Τρίτες Οντότητες 29 Ως ΕΤΟ χαρακτηρίζουμε έναν αμερόληπτο διαπιστευμένο φορέα, ο οποίος απολαμβάνει επιχειρηματικής εμπιστοσύνης για μία ηλεκτρονική δοσοληψία, με βάση τεχνικά, νομικά και κανονιστικά χαρακτηριστικά ασφάλειας [ΓΚΡ-98]. Η ΕΤΟ παρέχει τεχνικά και νομικά αξιόπιστη παραγωγή διευκολύνσεων και ανεξάρτητων στοιχείων για μία ηλεκτρονική 29 Η έρευνα σχετικά με τις ΕΤΟ, χρηματοδοτήθηκε από την Ε.Ε στα πλαίσια του Ευρωπαϊκού Ερευνητκικού Προγράμματος KEYSTONE: European Cross Domain PKI Architecture. Τμήμα αυτής της έρευνας παρουσιάστηκε στο [ΛΕΚ-02]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 189

190 συναλλαγή, καθώς και για συναφείς διαδικασίες διαιτησίας. Οι υπηρεσίες που παρέχει διασφαλίζονται τεχνικά, νομικά και οικονομικά. Λόγω αυτών των χαρακτηριστικών τους, οι ΕΤΟ μπορούν να χρησιμοποιηθούν για την αξιόπιστη επίλυση διενέξεων, μεταξύ των οντοτήτων της τεχνολογικής διαδικτυακής ΥΠΔ, και την πραγματοποίηση συναλλαγών μεταξύ τους. Επιπλέον, οι ΕΤΟ ή οι αντιπρόσωποί τους παρέχουν ένα σύνολο επικοινωνιακών υπηρεσιών προστιθέμενης αξίας, διαθέσιμων στους χρήστες που επιθυμούν την αξιοπιστία των συναλλαγών τους στο Διαδίκτυο. Συνήθως, η αξιοπιστία είναι συνυφασμένη με την διασφάλιση, σε τεχνικό επίπεδο, της ακεραιότητας και εμπιστευτικότητας των διακινούμενων πληροφοριών. Όπως δείχθηκε στα προηγούμενα κεφάλαια, οι υπηρεσίες που προσφέρει μια ΕΤΟ, μπορούν να χρησιμοποιηθούν για την υποστήριξη των υπηρεσιών της ΥΠΔ. Η οργάνωση των ΕΤΟ παρουσιάζει υψηλό βαθμό πολυπλοκότητας. Χαρακτηριστικά παραδείγματα λειτουργιών υψηλής πολυπλοκότητας αποτελούν, μεταξύ άλλων, η χρήση κρυπτογραφικών τεχνικών και σχημάτων διαχείρισης κλειδιών. Ο παγκόσμιος ιστός που δημιουργείται από την ένωση των επί μέρους ΕΤΟ είναι γνωστός ως Υποδομή Δημοσίου Κλειδιού (ΥΔΚ). Σε διεθνή κλίμακα, σημαντικές δραστηριότητες λαμβάνονται από κυβερνήσεις, οργανισμούς και φορείς του εμπορίου, στην κατεύθυνση της υλοποίησης και ευρείας διάδοσης τεχνολογιών ΥΔΚ και στη διερεύνηση των αναγκών για επίλυση νομικών και κανονιστικών ζητημάτων που ανακύπτουν. Στην προηγούμενη παράγραφο, υπογραμμίστηκε η δυνατότητα των υπηρεσιών ΕΤΟ να υποστηρίξουν, εκτός της ασφάλειας και ακεραιότητας των δεδομένων, το υπόλοιπο των υπηρεσιών της ΥΠΔ. Από τη μελέτη όμως, των έως σήμερα ερευνητικών εργασιών και των εμπορικών υλοποιήσεων τους, προκύπτει ότι δεν μπορεί να αξιοποιηθεί αυτή η δυνατότητα για τους παρακάτω λόγους: 1. Οι υπηρεσίες ΕΤΟ που σχεδιάστηκαν ή υλοποιήθηκαν από ερευνητικά έργα και εμπορικές εταιρείες διαθέτουν ελάχιστες ή μηδενικές δυνατότητες αλληλεπίδρασης και συνεργασίας. Ως αποτέλεσμα, θέτονται σοβαροί περιορισμοί στην αξιοποίηση των υπηρεσιών από χρήστες που, μετακινούνται σε διαφορετικούς γεωγραφικούς ή επιχειρησιακούς τομείς, χρησιμοποιούν διαφορετικές εφαρμογές και συνεργάζονται με χρήστες οι οποίοι πιστοποιούνται από διαφορετική ΕΤΟ. 2. Οι ΕΤΟ λειτουργούν, κατά μείζονα λόγο, ως αρχές που εκδίδουν και διαχειρίζονται πιστοποιητικά. Έτσι παρατηρείται έλλειψη στην καταγραφή των οργανωτικών, αρχιτεκτονικών και λειτουργικών προϋποθέσεων που συνεπάγονται τη λειτουργία της ΕΤΟ, όχι μόνο ως διαχειρίστριες πιστοποιητικών αλλά και ως πάροχου υπηρεσιών ασφάλειας υψηλού επιπέδου, οι οποίες κατοχυρώνονται τεχνολογικά, ποιοτικά και νομικά. 3. Η εξασφάλιση της προστασίας δεδομένων ως υπηρεσία που πρέπει να παρέχεται από μια ΕΤΟ αναφέρεται σε λίγες έρευνες. Ακόμα όμως και σε αυτές, περιορίζεται μόνο στην Οικονομικό Πανεπιστήμιο Αθηνών Σελ 190

191 απόκρυψη των επικοινωνιών. Οι ελλείψεις αυτές καθιστούν ανεπαρκή τα υπάρχοντα μοντέλα παροχής υπηρεσιών ΕΤΟ για την λειτουργία τους μέσα στο πλαίσιο της ΥΠΔ. Για παράδειγμα, η λειτουργία της τριτεγγύησης ταυτότητας (βλ ) απαιτεί την ύπαρξη υπηρεσιών χρονοσήμανσης. Το υπάρχον πλαίσιο λειτουργίας των ΕΤΟ, δεν μπορεί να ικανοποιήσει αυτή την απαίτηση της ΥΠΔ. Επομένως, για την υποστήριξη των υπηρεσιών της ΥΠΔ πρέπει να εξεταστούν τα παραπάνω ζητήματα. Το πλαίσιο μελέτης τους, οριοθετείται από τους εξής όρους: διαλειτουργικότητα, υποστήριξη των υπηρεσιών της ΥΠΔ, ανοικτή αρχιτεκτονική και τεχνολογική κατοχύρωση ως βασικά χαρακτηριστικά μίας ΕΤΟ που δραστηριοποιείται στα πλαίσια μιας κοινότητας που ακολουθεί ένα συγκεκριμένο μοντέλο ιδιωτικότητας. Πιο συγκεκριμένα, αφορμή για την παρούσα έρευνα αποτέλεσαν οι παρακάτω διαπιστώσεις: 1. Υπάρχει έντονη ανάγκη σχεδίασης μίας ενοποιημένης, ανοικτής, κλιμακούμενης και επεκτάσιμης αρχιτεκτονικής για την ΥΔΚ, έτσι ώστε οι υπηρεσίες ασφάλειας και προστασίας δεδομένων να είναι δυνατό να χρησιμοποιηθούν από την διαδικτυακή τεχνολογική ΥΠΔ. Ένα τεχνικό πλαίσιο που θα έχει λάβει υπόψη του τις απαιτήσεις των χρηστών, που θα βασίζεται σε πρότυπα και σε ένα κοινό μοντέλο αναφοράς, συνεισφέρει προς την κατεύθυνση της διαλειτουργικότητας. 2. Τα σύγχρονα νομοθετικά κείμενα αφενός δίνουν έμφαση στην ύπαρξη διαλειτουργικότητας μεταξύ των ΕΤΟ και αφετέρου προωθούν την παροχή ολοκληρωμένων υπηρεσιών πιστοποίησης, εκτός της έκδοσης και διαχείρισης πιστοποιητικών, όπως υπηρεσίες καταλόγου, χρονοσήμανσης και καταχώρησης [ΕΚΣ-99]. Με τον τρόπο αυτό θα αντιμετωπισθούν οι απειλές εξαπάτησης που αναφέρθηκαν σε προηγούμενη παράγραφο. 3. Η αίσθηση ασφάλειας των οντοτήτων (ρόλων) της ΥΠΔ προς το πλαίσιο λειτουργίας της ΕΤΟ και τις υπηρεσίες της, θεωρείται σημαντικότερη από την τεχνολογική διασφάλιση των υπηρεσιών ασφάλειας. Η δημιουργία ενός ευρέως αποδεκτού οργανωτικού πλαισίου λειτουργίας μίας ΕΤΟ με κύριο χαρακτηριστικό τη διασφάλιση της ποιότητας και με στόχο την πλήρη ικανοποίηση των απαιτήσεων των οντοτήτων της ΥΠΔ, παρέχει εχέγγυα για την αύξηση της απαιτούμενης αίσθησης ασφάλειας. 4. Η ΕΤΟ απαιτείται να είναι και να θεωρείται ότι είναι από τα συναλλασσόμενα μέρη μία ανεξάρτητη έμπιστη αρχή ή φορέας που παρέχει ολοκληρωμένες αξιόπιστες υπηρεσίες λειτουργικά και νομικά κατοχυρωμένες. Είναι προφανές ότι για να εξασφαλιστούν αυτές οι ιδιότητες των υπηρεσιών απαιτείται η ανάπτυξη ενός κανονιστικού και ενός λειτουργικού πλαισίου. Η συγκρότηση ενός ολοκληρωμένου λειτουργικού πλαισίου προσδιορίζει τη δομή, τις αλληλεπιδράσεις, τις διεργασίες και την τεχνολογία που συνιστούν τις παρεχόμενες υπηρεσίες. Προς την ίδια κατεύθυνση της λειτουργικής κατοχύρωσης, απαιτείται η ύπαρξη αυτόνομων πολιτικών ασφάλειας και πιστοποίησης. Το κανονιστικό πλαίσιο λειτουργίας αφορά σε νομικά ζητήματα που καθορίζουν δικαιώματα, υποχρεώσεις και όρια ευθύνης της ΕΤΟ και δεν εμπίπτει στο αντικείμενο μελέτης της παρούσας διατριβής. Η επίδραση όμως Οικονομικό Πανεπιστήμιο Αθηνών Σελ 191

192 του πλαισίου προστασίας δεδομένων στη λειτουργία της ΕΤΟ, αποτελεί αντικείμενο της διατριβής. 5. Η προστασία των προσωπικών δεδομένων που διατηρούνται από τις ΕΤΟ και η εναρμόνιση τους με το κανονιστικό πλαίσιο, είναι κοινωνική απαίτηση. Με τον τρόπο αυτό θα αντιμετωπισθεί η απειλή της παραβίασης της ιδιωτικότητας του ατόμου που προέρχεται από την αντιστοίχιση της ταυτότητάς του με ένα πιστοποιητικό. Οι παραπάνω ανάγκες καλύπτονται με τη δημιουργία ενός κοινά αποδεκτού, σε διεθνές επίπεδο, λειτουργικού μοντέλου κατάλληλου για την ενσωμάτωση των υπηρεσιών ΕΤΟ στις ΤΠΕ που θα αποτελεί την βάση για την παροχή των υπηρεσιών της ΥΠΔ. 7.3 Ενσωμάτωση υπηρεσιών ΕΤΟ στις ΤΠΕ Η ανάλυση που ακολουθεί, στηρίζεται στην έρευνα που έχει διεξαχθεί στα πλαίσια του Ευρωπαϊκού ερευνητικού προγράμματος, KEYSTONE: European Cross Domain PKI Architecture. Τμήμα αυτής της έρευνας έχει δημοσιευθεί [ΛΕΚ-02], [GRI-01] και έχει προταθεί για την προστασία των ευαίσθητων πληροφοριών που διακινούνται σε ένα κατανεμημένο ιατρικό πληροφοριακό σύστημα [GRI-01]. Στα πλαίσια της παρούσας διατριβής και για να αποφευχθεί η κόπωση του αναγνώστη, παρουσιάζονται μόνο τα συνοπτικά αποτελέσματα της έρευνας αυτής ενώ παράλληλα αναλύονται εκτεταμένα τα σημεία που σχετίζονται με την υποστήριξη των υπηρεσιών της ΥΠΔ Απαιτήσεις χρήστη Με στόχο να δημιουργηθεί μια ΥΔΚ ευρείας εφαρμογής, μελετήθηκαν οι απαιτήσεις χρήσης για υπηρεσίες ΕΤΟ έτσι όπως προσδιορίσθηκαν σε διάφορα ερευνητικά έργα που χρηματοδοτήθηκαν από την Ευρωπαϊκή Ένωση κατά τα έτη Τα έργα που εξετάστηκαν, είτε ασχολούνται άμεσα με θέματα ΥΔΚ, είτε αναφέρονται σε θέματα ασφάλειας στους τομείς της υγείας, των δημόσιων μεταφορών, της ναυτιλίας και των ΠΣ ευρείας πρόσβασης. Οι βασικές απαιτήσεις ασφάλειας, όπως η ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητα της πληροφορίας είναι κοινές σε όλους τους προαναφερόμενους τομείς. Η σημαντικότητα όμως των επιμέρους απαιτήσεων είναι διαφορετική, ενώ εντοπίστηκαν αρκετές εξειδικευμένες απαιτήσεις σε κάθε έργο. Τα περισσότερα έργα καθορίζουν ως ελάχιστο σύνολο υπηρεσιών ασφάλειας την αυθεντικοποίηση των χρηστών, την ακεραιότητα, ιδιωτικότητα και εμπιστευτικότητα των μηνυμάτων, τη μη-αποποίηση λήψης ή παραλαβής ενός μηνύματος και τη διαθεσιμότητα των προσφερόμενων υπηρεσιών. Μερικά θέματα που χαρακτηρίζονται ως σημαντικά σε κάποια από τα έργα είναι η ανωνυμία των συμμετεχόντων, η χρονοσήμανση, η ευκολία χρήσης, η μοναδικότητα των εγγράφων, η μεταφορά της ιδιοκτησίας, η προστασία από παρενοχλήσεις και διάφορα νομικά θέματα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 192

193 Παρόλο που οι προτεινόμενες λύσεις διασφαλίζουν ουσιαστική υποστήριξη στην αντιμετώπιση των κοινών απειλών ασφάλειας στους τομείς τους, δεν κάνουν καμία πρόβλεψη για δια-επιχειρησιακή λειτουργία, ενώ δεν υπάρχει ένα κοινό μοντέλο αναφοράς που να στηρίζεται σε κοινά αποδεκτά πρότυπα. Ο συνδυασμός και η αντιπαραβολή των αποτελεσμάτων των ευρωπαϊκών ερευνητικών έργων συνεισφέρει στο να καθοριστούν συνολικά οι απαιτήσεις χρήσης καθώς και στον στόχο αυτής της διατριβής να αναπτυχθεί ένα κοινό μοντέλο αναφοράς με κοινή ορολογία που μπορεί να χρησιμοποιηθεί σε κοινότητες που διέπονται από διαφορετικά μοντέλα ιδιωτικότητας (βλ ). Τα έργα τα οποία μελετήθηκαν περιλαμβάνουν τα [THI-95], [TRU-96], [TES-95], [BOL-95] [EBR-95], [EAG-97] και [MUL-93]. Συνοψίζοντας τις απαιτήσεις χρήσης που προσδιορίστηκαν, διακρίνονται έξι βασικές κατηγορίες, ενώ σε κάποιες από τις απαιτήσεις, όπως η διαχείριση κλειδιών, η κατηγοριοποίηση μπορεί να προχωρήσει σε ανάλυση χαμηλότερου επιπέδου, όπως διαγράφεται στο (Σχήμα 25). Οι απαιτήσεις ασφάλειας αφορούν στη προστασία των συναλλαγών και γενικά των αποθηκευμένων ή των διακινούμενων δεδομένων από τις κοινές απειλές (βλ. 2.3). Οι λειτουργικές απαιτήσεις έχουν να κάνουν με την ανάγκη απρόσκοπτης λειτουργίας των υπηρεσιών ΕΤΟ σε ευρύ γεωγραφικό, επιχειρησιακό και κοινωνικό πεδίο. Οι ειδικές απαιτήσεις καθορίζουν τις υπηρεσίες προστιθέμενης αξίας που θα πρέπει να παρέχονται, ώστε να διευρύνεται η χρηστικότητα της ΥΔΚ σε ειδικές εφαρμογές, σε τομείς όπως το ηλεκτρονικό εμπόριο, οι μεταφορές, η ναυτιλία και το ηλεκτρονικό χρήμα. Οι οργανωτικές απαιτήσεις έχουν να κάνουν με την ίδια τη λειτουργία, τη διαχείριση και την οργανωτική δομή της ΕΤΟ. Τέλος οι κοινωνικές απαιτήσεις απορρέουν από κοινωνικές αξίες και θεσμούς, εθνικά νομοθετικά πλαίσια, κανονισμούς, επιχειρησιακές πρακτικές και ηθικές αρχές. Στην κατηγορία αυτή ανήκουν και οι απαιτήσεις για προστασία προσωπικών δεδομένων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 193

194 Σχήμα 25: Ταξινόμηση απαιτήσεων χρήσης [ΛΕΚ-02] Επιπλέον, στα πλαίσια της παρούσας διατριβής, υπάρχει η απαίτηση της υποστήριξης των υπηρεσιών της τεχνολογικής διαδικτυακής ΥΠΔ έτσι όπως παρουσιάσθηκαν στα προηγούμενα κεφάλαια Υπηρεσίες ΕΤΟ Αφού αναζητήθηκαν και προσδιορίστηκαν οι απαιτήσεις χρήσης, επόμενος στόχος είναι να αναγνωρισθούν και να περιγραφούν λεπτομερειακά οι υπηρεσίες που παρέχονται από την ΕΤΟ για να ικανοποιήσουν τις απαιτήσεις. Η έννοια της υπηρεσίας είναι ευρύτερη από την απλή δοσοληψία μεταξύ ΕΤΟ και πελάτη και περιλαμβάνει και τις δραστηριότητες που σχετίζονται με την εσωτερική δομή του οργανισμού Αντιστοίχιση αναγκών και υπηρεσιών Οι υπηρεσίες που προσδιορίστηκαν ως απαραίτητες για το ολοκληρωμένο πλαίσιο λειτουργίας της ΕΤΟ περιγράφονται και αναλύονται σε επιμέρους γενικευμένες λειτουργικές μονάδες στα [ΛΕΚ-02], [GRI-01], [GRI-00]. Πολλές από τις υπηρεσίες ΕΤΟ εμφανίζονται στη βιβλιογραφία ή σε υπάρχουσες υλοποιήσεις ως ξεχωριστές αυτόνομες και αυτοδιοικούμενες οντότητες. Μπορούμε να συναντήσουμε μία Αρχή Καταχώρησης, μία Αρχή Πιστοποίησης, μία Αρχή Χρονοσήμανσης ή μία Αρχή Διαχείρισης Δικαιωμάτων, ως αυτόνομες οντότητες. Σε κάθε περίπτωση όμως η λειτουργία των οντοτήτων αυτών περιορίζεται από τις πολιτικές που εφαρμόζονται συνολικά στο πεδίο δραστηριότητάς τους και εξαρτώνται διοικητικά από μία κοινή διαχείριση υψηλού επιπέδου. Στην παρούσα διατριβή υιοθετούμε τη λογική της κοινής διοίκησης για μία ΕΤΟ που παρέχει διαφορετικές υπηρεσίες. Η λειτουργική αυτονομία των υπηρεσιών εξασφαλίζεται αφενός με τη σχεδίαση Οικονομικό Πανεπιστήμιο Αθηνών Σελ 194

195 της κατάλληλης λειτουργικής αρχιτεκτονικής (βλ ) και αφετέρου με τον καθορισμό των ρόλων (βλ ). Η προσέγγιση αυτή δεν είναι περιοριστική και επιτρέπει την υλοποίηση μίας ΕΤΟ με μία μικτή αρχιτεκτονική που περιλαμβάνει ταυτόχρονα έναν αριθμό υπηρεσιών και έναν αριθμό αυτόνομων οντοτήτων. Ο Πίνακας 19 αντιστοιχίζει τις απαιτήσεις που προσδιορίστηκαν με τις υπηρεσίες που πρέπει να προσφέρει η ΕΤΟ. Στα πλαίσια της παρούσας διατριβής ενδιαφέρει περισσότερο η υποστήριξη της ΥΠΔ που μπορούν να προσφέρουν οι υπηρεσίες που προσδιορίστηκαν παρά η αναλυτική περιγραφή των υπηρεσιών αυτών. Για το λόγο αυτό δεν γίνεται περαιτέρω ανάλυση των παραπάνω υπηρεσιών αλλά περιγράφεται η συσχέτισή τους με τις υπηρεσίες της ΥΠΔ. Τέλος, θα αναλυθεί η διαλειτουργικότητα, εξαιτίας του γεγονότος ότι η έλλειψη της μεταξύ των ΕΤΟ είναι ένα από τα σημαντικά προβλήματα που διαπιστώθηκαν (βλ ) και η επίτευξή της αποτελεί βασικό χαρακτηριστικό της ΥΔΚ που προτείνεται στην παρούσα διατριβή. Υπηρεσίες ΕΤΟ Απαιτήσεις Καταχώρηση Ψηφιακές υπογραφές Κρυπτογράφηση Χρονοσήμανση Διαχείριση κλειδιών Διαχείριση πιστοποιητικών Αυθεντικοποίηση Ακεραιότητα Εμπιστευτικότητα Μη αποποίηση αποστολής Μη αποποίηση λήψης Έλεγχος πρόσβασης Διαθεσιμότητα Ευκολία χρήσης + + Περιαγωγή Διαλειτουργικότητα Διαχείριση κλειδιών Διαχείριση πιστοποιητικών Έλεγχος κατάστασης πιστοποιητικού Αναζήτηση πληροφοριών Συμβατική επικοινωνία Τεχνική υποστήριξη Υποστήριξη υπηρεσιών ΥΠΔ Ανωνυμία Χρονοσήμανση Μοναδικότητα Απόδειξη δικαιούχου Προστασία από κατάχρηση Απαιτήσεις λογισμικού Αρχειοθέτηση Οικονομικό Πανεπιστήμιο Αθηνών Σελ 195 Καταγραφή ημερολογίου Υπηρεσίες ευρετηρίου Παροχή αποδείξεων Εξουσιοδότηση Διαλειτουργικότητα Υπηρεσίες συμβολαιογράφου Διαχείριση συστημάτων Διοίκηση Περιοδικός έλεγχος Διασφάλιση ποιότητας Υποστήριξη

196 Καθορισμός πολιτικών Εδραίωση εμπιστοσύνης Νομική κατοχύρωση Επίλυση διαφορών Προστασία προσωπικών δεδομένων Διαλειτουργικότητα Πίνακας 19: Αντιστοίχιση υπηρεσιών ΕΤΟ με απαιτήσεις χρηστών Οι ΕΤΟ λειτουργούν ως ανεξάρτητες διοικητικά οντότητες οι οποίες παρέχουν υπηρεσίες ασφάλειας σε ένα σύνολο στοιχείων, όπως οι φυσικές οντότητες ή τα ΠΣ. Το σύνολο αυτό των στοιχείων στα οποία απευθύνεται και τα οποία πιστοποιεί η ΕΤΟ, αποτελεί το πεδίο δραστηριότητας ή γενικότερα το πεδίο ασφάλειάς της εντός του οποίου επιβάλει την πολιτικές ασφάλειας που υιοθετεί. Για την επιτυχή λειτουργία μιας παγκόσμιας ΥΔΚ, απαιτείται η ένωση των υπηρεσιών που προσφέρει κάθε διοικητικά ανεξάρτητη ΕΤΟ εντός του πεδίου ασφαλείας της. Τέλος, η ύπαρξη διαλειτουργικότητας μεταξύ των ΕΤΟ είναι επιταγή της νομοθεσίας σχετικά με τις ηλεκτρονικές υπογραφές [ΕΚΣ-99]. Το σενάριο δύο συναλλασσόμενες οντότητες να ανήκουν στο πεδίο ασφάλειας της ίδιας ΕΤΟ είναι υπαρκτό, αλλά αποτελεί ένα μόνο ποσοστό της πραγματικότητας. Η χρήση των υπηρεσιών ΕΤΟ σε συναλλαγές όπου εμπλέκονται οντότητες από διαφορετικά πεδία είναι μία από τις βασικότερες απαιτήσεις. Σε αυτή την περίπτωση έχουμε διοικητικά αυτόνομες ΕΤΟ, κάθε μία με τη δική της πολιτική ασφάλειας, οι οποίες καλούνται να συνεργαστούν μεταξύ τους. Η ζητούμενη διαλειτουργικότητα (interoperability) των ΕΤΟ μπορεί να οριστεί ως: Η δυνατότητα δύο ή περισσότερων ΕΤΟ να παρέχουν και να δέχονται υπηρεσίες σε/από άλλες ΕΤΟ και να χρησιμοποιούν αυτές τις υπηρεσίες, ώστε να συνεργαστούν αποτελεσματικά για την παροχή υπηρεσιών ασφάλειας σε όλα τα στοιχεία της ένωσης των πεδίων δραστηριότητάς τους. 30 Ολες οι υπηρεσίες της ΕΤΟ συνεισφέρουν στην προστασία των προσωπικών δεδομένων των υπολοίπων μελών της κοινότητας. Σε αυτό το σημείο όμως, η προστασία προωπικών δεδομένων αναφέρεται στα προσωπικά δεδομένα που διατηρεί η ίδια η ΕΤΟ (κλειδιά, πιστοποιηιτικά κ.λ.π)., και το ρόλο της μέσα στο σύστημα προστασίας προσωπικών δεδομένων ως υπεύθυνου επεξεργασίας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 196

197 Η επίτευξη της διαλειτουργικότητας εξαρτάται από τη δυνατότητα των οργανισμών να παρέχουν ο ένας στον άλλο έγκυρες πληροφορίες και χρήσιμες υπηρεσίες στον κατάλληλο χρόνο. Όμως, οι πολιτικές ασφάλειας και τα μέσα προστασίας που τις υλοποιούν σε αρκετές περιπτώσεις παρεμποδίζουν αυτήν την ανταλλαγή και δυσχεραίνουν τη συνεργασία των ΠΣ τους. Η αυξημένη αυτονομία των ΕΤΟ που συνθέτουν την ΥΔΚ έχει ως συνέπεια την εμφάνιση ιδιαίτερων προβλημάτων που σχετίζονται με τη διαλειτουργικότητα των υπηρεσιών που παρέχουν. Τα βασικά προβλήματα της διαλειτουργικότητας των ΕΤΟ σχετίζονται με τις ιδιότητες της μεταβατικότητας και επιλεκτικότητας της εμπιστοσύνης (βλ. Error! Reference source not found.) και περιλαμβάνουν: 1. Δυσκολίες που παρουσιάζονται από την εφαρμογή διαφορετικών πολιτικών ασφάλειας 2. Την εδραίωση της εμπιστοσύνης μεταξύ χρηστών που ανήκουν σε διαφορετικά πεδία ΕΤΟ 3. Τεχνολογικές ασυμβατότητες [BUR-97]. Σχετικά με το πρώτο ζήτημα, η ανάλυση της διαλειτουργικότητας των υπηρεσιών ΕΤΟ στη γενική περίπτωση, ανεξάρτητα από συγκεκριμένη αρχιτεκτονική, προϋποθέτει την ανάλυση των σχέσεων μεταξύ των πεδίων ασφάλειας και των πολιτικών ασφάλειάς τους αντίστοιχα. Έτσι όταν πρόκειται να παρασχεθεί μία υπηρεσία ΕΤΟ όπου εμπλέκονται οντότητες από δύο διαφορετικά πεδία ασφάλειας Α και Β, τα οποία ανήκουν σε δύο διαφορετικές ΕΤΟ, ανακύπτουν οι παρακάτω καταστάσεις [ΓΚΡ-98]: (α) το πεδίο ασφάλειας Α είναι ανεξάρτητο από το πεδίο ασφάλειας Β, (β) το πεδίο ασφάλειας Α είναι υποπεδίο (sub-domain) του πεδίου ασφάλειας Β ή ισοδύναμα το πεδίο ασφάλειας Β είναι υπερπεδίο (super-domain) του πεδίου ασφάλειας Α και (γ) το πεδίο ασφάλειας Α συσχετίζεται με το πεδίο ασφάλειας Β μέσω ενός πεδίου Γ, το οποίο περιλαμβάνει κάποια ή όλα τα στοιχεία των συσχετισμένων (associated) πεδίων Α και Β. Η σύνθεση των υπηρεσιών ΕΤΟ, εκτός από τη σύνθεση των πεδίων ασφάλειας, οδηγεί και στη σύνθεση των αντίστοιχων πολιτικών ασφάλειας οι οποίες τηρούνται από τις εμπλεκόμενες ΕΤΟ. Η τελική σύνθεση των πολιτικών ασφάλειας αποτελείται από τις επιμέρους πολιτικές και από την πολιτική ασφαλούς αλληλεπίδρασης, η οποία θέτει τους κανόνες της σύνθεσης. Οι επιμέρους πολιτικές ασφάλειας καθορίζονται από τις αντίστοιχες ΕΤΟ με βάση τους κανόνες που θέτονται από την υψηλότερου επιπέδου μεταπολιτική ασφάλειας. Η περαιτέρω ανάλυση των σχετικών θεμάτων ξεφεύγει από τα πλαίσια της συγκεκριμένης διατριβής και ο αναγνώστης μπορεί να αναζητήσει περισσότερες πληροφορίες στα [ΚΟΚ-00], [ΛΕΚ-02]. Η πολιτική ασφαλούς αλληλεπίδρασης τηρείται από το λειτουργικό ρόλο που είναι υπεύθυνος για τη διαλειτουργικότητα των υπηρεσιών. Σχετικά με το δεύτερο ζήτημα, η αμοιβαία εμπιστοσύνη πρέπει να εξακριβώνεται και να διασφαλίζεται από τα δύο μέρη ή να προκύπτει ως αποτέλεσμα αποδοχής συγκεκριμένων τεχνικών. Οι πιθανές σχέσεις εμπιστοσύνης μεταξύ οντοτήτων που συμμετέχουν στην ΥΔΚ ονομάζονται αρχιτεκτονικές εμπιστοσύνης ή τοπολογίες πιστοποίησης. Βασικές για την κατανόηση των διαφορετικών αρχιτεκτονικών εμπιστοσύνης είναι οι έννοιες της αλυσίδας εμπιστοσύνης και του μονοπατιού πιστοποίησης. Η πρώτη αναφέρεται στην αδιάρρηκτη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 197

198 σχέση εμπιστοσύνης που ξεκινά από την ΕΤΟ με την οποία η οντότητα έχει αρχικά συμβληθεί και καταλήγει στο πιστοποιητικό του οποίου η εγκυρότητα πρέπει να επικυρωθεί. Η δεύτερη σχετίζεται με την διάσχιση της λίστας πιστοποιητικών που ξεκινά από την ΕΤΟ την οποία a priori εμπιστεύεται μια οντότητα και καταλήγει στην ΕΤΟ που έχει εκδώσει το πιστοποιητικό του οποίου ζητείται να επικυρωθεί η εγκυρότητα. Όλες οι αρχιτεκτονικές πιστοποίησης αναφέρονται στους εναλλακτικούς τρόπους με τους οποίους υποστηρίζονται αυτές οι δύο έννοιες, παρουσιάζουν διαφορετικά πλεονεκτήματα και μειονεκτήματα και περιλαμβάνουν τις εξής σχέσεις εμπιστοσύνης [ΛΕΚ-02]: (1). Ομοπάτρια (2). Διμερής (3). Ανεξάρτητες ΕΤΟ (4). Έμπιστου Μεσολαβητή (5). Δια-πιστοποίηση (6). Ιεραρχία, (7). Ιεραρχία με χρήση αντίστροφων πιστοποιητικών και (8) Μοντέλο προσανατολισμένου γράφου. Σχετικά με το τρίτο ζήτημα, η ύπαρξη προτύπων είναι καθοριστικής σημασίας. Τα σημαντικότερα από αυτά τα πρότυπα παράγονται από τον Διεθνή Οργανισμό Προτυποποίησης (International Standards Organisation - ISO) και το Internet Engineering Task Force (IETF) που δέχεται και προτείνει προς αποδοχή πρότυπα με τη μορφή Request For Comments (RFCs). Οι τεχνολογικές ασυμβατότητες αντιμετωπίζονται με την εφαρμογή ενός κοινού μοντέλου αναφοράς και ειδικότερα με την αρχιτεκτονική υπηρεσιών που στηρίζεται σε πρότυπα (βλ ). Επιπλέον, των παραπάνω, υπάρχουν και άλλοι παράγοντες που σχετίζονται με την διαλειτουργικότητα των ΕΤΟ. Συνοπτικά αυτοί είναι: (α) το νομικό πλαίσιο λειτουργίας των ΕΤΟ (β) η ύπαρξη πολυγλωσσίας των υπηρεσιών των ΕΤΟ και (γ) τα μέσα που χρησιμοποιούνται για την αποθήκευση του ιδιωτικού κλειδιού κρυπτογράφησης. Σε κάθε περίπτωση και ανεξαρτήτως των προβλημάτων διαλειτουργικότητας πρέπει να διατηρείται η μεταβατικότητα της απευθείας εμπιστοσύνης με κάποιους περιορισμούς (βλ. 0). Συγκεκριμένα ένας γενικός κανόνας που ορίζει ότι ένας χρήστης που εμπιστεύεται μία ΕΤΟ Α, μπορεί να εμπιστεύεται και την ΕΤΟ Β που υποδεικνύεται από την ΕΤΟ Α, ισχύει όταν [LEK-02]: Η ΕΤΟ Α παρέχει στον χρήστη τους απαραίτητους μηχανισμούς και πληροφορίες, έτσι ώστε να μπορεί να επιβεβαιωθεί και να τεκμηριωθεί κάθε στιγμή η σχέση εμπιστοσύνης των ΕΤΟ Α και Β. Η μεταβατικότητα της εμπιστοσύνης προτείνεται αλλά δεν επιβάλλεται. Η τελική απόφαση για το εάν ο χρήστης εμπιστεύεται την ΕΤΟ Β αφήνεται στην επιλογή του. Η μεταβατικότητα δεν μπορεί να έχει απεριόριστα βήματα. Ο μέγιστος επιτρεπόμενος αριθμός των ΕΤΟ κατά μήκος των οποίων μεταφέρεται η εμπιστοσύνη θα πρέπει να καθορίζεται και να διατηρείται μικρός. Οι πολιτικές που υιοθετούνται από τις δύο ΕΤΟ είναι συμβατές ή προβλέπονται μηχανισμοί επίλυσης των συγκρούσεων που πιθανά θα προκύψουν. Τέλος είναι επιθυμητό να ισχύει γενικά η ιδιότητα της επιλεκτικότητας της απευθείας εμπιστοσύνης. Η εμπιστοσύνη προς την ΕΤΟ θα πρέπει να αφορά σε συγκεκριμένες αυτόνομες δραστηριότητες, όπως στην έκδοση πιστοποιητικών, στη διαχείριση κλειδιών ή στη χρονοσήμανση. Ο όρος εξουσιοδοτημένη οντότητα που συναντάται συχνά στη θέση της Οικονομικό Πανεπιστήμιο Αθηνών Σελ 198

199 έμπιστης οντότητας, υποδεικνύει αυτόν ακριβώς το διαχωρισμό της εμπιστοσύνης για συγκεκριμένα ζητήματα. Αντίστοιχα, η κατάρρευση της εμπιστοσύνης για μία από τις δραστηριότητες δεν πρέπει να επιφέρει συνολική απώλεια της εμπιστοσύνης. Οι περιορισμοί αυτοί θα τίθενται σε λειτουργία κατά τη διάρκεια της διαδικασίας επικύρωσης των αλυσίδων πιστοποιητικών και μπορούν να καταγράφονται σαφώς με τη χρήση επιπλέον πεδίων - επεκτάσεων των πιστοποιητικών που υποδηλώνουν σαφείς πολιτικές. Παραδείγματα τέτοιων περιορισμών αποτελούν [LEK-02]: Περιορισμός του μήκους της αλυσίδας: Για παράδειγμα μια ΕΤΟ μπορεί να περιορίσει την επέκταση της εμπιστοσύνης που μεταβιβάζεται σε άλλες ΕΤΟ προσδιορίζοντας σε όλα τα δια-πιστοποιητικά που εκδίδει ένα συγκεκριμένο όριο βημάτων μεταβίβασης της εμπιστοσύνης. Περιορισμός των πεδίων ασφάλειας: Μια ΕΤΟ μπορεί να προσδιορίσει ένα σύνολο από άλλες ΕΤΟ τις οποίες θεωρεί ως έμπιστες σε σχέση με ένα δια-πιστοποιητικό. Η ΕΤΟ μπορεί να απαιτήσει όλες οι ΕΤΟ της αλυσίδας πιστοποίησης να ανήκουν στο συγκεκριμένο σύνολο προκειμένου να γίνει αποδεκτό το πιστοποιητικό. Περιορισμός στην συμβατότητα πολιτικών: Όταν μια ΕΤΟ θεωρήσει την συμβατότητα της πολιτικής ασφάλειας που ακολουθεί ως κρίσιμου παράγοντα για την μεταβίβαση της εμπιστοσύνης, μπορεί να περιορίσει την μεταβατικότητά της προς άλλες ΕΤΟ που ακολουθούν πολιτικές ασφάλειας ασύμβατες με την δική της. Η διαλειτουργικότητα αναφέρεται τόσο στις σχέσεις μεταξύ των διαφορετικών ΕΤΟ όσο και μεταξύ των οντοτήτων της τεχνολογικής διαδικτυακής ΥΠΔ. Οι σχέσεις αυτές καθώς και οι ρόλοι που αναπτύσσονται για την λειτουργία της ΕΤΟ αποτελούν το μοντέλο αναφοράς της ΕΤΟ και περιγράφονται στην επόμενη παράγραφο Μοντέλο αναφοράς Οι θεμελιώδεις έννοιες ενός μοντέλου αναφοράς είναι οι ρόλοι (δρώντες) και οι σχέσεις (δράσεις) μεταξύ των ρόλων. Δρώντες είναι οι οντότητες που εμπλέκονται στα μοντελοποιημένα συμβάντα και δράσεις είναι οι πράξεις που εκτελούν. Στην περίπτωση της ΕΤΟ μπορούμε να διακρίνουμε την εμπλοκή ενός ή περισσότερων χρηστών και ενός ή περισσότερων ΕΤΟ. Οι δραστηριότητες που εκτελούν στη γενική περίπτωση μπορούν να ταξινομηθούν ανάλογα με τις οντότητες που εμπλέκονται και να ονομαστούν συναλλαγές, υποστήριξη, συνεργασία και διαχείριση. Συνεπώς στη γενική περίπτωση διακρίνονται τα παρακάτω: Δρώντες είναι: (α) το προσωπικό της ΕΤΟ που εξυπηρετεί συγκεκριμένους ρόλους και (β) οι χρήστες των υπηρεσιών ΕΤΟ. Δράσεις είναι: (α) συναλλαγή (χρήστης χρήστης) (β) υποστήριξη (χρήστης ΕΤΟ) (γ) συνεργασία (ΕΤΟ ΕΤΟ) και (δ) Διαχείριση (προσωπικό ΕΤΟ). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 199

200 Βασικός άξονας στη σχεδίαση του μοντέλου πρέπει να είναι το χαρακτηριστικό της κλιμάκωσης. Το κλειδί προς αυτή την κατεύθυνση είναι η έλλειψη περιορισμών στις τέσσερις κατηγορίες δράσεων και ειδικά στη στην κατηγορία που ονομάστηκε Συνεργασία. Η δημιουργία ενός αφαιρετικού μοντέλου αναφοράς για τη λειτουργία της ΕΤΟ μέσα στην ΥΔΚ, πρέπει αφενός να μπορεί να αντιστοιχηθεί στην έως τώρα μελέτη του αντικειμένου, που γίνεται στην παρούσα και σε προηγούμενες ερευνητικές εργασίες, και αφετέρου να αποτελέσει τη βάση ενός κοινού σημείου αναφοράς, που διευκολύνει την παραγωγή μίας λειτουργικής αρχιτεκτονικής για τα στοιχεία της ΕΤΟ. Στο μοντέλο αυτό, φαίνεται η λειτουργική θέση των δρώντων οντοτήτων και οι αλληλεπιδράσεις τους, δηλαδή οι δράσεις, όπως αυτές ορίστηκαν στην προηγούμενη παράγραφο. Οι βασικές ιδιότητες που πρέπει να χαρακτηρίζουν το μοντέλο αυτό είναι οι εξής: υποστήριξη των υπηρεσιών της ΥΠΔ. Η υποστήριξη των υπηρεσιών της ΥΠΔ μπορεί να γίνει με την τροποποίηση του τρόπου λειτουργίας των υπηρεσιών, που εμπλέκονται στην υποστήριξη της ΥΠΔ, της ΕΤΟ σε σχέση με τον τρόπο που παρουσιάζονται σε προηγούμενες μελέτες. ευελιξία. Η ευελιξία ενός μοντέλου εξαρτάται από το βαθμό αφαίρεσης στη σχεδίασή του. Μεγάλος βαθμός αφαίρεσης σημαίνει ευκολότερη προσαρμογή του μοντέλου σε υπάρχουσες και μελλοντικές απαιτήσεις. κλιμάκωση. Η έλλειψη περιορισμών και εξαιρέσεων στο μοντέλο συνεπάγεται τη συμμετοχή απεριόριστου αριθμού δρώντων. χρησιμότητα. Η εύκολη αντιστοίχιση του μοντέλου σε υπάρχουσες υλοποιήσεις και ερευνητικές εργασίες το καθιστά χρήσιμο. επεκτασιμότητα.: Το μοντέλο μπορεί να χαρακτηριστεί ως επεκτάσιμο όταν υπάρχει η δυνατότητα προσθήκης νέων λειτουργιών χωρίς να απαιτείται παρέμβαση στο ίδιο το μοντέλο, αλλά μόνο στη σχεδίαση της λειτουργικής αρχιτεκτονικής. προτυποποίηση. Η ύπαρξη προτύπων επιτυγχάνεται με την παρεμβολή διεπαφών σε κάθε επίπεδο αλληλεπίδρασης και είναι βασική απαίτηση για την επεκτασιμότητα του μοντέλου και τη διαλειτουργικότητα των υπηρεσιών. Με βάση παραπάνω κριτήρια καταλήγουμε σε ένα μοντέλο (Σχήμα 26) όπου: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 200

201 Σχήμα 26: Αφαιρετικό μοντέλο αναφοράς για την ΥΔΚ (1) οι χρήστες μπορεί να είναι ένα ΠΣ, μία επιχείρηση ή μεμονωμένοι και εκτελούν μεταξύ τους συναλλαγές (2) επικοινωνούν με τις οικείες προς αυτούς ΕΤΟ μέσω διεπαφών, έτσι ώστε να υποστηριχθεί η προσθήκη ιδιοτήτων ασφάλειας στις συναλλαγές τους, (3) οι ΕΤΟ συνεργάζονται μεταξύ τους μέσω ειδικών διεπαφών, υποστηρίζοντας με αυτόν τον τρόπο τις ασφαλείς συναλλαγές μεταξύ των χρηστών τους και (4) στο εσωτερικό των ΕΤΟ δρουν συγκεκριμένοι ρόλοι, οι οποίοι αλληλεπιδρούν μεταξύ τους για την παροχή υπηρεσιών και για διαχειριστικούς λόγους Καθορισμός και περιγραφή των ρόλων Οι δραστηριότητες που εκτελεί μία ΕΤΟ για την παροχή υπηρεσιών αλλά και για την εσωτερική διοίκηση και οργάνωση, αναθέτονται σε συγκεκριμένους ρόλους. Ο ρόλος είναι μία ιδεατή οντότητα που κατέχει λειτουργική θέση στο εσωτερικό της ΕΤΟ και εκτελεί μία ή περισσότερες κατηγορίες δραστηριοτήτων που του έχουν ανατεθεί. Ένας ρόλος δεν ταυτίζεται μονοσήμαντα με φυσικά πρόσωπα, αλλά υπάρχει μία σχέση Ν-Ν. Ένα φυσικό πρόσωπο μπορεί να διαδραματίζει πολλούς ρόλους, ενώ ένας ρόλος μπορεί να αντιστοιχεί σε μία ομάδα ανθρώπων. Οι δραστηριότητες που εκτελεί ένας ρόλος είναι ομάδες προκαθορισμένων εργασιών, οι οποίες, πιθανότατα σε συνεργασία με άλλες οντότητες και ρόλους, παρέχουν έμπιστες υπηρεσίες σε ανοικτά κατανεμημένα συστήματα. Ο διαχωρισμός των ρόλων γίνεται με κριτήριο τη λειτουργική αυτονομία τους. Συνεπώς είναι πιθανό να συναντήσουμε έναν ή μία ομάδα ρόλων ως λειτουργικά ανεξάρτητες, αλλά όχι διοικητικά, οντότητες. Τέτοια παραδείγματα αποτελούν η Αρχή Καταχώρησης και η Αρχή Χρονοσήμανσης, όπως επισημαίνεται στις αντίστοιχες παραγράφους όπου περιγράφονται οι λειτουργικές προδιαγραφές τους. Στη συνέχεια αναλύονται οι ρόλοι που θεωρούνται απαραίτητοι για την παροχή του συνόλου των υπηρεσιών ΕΤΟ. Παρά τη λειτουργική αυτονομία των ρόλων, στις περισσότερες Οικονομικό Πανεπιστήμιο Αθηνών Σελ 201

202 περιπτώσεις υπάρχει έντονη αλληλεπίδραση μεταξύ τους μέχρι την παροχή μίας υπηρεσίας στον τελικό χρήστη. Σε κάθε ρόλο προσδίδεται μία μοναδική αντιπροσωπευτική ονομασία, γίνεται αντιστοίχιση στις υπηρεσίες με τις οποίες υπάρχει άμεση σχέση και περιγράφονται οι αλληλεπιδράσεις με άλλους ρόλους και οι δραστηριότητές του. Οι ρόλοι αυτοί είναι: (1). Διοικητικός (2). Kαταχωρητής (3). Διαχειριστής πιστοποιητικών (4). Διαχειριστής κλειδιών (5). Διαχειριστής τεκμηρίων (6). Διαχειριστής δικαιωμάτων (7) Μεσάζων υπηρεσιών και διαλειτουργικότητας (8). Πληροφοριακή Υποστήριξη (9). Διαχειριστής βάσεων δεδομένων (10) Νομικός σύμβουλος (11) Λογιστική υποστήριξη και (12) Υποστήριξη πελατών. Αναλυτική περιγραφή των ρόλων δίνεται στο [ΛΕΚ-02] Αλληλεπιδράσεις ρόλων Οι ρόλοι που περιγράφηκαν αν και αποτελούν αυτόνομες λειτουργικές οντότητες, αλληλεπιδρούν μεταξύ τους ώστε να παραχθεί το αποτέλεσμα που έχει ονομαστεί υπηρεσία. Οι εξαρτήσεις των ρόλων έχουν ελαχιστοποιηθεί έτσι ώστε το μοντέλο αναφοράς να είναι ευέλικτο και κλιμακούμενο. Εξαρτήσεις υπάρχουν μόνο για το διοικητικό ρόλο που επιβλέπει και κατευθύνει τους υπόλοιπους και για το ρόλο του διαχειριστή βάσεων δεδομένων που υποστηρίζει όλους τους ρόλους που περιέχουν αυτοματοποιημένες διαδικασίες. Στον πίνακα που ακολουθεί (Πίνακας 20) συνοψίζονται οι αλληλεπιδράσεις των ρόλων. Κάθε αλληλεπίδραση περιγράφεται από μία φράση όπου υποκείμενο είναι ένας ρόλος από τις στήλες του πίνακα, το ρήμα είναι ένα από τα Ανταλλάσσει δεδομένα, Επιβλέπει, Πληροφορεί, Συνεργάζεται ή Υποστηρίζει και το αντικείμενο είναι ένα ρόλος από τις γραμμές του πίνακα. Για παράδειγμα από τον πίνακα συνάγεται η φράση Η Αρχή καταχώρησης Ανταλλάσσει δεδομένα με την Αρχή πιστοποίησης. Τα ρήματα ανταλλάσσει και συνεργάζεται ορίζουν μία αμφίδρομη σχέση μεταξύ υποκειμένου και αντικειμένου και έτσι εμφανίζονται συμμετρικά ως προς τη διαγώνιο. Ρόλοι (αντικείμενο) Ρόλοι (υποκείμενο) Διοικητικός Καταχωρητής Διαχειριστής πιστοποιητικών Διαχειριστής κλειδιών Διοικητικός Π Π Π Π Π Π Π Π Π Π Π Καταχωρητής Ε Α Υ Σ Σ Διαχειριστής πιστοποιητικών Ε Α Α Υ Διαχειριστής κλειδιών Ε Α Α Υ Σ Σ Διαχειριστής τεκμηρίων Ε Α Υ Σ Διαχειριστής Δικαιωμάτων Ε Υ Μεσάζων υπηρεσιών & διαλειτουργικότητας Ε Α Α Υ Πληροφοριακή υποστήριξη Ε Διαχειριστής Βάσεων Ε δεδομένων Π Π Π Π Π Π Υ Σ Νομικός σύμβουλος Ε Σ Σ Σ Διαχειριστής τεκμηρίων Διαχειριστής Δικαιωμάτων Μεσάζων υπηρεσιών και διαλειτουργικότητας Πληροφοριακή υποστήριξη Διαχειριστής Βάσεων δεδομένων Νομικός σύμβουλος Λογιστική υποστήριξη Υποστήριξη χρηστών Οικονομικό Πανεπιστήμιο Αθηνών Σελ 202

203 Ρόλοι (αντικείμενο) Ρόλοι (υποκείμενο) Διοικητικός Καταχωρητής Διαχειριστής πιστοποιητικών Διαχειριστής κλειδιών Διαχειριστής τεκμηρίων Διαχειριστής Δικαιωμάτων Μεσάζων υπηρεσιών και διαλειτουργικότητας Λογιστική υποστήριξη Ε Σ Υ Υποστήριξη πελατών Ε Σ Σ Σ Υ Σ Πληροφοριακή υποστήριξη Πίνακας 20: Αλληλεπιδράσεις ρόλων [ΛΕΚ-02] Διαχειριστής Βάσεων δεδομένων Νομικός σύμβουλος Λογιστική υποστήριξη Υποστήριξη χρηστών Α= Ανταλλάσσει δεδομένα, Ε= Επιβλέπει, Π= Πληροφορεί, Σ= Συνεργάζεται, Υ= Υποστηρίζει Στον επόμενο πίνακα (Πίνακας 21) γίνεται μία αντιστοίχιση των ρόλων με τις υπηρεσίες στις οποίες εμπλέκονται άμεσα ή έμμεσα για την παροχή τους και επομένως για την υλοποίηση των βασικών αρχών ιδιωτικότητας (Ο Πίνακας 20 χρησιμοποιείται για την έμμεση συσχέτιση). Το σύμβολο υποδεικνύει τη συμμετοχή του ρόλου (στήλη) στην παροχή της συγκεκριμένης υπηρεσίας (γραμμή). Υπηρεσίες Βασικές & Υποστηρικτικές Προστιθέμενης αξίας Ρόλοι Διοικητικός Καταχωρητής Διαχειριστής πιστοποιητικών Διαχειριστής κλειδιών Διαχειριστής τεκμηρίων Διαχειριστής Δικαιωμάτων Μεσάζων υπηρεσιών και διαλειτουργικότητας Καταχώρηση Διαχείριση πιστοποιητικών Κρυπτογραφικές λειτουργίες Διαλειτουργικότητα Υπηρεσίες ευρετηρίου Διαχείριση συστημάτων Αρχειοθέτηση Διοικητικές υπηρεσίες Παρακολούθηση & περιοδικός έλεγχος Τήρηση ημερολογίου Υποστήριξη Αρχή χρονοσήμανσης Κέντρο διανομής κλειδιών Αρχή διαχείρισης δικαιωμάτων Συμβολαιογραφική αρχή Παροχή αποδεικτικών στοιχείων Πίνακας 21: Συσχέτιση ρόλων και υπηρεσιών Πληροφοριακή υποστήριξη Διαχειριστής Βάσεων δεδομένων Νομικός σύμβουλος Λογιστική υποστήριξη Υποστήριξη χρηστών Οικονομικό Πανεπιστήμιο Αθηνών Σελ 203

204 7.3.4 Λειτουργική αρχιτεκτονική Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Οι υπηρεσίες που περιγράφηκαν συνθέτουν το συνολικό έργο που παράγει μια ΕΤΟ. Η λειτουργική αρχιτεκτονική αποτελείται από λειτουργικές μονάδες (units) κάθε μια από τις οποίες επιτελεί ένα συγκεκριμένο και καλά ορισμένο έργο το οποίο συμβάλλει στην διεκπεραίωση κάποιας υπηρεσίας ΕΤΟ. Οι λειτουργικές μονάδες περιγράφονται με τέτοιο τρόπο ώστε να είναι ανεξάρτητες από κάποια συγκεκριμένη τεχνολογία λαμβάνοντας υπ' όψη όμως διεθνή πρότυπα τα οποία μπορούν να χρησιμοποιηθούν για την υλοποίηση τους. Οι λειτουργικές μονάδες ανταλλάσσουν μεταξύ τους αφηρημένες στοιχειώδεις (primitives) κλήσεις. Κάθε λειτουργική μονάδα εξάγει ένα σύνολο παραμέτρων και εισάγει ένα άλλο σύνολο στοιχειωδών (primitives) κλήσεων. Η επικοινωνία μεταξύ τους γίνεται με την χρήση του πυρήνα (kernel) του συστήματος στο οποίο εγκαθίσταται η ΕΤΟ. Κατ' αυτό τον τρόπο εξασφαλίζεται: (α) η λειτουργία της ΕΤΟ ανεξάρτητα από συγκεκριμένες υλοποιήσεις των λειτουργικών τους μονάδων και (β) η ευκολία προσθήκης νέων λειτουργικών μονάδων και η αντικατάσταση παλιότερων Περιγραφή λειτουργικών μονάδων Οι λειτουργικές μονάδες της ΕΤΟ κατατάσσονται σε έξι κατηγορίες: 1. Διαχειριστική πρόσβαση (ΔΠ). Τα μέσα και οι διεπαφές που παρέχονται στο προσωπικό της ΕΤΟ που ασκεί τη διοίκηση και τη διαχείριση των λειτουργιών, ώστε να έχει τη δυνατότητα παρέμβασης στις λειτουργίες. 2. Διοικητικές λειτουργίες (ΔΛ). Σχετίζονται με τη διασφάλιση ποιότητας, τον καθορισμό των πολιτικών, τις επεμβάσεις στην οργανωτική δομή και με τα σημεία εκείνα όπου απαιτείται λήψη αποφάσεων. 3. Πρόσβαση πελάτη (ΠΠ). Τα μέσα και οι διεπαφές που παρέχονται στον πελάτη ώστε να έχει ασφαλή πρόσβαση στις έμπιστες υπηρεσίες. 4. Κατανεμημένες λειτουργίες πιστοποίησης (ΛΠ). Όλες οι λειτουργικές μονάδες που είναι απαραίτητες για την παροχή των έμπιστων υπηρεσιών που έχουν καταγραφεί στο προηγούμενο κεφάλαιο. 5. Υποστηρικτικές λειτουργίες (ΥΛ). Λειτουργίες που υλοποιούν τοπικά τους μηχανισμούς που απαιτούνται από τις άλλες λειτουργίες, όπως είναι οι κρυπτογραφικές λειτουργίες, η διαχείριση βάσεων δεδομένων και η καταγραφή ημερολογίων. 6. Λειτουργίες υποστήριξης υποδομής (ΥΥ). Λειτουργίες που παρέχουν πρόσβαση σε κατανεμημένες δικτυακές υπηρεσίες που είναι απαραίτητες για την παροχή των υπηρεσιών της ΕΤΟ, όπως η διαχείριση ευρετηρίου και η υλοποίηση συστημάτων ηλεκτρονικών πληρωμών. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 204

205 Οι σχέσεις αλληλεπίδρασης μεταξύ αυτών των λειτουργικών ομάδων, καθώς γίνεται η επεξεργασία ενός αιτήματος, φαίνεται σχηματικά στο Σχήμα 27. Για κάθε αλληλεπίδραση απεικονίζεται μία νοητή γραμμή που διασχίζει τον πυρήνα, μέσω του οποίου γίνεται υποχρεωτικά η ροή των διεργασιών και η διακίνηση των δεδομένων Λειτουργική αρχιτεκτονική Σχήμα 27: Αλληλεπίδραση λειτουργικών ομάδων Η λειτουργική ομάδα διαχειριστικής πρόσβασης αποτελείται από δύο λειτουργικές μονάδες: η μονάδα ασφαλούς διεπαφής διαχείρισης (κμ ΕΤΟ_ΔΠ_01) παρέχει στο προσωπικό και στη διοίκηση του οργανισμού τα μέσα για την εκτέλεση οργανωτικών ή διαχειριστικών ενεργειών σε σχέση με τις υπόλοιπες λειτουργίες του συστήματος. Σε αυτή τη μονάδα περιέχονται οι διεργασίες αυθεντικοποίησης και διασφάλισης της ακεραιότητας των ανταλλασσόμενων δεδομένων. η μονάδα εξουσιοδότησης διαχείρισης (κμ ΕΤΟ_ΔΠ_02) εξασφαλίζει στην επικοινωνούσα οντότητα τα απαραίτητα δικαιώματα προσπέλασης στους πόρους του συστήματος και στις υπόλοιπες λειτουργικές μονάδες, σύμφωνα με τους κανόνες που έχουν τεθεί από τη διοίκηση. Αντίστοιχα στην ομάδα πρόσβασης πελάτη υπάρχουν τέσσερις λειτουργικές μονάδες: η μονάδα ασφαλούς διεπαφής πελάτη (κμ ΕΤΟ_ΠΠ_01) παρέχει στον χρήστη των υπηρεσιών και σε άλλες ΕΤΟ τα μέσα για την αποστολή αιτημάτων παροχής υπηρεσιών και την παραλαβή των αποτελεσμάτων τους. Διασφαλίζει την αυθεντικότητα και την εμπιστευτικότητα των δεδομένων που ανταλλάσσονται. η μονάδα εξουσιοδότησης πελάτη (κμ ΕΤΟ_ΠΠ_02) εξασφαλίζει στον πελάτη τα απαραίτητα δικαιώματα πρόσβασης στους πόρους του συστήματος έτσι ώστε να έχει τη δυνατότητα να χρησιμοποιήσει τις έμπιστες υπηρεσίες. Τα κατάλληλα δικαιώματα δίνονται είτε χρησιμοποιώντας πιστοποιητικά ιδιοτήτων είτε λίστες ελέγχου πρόσβασης (access control lists) που βρίσκονται αποθηκευμένες στη βάση δεδομένων του συστήματος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 205

206 η μονάδα υποστήριξης χρήσης (κμ ΕΤΟ_ΠΠ_03) είναι το σημείο επικοινωνίας για όλους τους πελάτες της ΕΤΟ, όχι μόνο για τεχνική βοήθεια αλλά και για γενικότερα θέματα. Σε αυτό το σημείο παρέχονται εναλλακτικοί τρόποι επικοινωνίας, γενική πληροφόρηση, τεχνική ενημέρωση και τέλος δημοσιεύονται οι πολιτικές. το σύστημα τιμολόγησης (κμ ΕΤΟ_ΠΠ_04) περιλαμβάνει τις τυπικές διαδικασίες χρέωσης, τιμολόγησης, πληρωμής και λογιστικής παρακολούθησης των πελατών. Εδώ είναι πιθανό να περιλαμβάνεται ένα σύστημα αυτοματοποιημένων ηλεκτρονικών πληρωμών. Στην ομάδα υποστηρικτικών λειτουργιών περιλαμβάνονται λειτουργίες που παρέχουν γενική υποστήριξή στις έμπιστες υπηρεσίες: η μονάδα κρυπτογραφικών λειτουργιών (κμ ΕΤΟ_ΥΛ_01) παρέχει λειτουργίες κρυπτογράφησης, αποκρυπτογράφησης και ψηφιακές υπογραφές ως υποστήριξη στις λειτουργίες πιστοποίησης και στις ασφαλείς διεπαφές. η μονάδα αρχειοθέτησης (κμ ΕΤΟ_ΥΛ_02) παρέχει λειτουργίες πρόσβασης στις αποθήκες δεδομένων και διαχείρισης των αποθηκευτικών μέσων. η λειτουργική μονάδα καταγραφής ημερολογίου (κμ ΕΤΟ_ΥΛ_03) υποστηρίζει τη σχετική υπηρεσία, αλλά και όλες τις λειτουργίες και δοσοληψίες της ΕΤΟ, καταγράφοντας λεπτομερώς τα ιστορικά τους στοιχεία. η μονάδα δημόσιου ευρετηρίου (κμ ΕΤΟ_ΥΛ_04) υποστηρίζει την αντίστοιχη υπηρεσία ευρετηρίου, που έχει σημαντικό επικουρικό ρόλο στην παροχή των έμπιστων υπηρεσιών. Η ομάδα διοικητικών λειτουργιών περιλαμβάνει μη αυτοματοποιημένες ή ημιαυτοματοποιημένες λειτουργίες: ο καθορισμός των πολιτικών (κμ ΕΤΟ_ΔΛ_01) είναι μία βασική διοικητική λειτουργία και αφορά σε όλες τις πολιτικές και τις πρακτικές που σχετίζονται με την ασφάλεια του ΠΣ της ΕΤΟ και τις παρεχόμενες υπηρεσίες της. η μονάδα ανάθεσης ρόλων (κμ ΕΤΟ_ΔΛ_02) εκτελεί λειτουργίες που σχετίζονται γενικότερα με τη διαχείριση του προσωπικού, όπως επιλογή, εκπαίδευση και καθορισμός καθηκόντων. η λειτουργική μονάδα περιοδικών ελέγχων (κμ ΕΤΟ_ΔΛ_03) περιλαμβάνει ημιαυτοματοποιημένες διεργασίες για τον περιοδικό έλεγχο της λειτουργίας της ΕΤΟ, από ανεξάρτητη αρχή αλλά και από εσωτερικές. η μονάδα διασφάλισης ποιότητας (κμ ΕΤΟ_ΔΛ_04) αφορά σε γενικότερα οργανωτικά θέματα που έχουν ως στόχο τη διασφάλιση και τη βελτίωση της ποιότητας. Μπορούν να αναφερθούν ενδεικτικά λειτουργίες όπως ο καθορισμός των στόχων ποιότητας, ο έλεγχος της σχεδίασης υπηρεσιών, η εφαρμογή διαδικασιών, η επιθεώρηση και αναθεώρηση συμφωνιών. Κάθε παρέμβαση της διοίκησης σε οποιαδήποτε λειτουργία της ΕΤΟ ανήκει σε αυτή τη λειτουργική μονάδα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 206

207 Στην ομάδα κατανεμημένων λειτουργιών πιστοποίησης περιέχονται όλες οι λειτουργίες που υποστηρίζουν την παροχή των έμπιστων υπηρεσιών. Εδώ ακολουθείται η προσέγγιση έναπρος-ένα αντιστοιχίας των λειτουργικών μονάδων με τις παρεχόμενες υπηρεσίες, έτσι ώστε να επιτυγχάνεται η μέγιστη ευελιξία στην τροποποίηση, προσθήκη ή αφαίρεση υπηρεσιών. η μονάδα ταυτοποίησης και καταχώρησης (κμ ΕΤΟ_ΛΠ_01) υποστηρίζει την αντίστοιχη υπηρεσία καταχώρησης που έχει ως στόχο την ασφαλή επιβεβαίωση της ταυτότητας του αιτούντος πριν από την έκδοση ενός πιστοποιητικού. η μονάδα διαχείρισης πιστοποιητικών (κμ ΕΤΟ_ΛΠ_02) υποστηρίζει την αντίστοιχη υπηρεσία με λειτουργίες όπως η έκδοση, διανομή, δημοσίευση, ανάκληση και ανανέωση πιστοποιητικών. η μονάδα διαχείρισης κλειδιών (κμ ΕΤΟ_ΛΠ_03) υποστηρίζει την αντίστοιχη υπηρεσία με λειτουργίες όπως η δημιουργία, διανομή, αποθήκευση, ανάκτηση, ανάνηψη και παράδοση κλειδιών. οι λειτουργίες χρονοσήμανσης (κμ ΕΤΟ_ΛΠ_04) υποστηρίζουν την αντίστοιχη υπηρεσία, για την παραγωγή αξιόπιστων τεκμηρίων που υποδεικνύουν την ύπαρξη ενός εγγράφου σε μία συγκεκριμένη χρονική στιγμή. η μονάδα παροχής αποδείξεων (κμ ΕΤΟ_ΛΠ_05) έχει ως βασικό στόχο να υποστηρίξει την απαίτηση μη αποποίησης αποστολής και λήψης μηνυμάτων. η λειτουργική μονάδα διαχείρισης δικαιωμάτων (κμ ΕΤΟ_ΛΠ_06) αντιστοιχεί στην ομώνυμη υπηρεσία, που εξυπηρετεί ανάγκες ελέγχου δικαιωμάτων προσπέλασης. οι λειτουργίες ελέγχου κατάστασης (κμ ΕΤΟ_ΛΠ_07) παρέχουν αυτοματοποιημένους μηχανισμούς της κατάστασης ενός πιστοποιητικού ή ενός άλλου τεκμηρίου. η μονάδα συμβολαιογράφου (κμ ΕΤΟ_ΛΠ_08) υποστηρίζει την αντίστοιχη υπηρεσία σε συνδυασμό με τις λειτουργικές μονάδες κρυπτογράφησης και αρχειοθέτησης. Το Σχήμα 28 παρουσιάζει τις λειτουργικές μονάδες που απαρτίζουν τις λειτουργικές ομάδες. Οι λειτουργικές αυτές μονάδες δεν είναι απαραίτητα αυτοματοποιημένες, σε κάθε περίπτωση όμως αποτελούν αναπόσπαστο μέρος του ολοκληρωμένου συστήματος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 207

208 Σχήμα 28: Λειτουργική αρχιτεκτονική ΕΤΟ Η ομάδα λειτουργιών υποστήριξης υποδομής αποτελείται από τέσσερις μονάδες: η μονάδα διαχείρισης συστημάτων (κμ ΕΤΟ_ΥΥ_01) και λογισμικού περιέχει διεργασίες σχετικές με τη συντήρηση των πληροφοριακών συστημάτων της ΕΤΟ, από πλευράς υλικού και λογισμικού. η μονάδα διαχείρισης επικοινωνιών (κμ ΕΤΟ_ΥΥ_02) υποστηρίζει όλα τα επικοινωνιακά συστήματα που χρησιμοποιούνται, είτε είναι συμβατικά είτε αυτοματοποιημένα. η μονάδα διαχείρισης βάσης δεδομένων (κμ ΕΤΟ_ΥΥ_03) αλληλεπιδρά με όλες σχεδόν τις υπόλοιπες λειτουργικές μονάδες, έτσι ώστε να υλοποιείται και να συντηρείται το απαιτούμενο σχήμα και τα χαρακτηριστικά ποιότητας των δεδομένων για την παροχή πληροφοριών στις λειτουργίες της ΕΤΟ. η λειτουργική μονάδα διαλειτουργικότητας (κμ ΕΤΟ_ΥΥ_04) περιλαμβάνει διεργασίες που είναι απαραίτητες για την επικοινωνία και δια-πιστοποίηση με άλλες ΕΤΟ, μέσω της λειτουργικής μονάδας πρόσβασης πελατών Τεχνολογικό περίγραμμα Οι τεχνολογικές ασυμβατότητες αποτελούν ένα από τα τρία βασικά προβλήματα διαλειτουργικότητας που εντοπίστηκαν (βλ ). Για να αντιμετωπιστεί αυτό το πρόβλημα πρέπει να υπάρχει η δυνατότητα υποστήριξης των υπηρεσιών ΕΤΟ από διεθνή πρότυπα. Οι ομάδες λειτουργικών μονάδων, που υλοποιούν τις υπηρεσίες, καλύπτονται σε Οικονομικό Πανεπιστήμιο Αθηνών Σελ 208

209 σημαντικό βαθμό από τις υπάρχουσες τεχνολογίες και πρότυπα. Η ύπαρξη αυτών των προτύπων βέβαια δεν αποκλείει την ανάπτυξη ιδιοκατασκευών λογισμικού (proprietary software) ή την ανάπτυξη εσωτερικών προτύπων σε τομείς που δεν καλύπτονται από τις υπάρχουσες τεχνολογίες. Στον παρακάτω πίνακα παρουσιάζονται οι περιοχές λειτουργιών ΕΤΟ που έχουν εντοπισθεί και οι αντίστοιχες τεχνολογίες (ή συνδυασμός τεχνολογιών) που τις υλοποιούν μερικώς ή ολοκληρωμένα. Ο όρος τεχνολογία όπως παρουσιάζεται στον πίνακα, χρησιμοποιείται με την ευρεία του έννοια. Μπορεί να αφορά είτε ένα σύνολο από ακριβείς προδιαγραφές που αποτελούνται από μορφότυπα, αλγόριθμους και πρότυπα είτε μία ευρέως αποδεκτή προσέγγιση ή μέθοδο για την παροχή μίας υπηρεσίας ή για την επεξεργασία δεδομένων. Στη δεύτερη περίπτωση η προσέγγιση αποτελεί τον βασικό άξονα για την υλοποίηση μιας ιδιωτικής λύσης. Λειτουργική περιοχή Σχετικές τεχνολογίες ή μέθοδοι Διαχείριση Υποστήριξη Παροχή υπηρεσιών Επικοινωνία Πυρήνας Πυρήνας και διασύνδεση λειτουργικών μονάδων CORBA SOAP Web Services http over SSL Ασφαλής πρόσβαση πελάτη Secure (S/MIME) Συμβατικό ταχυδρομείο http over SSL Ασφαλής πρόσβαση διαχείρισης SSH + ειδική εφαρμογή Διεπαφές κονσόλας Μορφοποίηση δεδομένων XML X.509 Ψηφιακά πιστοποιητικά SPKI SDSI PGP Διαχείριση κλειδιών ISO PKCS#12 Διαχείριση δικαιωμάτων Attribute certificates X.812 Χρονοσήμανση PKITS TIMESEC Μη αποποίηση ISO CORBA Non-repudiation RSA Cryptoki Κρυπτογραφικές λειτουργίες Microsoft CryptoAPI Open Group s GCS-API Συμβολαιογραφικές λειτουργίες Notary protocols Surety Διαχείριση βάσεων δεδομένων RDBMS με υποστήριξη SQL και XML Επικοινωνία με βάσεις δεδομένων ODBC JDBC DCOM Καταγραφή ημερολογίων Unix logging CORBA Audit service Unix tar Διαχείριση αρχείων IBM ADSM FTP Μηχανισμοί ηλεκτρονικών πληρωμών SET, ecash, Mondex Πρόσβαση σε ευρετήρια LDAP Z39.50 ISO Έλεγχος κατάστασης OCSP http + PHP Υποστήριξη πολυγλωσσίας ISO 8859 Middleware Διαλειτουργικότητα Μεταπολιτικές Αρχιτεκτονικές εμπιστοσύνης Διαχείριση πληροφοριακών και επικοινωνιακών συστημάτων ISO Περιοδικοί έλεγχοι X.816 Σύνταξη πολιτικών RFC-2527 Διασφάλιση ποιότητας ISO 9000 Οικονομικό Πανεπιστήμιο Αθηνών Σελ 209

210 Πίνακας 22: Αντιστοίχιση λειτουργικών περιοχών ΕΤΟ με τεχνολογικά πρότυπα Η λειτουργική αρχιτεκτονική που παρουσιάστηκε αντιστοιχίζεται σε αυτή την παράγραφο στην υπάρχουσα τεχνολογία έτσι ώστε να ολοκληρωθεί η περιγραφή του τεχνολογικού περιγράμματος. Η αντιστοίχιση αυτή γίνεται με γνώμονα τα γενικά χαρακτηριστικά που έχουν τεθεί ως στόχος της διατριβής για την προτεινόμενη αρχιτεκτονική ΕΤΟ και ως ένα βήμα προς την επίτευξη διαλειτουργικότητας μεταξύ των ΕΤΟ. Τα χαρακτηριστικά αυτά συνοψίζονται στη συνέχεια: 1. Υποστήριξη ΥΠΔ: Οι υπηρεσίες ΕΤΟ πρέπει να σχεδιασθούν με τρόπο που να μπορούν να υποστηρίξουν τις υπηρεσίες της τεχνολογικής διαδικτυακής ΥΠΔ όπως αυτές αναλύθηκαν στα προηγούμενα κεφάλαια της διατριβής. 2. Ανοικτός χαρακτήρας: Οι παρεχόμενες υπηρεσίες ΕΤΟ πρέπει να μπορούν να χρησιμοποιηθούν ασφαλώς πάνω από ανοικτά ανασφαλή δίκτυα. Άλλωστε ο βασικός στόχος των υπηρεσιών αυτών είναι η προστασία των συναλλαγών σε αυτά ακριβώς τα δίκτυα. Η χρήση τους σε κλειστά και/ή ιδιωτικά ασφαλή δίκτυα πάραυτα δεν αποτρέπεται. Η προτεινόμενη υποδομή βασίζεται σε τεχνολογικά πρότυπα με ευρεία εφαρμογή στο διαδίκτυο. 3. Δυνατότητα κλιμάκωσης: Η προτεινόμενη αρχιτεκτονική περιέχει υψηλό ποσοστό αυτοματοποιημένων διεργασιών καθώς και τη δυνατότητα κατανομής διαφόρων αυτόνομων λειτουργιών, έτσι ώστε η παροχή των υπηρεσιών να διατηρείται αδιάλειπτη, ταχεία και αξιόπιστη καθώς η ζήτηση αυξάνεται. 4. Ευελιξία και Επεκτασιμότητα: Η σχεδίαση της αρχιτεκτονικής γίνεται με τέτοιο τρόπο ώστε να έχει σπονδυλωτή διάρθρωση και να αποτελείται από όσο το δυνατό λογικά αυτόνομες λειτουργικές μονάδες. Κατά συνέπεια απλοποιείται η ενσωμάτωση νέων τεχνολογιών ή η αντικατάσταση των υπαρχόντων καθώς εξελίσσεται η τεχνολογία και οι ανάγκες. 5. Συμβατότητα: Η χρήση state-of-the-art τεχνολογίας και διεθνών προτύπων είναι βασική προϋπόθεση για τη μεγιστοποίηση της συμβατότητας των υπηρεσιών ΕΤΟ με τον εξοπλισμό των πελατών και των συνεργαζόμενων ΕΤΟ. Παράλληλα ελαχιστοποιείται η ανάγκη ύπαρξης πυλών (gateways) ως εργαλεία μετάφρασης πληροφοριών για την επικοινωνία μεταξύ μη συμβατών λειτουργικών μονάδων. 6. Ολοκλήρωση: Η παρουσιαζόμενη αρχιτεκτονική περιέχει το μέγιστο αριθμό λειτουργικών μονάδων έτσι ώστε να καλύψει όλες τις απαιτήσεις χρήσης που προσδιορίστηκαν, χωρίς αυτό να σημαίνει ότι δεν επιδέχεται προσθαφαιρέσεις. Άλλο ένα στοιχείο που υποστηρίζει το χαρακτηριστικό της ολοκλήρωσης είναι η δυνατότητα συνεργασίας με υπάρχουσες υποδομές, όπως για παράδειγμα οι ήδη εγκατεστημένες υπηρεσίες ευρετηρίου. 7. Διαφάνεια: Η απομόνωση της εξειδικευμένης τεχνολογίας επιτυγχάνεται με την υλοποίηση του πυρήνα της αρχιτεκτονικής, ο οποίος χρησιμεύει ως δίαυλος επικοινωνίας των Οικονομικό Πανεπιστήμιο Αθηνών Σελ 210

211 λειτουργικών μονάδων, με χρήση αφαιρετικών αντικειμένων. Η χρήση της αντικειμενοστραφούς τεχνολογίας CORBA στον πυρήνα επιτρέπει την υλοποίηση των λειτουργικών μονάδων σε διαφορετικές πλατφόρμες λειτουργικών συστημάτων και σε γλώσσες προγραμματισμού, με πλήρη διαφάνεια για τον τελικό χρήστη. 8. Ασφάλεια: Οι τεχνολογίες που υποστηρίζουν την ασφάλεια των διακινούμενων δεδομένων έχουν επιλεχθεί όπου αυτό κρίνεται απαραίτητο και όπου υπάρχει αυτή η δυνατότητα, με στόχο τη διασφάλιση της ακεραιότητας και εμπιστευτικότητας των διακινούμενων και αποθηκευμένων δεδομένων, αλλά και για την αυθεντικοποίηση των πελατών. Το τεχνολογικό περίγραμμα της λειτουργικής αρχιτεκτονικής ΕΤΟ δίνεται στο Σχήμα 29. Η χρήση της προτεινόμενης τεχνολογίας είναι προφανώς μη δεσμευτική. Η τεχνολογία αυτή αντιστοιχεί στα πρότυπα που είναι ευρέως αποδεκτά την εποχή της εκπόνησης της διατριβής, τα οποία είναι βέβαιο ότι θα αλλάξουν στο μέλλον. Η υιοθέτηση νέων τεχνολογιών είναι αναπόφευκτη, με μόνη προϋπόθεση την διατήρηση των χαρακτηριστικών της αρχιτεκτονικής που παρατέθηκαν στην προηγούμενη λίστα. Σχήμα 29: Αντιστοίχιση Λειτουργικής αρχιτεκτονικής και τεχνολογικού περιγράμματος Λεπτομέρειες περιγραφής των λειτουργικών μονάδων μπορούν να αναζητηθούν σε άλλες μελέτες {ΛΕΚ02], [GRI-01], [GRI-01a]. Στο πλαίσιο της παρούσας διατριβής παρουσιάζονται διεξοδικά οι υπηρεσίες (και οι λειτουργικές τους μονάδες) που εμπλέκονται άμεσα στην υποστήριξη των υπηρεσιών της ΥΠΔ. 7.4 Επίδραση αρχών-δικαιωμάτων προστασίας δεδομένων στις υπηρεσίες ΕΤΟ Η σχέση μεταξύ των υπηρεσιών της ΥΠΔ με τις υπηρεσίες ΕΤΟ είναι διττή: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 211

212 1. Οι υπηρεσίες της ΥΠΔ, αλληλεπιδρούν με τις υπηρεσίες ΕΤΟ. Τα αποτελέσματα αυτών των αλληλεπιδράσεων δείχθηκαν στα προηγούμενα κεφάλαια (βλ , ). Επιπλέον, οι Δικτυοενδιάμεσοι, η τριτεγγύηση ταυτότητας και η υπηρεσία Πρόσβαση κάνουν χρήση των υπηρεσιών ΕΤΟ. Στις επόμενες παραγράφους περιγράφονται οι υπηρεσίες ΕΤΟ έτσι όπως πρέπει να τροποποιηθούν ώστε να υποστηρίξουν τις υπηρεσίες της ΥΠΔ. 2. Η ΕΤΟ αποτελεί και η ίδια έναν υπεύθυνο επεξεργασίας που υπόκειται στον έλεγχο της Αρχής Ελέγχου και πρέπει να τηρεί τη νομοθεσία περί προστασίας δεδομένων [ΕΚΣ-99]. Η αλληλεπίδρασή της με την τεχνολογική διαδικτυακή ΥΠΔ μεταβάλλει τις διαδικασίες με τις οποίες παρέχονται οι υπηρεσίες της. Η επίδραση αυτή αφορά τις παρακάτω υπηρεσίες: Καταχώρηση Η μονάδα καταχώρησης (κμ ΕΤΟ_ΛΠ_01) περιλαμβάνει το σύνολο των λειτουργιών που εκτελούνται από την ΕΤΟ για τη λήψη και επεξεργασία των αιτήσεων έκδοσης πιστοποιητικών και τεκμηρίων τριτεγγύησης ταυτότητας (ΤΤΤ), την εγκυροποίησή τους και την ασφαλή προώθηση των αιτήσεων στην υπηρεσία διαχείρισης πιστοποιητικών ή των υπόλοιπων λειτουργικών μονάδων με τις οποίες συνεργάζεται αυτή η λειτουργική μονάδα, ώστε αφενός να ενταχθεί η αιτούσα οντότητα στην ΥΔΚ αφετέρου να λειτουργήσει στο πλαίσιο της ΥΠΔ. Η υπηρεσία αυτή εμφανίζεται πολλές φορές στη βιβλιογραφία ή σε υπάρχουσες υλοποιήσεις ως ξεχωριστή οντότητα με την ονομασία Αρχή Καταχώρησης (Registration Authority RA) Λήψη αίτησης έκδοσης πιστοποιητικού Η αίτηση έκδοσης πιστοποιητικού ή ΤΤΤ αποστέλλεται στην ΕΤΟ από την ενδιαφερόμενη οντότητα είτε σε έντυπη μορφή είτε σε ηλεκτρονική μορφή. Σε κάθε περίπτωση πρέπει να χαρακτηρίζεται από την ασφαλή μεταβίβασή της, συγκεκριμένη μορφοποίηση που διευκολύνει την επεξεργασία της και ελαχιστοποίηση του μεγέθους της. Τα δύο πιο γνωστά πρότυπα που προτείνουν συγκεκριμένες δομές για τις αιτήσεις πιστοποίησης είναι τα Privacy Enhanced Mail (PEM) [KAL-93] και PKCS#10 [RSA-93]. Είσοδος: (1) αίτηση έκδοσης πιστοποιητικού με συγκεκριμένη δομή και μορφοποίηση, που περιέχει όλα τα απαραίτητα στοιχεία για την ταυτότητα του αιτούντος και για τα χαρακτηριστικά του πιστοποιητικού που ζητείται. Προαιρετικά είναι δυνατό να περιέχεται στην αίτηση ένας προσωπικός κωδικός της επιλογής του αιτούντος, ο οποίος αποτελεί τον κωδικό ανάκλησης και μπορεί να χρησιμοποιηθεί από τον ιδιοκτήτη του προς έκδοση πιστοποιητικού για την αποστολή αυτοματοποιημένης αίτησης άμεσης ανάκλησης, σε περίπτωση διακύβευσης του μυστικού κλειδιού. Επιπλέον, μπορεί να περιέχεται το ψευδώνυμο το οποίο θέλει να χρησιμοποιεί ο αιτών (2) Ειδική σήμανση αν πρόκειται για ΤΤΤ Έξοδος: δυαδική τιμή που υποδεικνύει θετική ή αρνητική επιβεβαίωση λήψης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 212

213 Λειτουργία: (1) σύναψη ασφαλούς επικοινωνίας με την αιτούσα οντότητα, όπως είναι η φυσική παρουσία ή μία ασφαλής δικτυακή σύνοδος, (2) λήψη της αίτησης, (3) αποθήκευση της αίτησης σε προεπιλεγμένο μέσο, (4) επιστροφή θετικής ή αρνητικής επιβεβαίωσης λήψης της αίτησης Έλεγχος εγκυρότητας της αίτησης Είσοδος: Έξοδος: αίτηση έκδοσης πιστοποιητικού δυαδική τιμή που υποδεικνύει την εγκυρότητα ή μη της αίτησης Λειτουργία: (1) έλεγχος της σωστής μορφοποίησης και κωδικοποίησης της αίτησης ώστε να είναι αναγνώσιμη, (2) ανάλυση της αίτησης και ανάκτηση των πληροφοριών που περιέχει, (3) επικύρωση των στοιχείων της αίτησης σύμφωνα με συγκεκριμένους επιχειρησιακούς κανόνες που έχουν τεθεί από την ΕΤΟ, (4) επιστροφή θετικής ή αρνητικής απάντησης Οι επιχειρηματικοί κανόνες της ΕΤΟ αποτελούνται από διαδικασίες, συνθήκες και κανονισμούς που έχει θέσει η διοίκηση της ΕΤΟ με σκοπό την εξασφάλιση της λειτουργίας του οργανισμού σύμφωνα με την Δήλωση Πρακτικής Πιστοποίησης (ΔΠΠ), την πολιτική ασφάλειας και τους στόχους ποιότητας. Οι κανόνες αυτοί πρέπει να προσαρμόζονται σε διαφορετικές περιπτώσεις χρηστών και σε διαφορετικά επίπεδα ασφάλειας. Για παράδειγμα η ΕΤΟ μπορεί να απορρίψει μία αίτηση καταχώρησης που έχει αποσταλεί μέσω ηλεκτρονικής αλληλογραφίας αν το επιθυμητό επίπεδο ασφάλειας είναι υψηλό. Τυπικά ερωτήματα που πρέπει να απαντηθούν στη φάση ελέγχου της συμμόρφωσης της αίτησης με τους επιχειρησιακούς κανόνες είναι: ανήκει η αιτούσα οντότητα στο πεδίο ασφάλειας της ΕΤΟ και άρα της επιτρέπεται η πιστοποίηση ; είναι το διακριτικό όνομα μοναδικό και σωστά συντεταγμένο ; ταιριάζει το επιθυμητό επίπεδο ασφάλειας με τον τύπο της αιτούσας οντότητας ; επιτρέπονται οι χρήσεις του πιστοποιητικού που ζητούνται για τη συγκεκριμένη οντότητα ; το μέγεθος του κλειδιού είναι μεγαλύτερο ή ίσο από το επιθυμητό ; υπάρχουν οικονομικές υποχρεώσεις που κωλύουν την περαιτέρω επεξεργασία της αίτησης ; Ειδικότερα το τμήμα της λειτουργικής μονάδας που ελέγχει την εγκυρότητα του διακριτικού ονόματος εκτελεί τις λεγόμενες λειτουργίες ονοματοδοσίας. Τα ζητήματα ονοματοδοσίας σε αυτή τη φάση της καταχώρησης χρήζουν ειδικής αντιμετώπισης αφού επηρεάζουν σημαντικές λειτουργίες στη μετέπειτα χρήση του πιστοποιητικού. Συγκεκριμένα, θα πρέπει να προσδιορίζουν πλήρως και μοναδικά τη φυσική οντότητα με την οποία συνδέονται, να Οικονομικό Πανεπιστήμιο Αθηνών Σελ 213

214 ακολουθούν τους κανόνες και τα πρότυπα (π.χ. Χ.500) που θέτονται από την υπηρεσία ευρετηρίου και τέλος να υποστηρίζουν τη διαλειτουργικότητα Πιστοποίηση ταυτότητας του αιτούντος Η διαδικασία πιστοποίησης της ταυτότητας μιας οντότητας που αιτείται έκδοση πιστοποιητικού είναι αυτή που συνδέει αμετάκλητα ένα πιστοποιητικό με τη φυσική οντότητα που αναφέρεται ως υποκείμενο. Συνεπώς αποτελεί τη σημαντικότερη λειτουργία της ΕΤΟ, η οποία έχει άμεσες επιπτώσεις όχι μόνο στη φερεγγυότητα ενός πιστοποιητικού αλλά γενικότερα στην εδραίωση της εμπιστοσύνης προς τον οργανισμό. Ο τρόπος με τον οποίο εκτελείται η πιστοποίηση της ταυτότητας καθορίζει το βαθμό αξιοπιστίας του πιστοποιητικού και αποτελεί έναν από τους παράγοντες προσδιορισμού της κλάσης του. Εναλλακτικοί τρόποι πιστοποίησης της ταυτότητας είναι δυνατό να είναι διαθέσιμοι, ανάλογα με την κλάση του υπό έκδοση πιστοποιητικού Είσοδος: έγκυρη αίτηση έκδοσης πιστοποιητικού ( + CertΥκ σε περίπτωση ΤΤΤ) Έξοδος: δυαδική τιμή που υποδεικνύει επιτυχή ή ανεπιτυχή αντιστοίχιση των στοιχείων της αίτησης με τη φυσική οντότητα Λειτουργία: (1) ανάκτηση των στοιχείων που καθορίζουν τον τρόπο αυθεντικοποίησης του αιτούντος (ζητούμενη κλάση πιστοποιητικού, τύπος αιτούσας οντότητας, χρήση πιστοποιητικού, παραγωγή κλειδιού, ανώτατο όριο χρηματικών συναλλαγών, νομικό πλαίσιο, πολιτικές) από την αίτηση, (2) καθορισμός του τρόπου πιστοποίησης ταυτότητας του αιτούντος, σύμφωνα με τους κανόνες που έχουν τεθεί από την πολιτική πιστοποίησης της ΕΤΟ, (3) εκτέλεση της αυτοματοποιημένης ή μη πιστοποίησης ταυτότητας Αναλύοντας περαιτέρω τους παράγοντες που καθορίζουν το βαθμό ισχύος της πιστοποίησης ταυτότητας και κατά συνέπεια τη φερεγγυότητα του ίδιου του πιστοποιητικού, αναφέρονται ενδεικτικά τα παρακάτω παραδείγματα σε αύξουσα σειρά ως προς την απαίτηση ισχυρής αυθεντικοποίησης: 1. Τύπος αιτούσας οντότητας: Χρήστης < Επιχείρηση < Εξυπηρετητής ιστοσελίδων ηλεκτρονικού εμπορίου < Κρατικός φορέας < Μία αυτόνομη λειτουργικά υπηρεσία της ΕΤΟ (π.χ. Αρχή Χρονοσήμανσης) < Υφιστάμενη ΕΤΟ. 2. Χρήση πιστοποιητικού: Ψηφιακή υπογραφή προσωπικής αλληλογραφίας < Κρυπτογράφηση προσωπικής αλληλογραφίας < Τεκμήριο τριτεγγύησης ταυτότητας < Χρονοσήμανση < Αυθεντικοποίηση προσώπου σε συναλλαγές < Αυθεντικοποίηση εξυπηρέτη < Υπογραφή πιστοποιητικών και ΛΑΠ. 3. Παραγωγή κλειδιού: Από τον πελάτη < Από την ΕΤΟ. 4. Παραγωγή ψευδωνύμου: Από το υποκείμενο επεξεργασίας < Από την ΕΤΟ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 214

215 5. Αποθήκευση ιδιωτικού κλειδιού: Δυαδικό αρχείο < Ασφαλές δυαδικό αρχείο (π.χ. PKCS#12) < έξυπνη κάρτα. Με βάση τους παραπάνω παράγοντες καθώς και με τους κανόνες που θέτονται από το κανονιστικό πλαίσιο όπου δραστηριοποιείται η ΕΤΟ και από τις πολιτικές που η ίδια έχει αναπτύξει, καθορίζεται ο τρόπος πιστοποίησης της ταυτότητας. Στη διαδικασία αυτή περιγράφονται το εάν απαιτείται φυσική παρουσία του αιτούντος, το είδος του συμφωνητικού που πρέπει να υπογραφεί και τα αποδεικτικά στοιχεία που πρέπει να παρουσιαστούν. 31 Συνεπώς η λειτουργία ταυτοποίησης περιγράφεται πλήρως από ένα συνδυασμό των εναλλακτικών διαφορετικής βαρύτητας, που υπάρχουν για τις παρακάτω διαδικασίες: 5. Τρόπος παρουσίας: (1) απομακρυσμένη επικοινωνία με αλληλογραφία ή τηλεφωνικά (2) φυσική παρουσία με εξουσιοδοτούμενο πρόσωπο (3) ιδία φυσική παρουσία. 6. Συμφωνητικό: (1) ανύπαρκτο (2) ιδιωτικό (3) επικυρωμένο από ανεξάρτητη αρχή (4) συμβολαιογραφική πράξη. 7. Αποδεικτικά στοιχεία: (1) διεύθυνση ηλεκτρονικής αλληλογραφίας (2) εταιρική βεβαίωση (3) άδεια οδήγησης (4) δελτίο ταυτότητας (5) φορολογική ενημερότητα (6) αποδεικτικό πιστωτικής αξιοπιστίας (7) εταιρικό καταστατικό. Οι λεπτομέρειες της παραπάνω διαδικασίας πρέπει να είναι προκαθορισμένες για κάθε κλάση πιστοποιητικού που παρέχεται και θα πρέπει να είναι δημόσια γνωστές κατά τη χρήση των πιστοποιητικών. Συνεπώς η διαδικασία πιστοποίησης της ταυτότητας του αιτούντος πρέπει να αναλύεται στη ΔΠΠ για κάθε κλάση πιστοποιητικού που παρέχεται, έτσι ώστε ο χρήστης να είναι ικανός να κρίνει τη φερεγγυότητά του. Ως φυσικό επακόλουθο του βαθμού ισχύος της διαδικασίας ταυτοποίησης του αιτούντος είναι και ο καθορισμός των ευθυνών και των υποχρεώσεων της ΕΤΟ για κάθε κλάση πιστοποιητικού που εκδίδει, κάτι που θα πρέπει επίσης να περιγράφεται στη ΔΠΠ. Ειδικής αντιμετώπισης χρήζουν οι περιπτώσεις όπου η αιτούσα οντότητα είναι ομάδα προσώπων ή μία υφιστάμενη στην ιεραρχία ΕΤΟ. Στην πρώτη περίπτωση που αφορά 31 Στην περίπτωση ΤΤΤ, το ψηφιακό πιστοποιητικό που ήδη κατέχει ο αιτών, τον απαλλάσει από πολλές από τις διαδικασίες ταυτοποίησης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 215

216 εταιρείες ή συνεταιρισμούς απαιτούνται επιπλέον εγγυήσεις, όπως η φυσική παρουσία ενός εγγυητή και τα άρθρα του καταστατικού όπου αποδεικνύεται η ύπαρξη της οντότητας και ορίζονται οι ρόλοι των εμπλεκομένων ως προς τις υποχρεώσεις και τα δικαιώματά τους. Στην περίπτωση της υφιστάμενης ΕΤΟ οι επιπλέον εγγυήσεις που απαιτούνται αφορούν στη συμβατότητα των πολιτικών των δύο ΕΤΟ (βλ ) και στην ασφαλή αποθήκευση και χρήση του ιδιωτικού κλειδιού Διασφάλιση ανωνυμίας Το δικαίωμα της αιτούσας οντότητας να διατηρήσει την ανωνυμία της στις υπηρεσίες ασφάλειας της ΕΤΟ είναι θεμελιώδους σημασίας για την ΥΠΔ. Υπάρχουν τρεις επιλογές σχετικά με την ανωνυμία-ψευδωνυμία του υποκειμένου επεξεργασίας: 1) το ψευδώνυμο παράγεται από την ΕΤΟ 2) το ψευδώνυμο παράγεται από το υποκείμενο επεξεργασίας με χρήση των λειτουργικών μονάδων (κμ ΠΤ_ΨΔ_01, ΠΤ_ΨΔ_04) του προστάτη ταυτότητας 3) το ΤΤΤ (βλ ) υποκαθιστά το ψευδώνυμο. Ο μηχανισμός με τον οποίο επιτυγχάνεται η ανωνυμία-ψευδωνυμία 32 είναι η αντικατάσταση του διακριτικού ονόματος που εμφανίζεται στο πιστοποιητικό με ένα ψευδώνυμο που αντιστοιχεί μονοσήμαντα στο ιδιοκτήτη του πιστοποιητικού. Είσοδος: έγκυρη αίτηση έκδοσης πιστοποιητικού ή ΤΤΤ Έξοδος: μοναδικό ψευδώνυμο σε αντιστοιχία 1-1 με το πραγματικό όνομα ή πληροφορίες χρήσιμες για την έκδοση ΤΤΤ 33 Λειτουργία: (1) ανάκτηση από την αίτηση της ύπαρξης ή μη της απαίτησης για ανωνυμία και των στοιχείων ταυτότητας του αιτούντος, (2) παραγωγή τυχαίου μοναδικού ψευδωνύμου, δοθέντος του οποίου δεν υπάρχει αλγόριθμος συνεπαγωγής του πραγματικού ονόματος, 32 Για τα είδη της ανωνυμίας βλ Τα ΤΤΤ προσφέρουν μη διακριβώσιμη ανωνυμία ενώ τα ανώνυμα πιστοποιητικά προσφέρουν διακριβώσιμη ανωνυμία. 33 n (n=σημερινή ημερομηνία - ΗΛCertΥκ), Hn(CertΥκ, RV), ΠΤΕΤΟ, URLRS, ΗΕΣΑΠΙ, ΗΛΣΑΠΙ. 34 Η λειτουργία αυτή δεν εκτελείται σε περιπτώσεις όπου το υποκείμενο έχει επιλέξει το ψευδώνυμό του με τον προστάτη ταυτότητας (βλ ). 35 (1) εκτέλεσε βήμα Οικονομικό Πανεπιστήμιο Αθηνών Σελ 216

217 (3) καταγραφή στη βάση δεδομένων της ΕΤΟ της 1-1 αντιστοιχίας ψευδωνύμου ή του ΤΤΤ και πραγματικού διακριτικού ονόματος, αφού κρυπτογραφηθεί η πληροφορία, (4) επιστροφή του ψευδωνύμου ή του ΤΤΤ και προώθηση του αιτήματος για την έκδοση του πιστοποιητικού. Συνεργασία με άλλες λειτουργικές μονάδες: ΕΤΟ_ΥΛ_01, ΕΤΟ_ΥΥ_03. Η λειτουργία εξασφάλισης της ανωνυμίας είναι ανεξάρτητη από τη διαδικασία πιστοποίησης της ταυτότητας της αιτούσας οντότητας και δεν θα πρέπει να επηρεάζει τη φερεγγυότητα του πιστοποιητικού. Παρά ταύτα τα ανώνυμα πιστοποιητικά δημοσίου κλειδιού δεν παύουν να αποτελούν μία ιδιαίτερη κλάση πιστοποιητικών και προορίζονται για ειδική χρήση. Σε αυτά τα πιστοποιητικά θα πρέπει να αναφέρεται σαφώς η χρήση του ψευδωνύμου αντί για το πραγματικό όνομα του υποκειμένου και ταυτόχρονα η περιγραφή της κλάσης στη Δήλωση Πρακτικών Πιστοποίησης (ΔΠΠ) γνωστοποιεί τις λεπτομέρειες της διαδικασίας εξασφάλισης της ανωνυμίας. Μηχανισμοί ανάκλησης της ανωνυμίας θα πρέπει να προβλέπονται κατόπιν αιτήματος, για τις περιπτώσεις επίλυσης διαφορών ή έπειτα από μία δικαστική εντολή [PΑΤ-99]. Η πληροφορία της αντιστοίχισης ψευδωνύμου και πραγματικής ταυτότητας φυλάσσεται κρυπτογραφημένη από την ΕΤΟ, όχι μόνο κατά τη διάρκεια του κύκλου ζωής ενός πιστοποιητικού, αλλά για όλο το διάστημα που οριοθετείται από το κανονιστικό πλαίσιο ως μέγιστος χρόνος επίλυσης διαφορών. Με τον προτεινόμενο μηχανισμό εξασφάλισης της ανωνυμίας μπορεί να παρέχεται ταυτόχρονα ισχυρή αυθεντικοποίηση και ένας σημαντικός βαθμός ιδιωτικότητας για ένα συγκεκριμένο τύπο συναλλαγών. Σε αυτές τις συναλλαγές πρωτεύουσα σημασία έχουν η διατήρηση της ακεραιότητας και ίσως της εμπιστευτικότητας των διακινούμενων δεδομένων και όχι το ίδιο το όνομα του συναλλασσόμενου, το οποίο χρησιμεύει μόνο όταν προκύψει κάποια διένεξη. Τέλος, η αρχή της επιλογής αποκάλυψης δίνει το δικαίωμα στο υποκείμενο επεξεργασίας να μην ανακοινώσει τα προσωπικά του δεδομένα που περιλαμβάνονται σε ένα πιστοποιητικό και πρέπει να γνωστοποιείται στην ΕΤΟ κατά την διαδικασία της καταχώρησης. Υπάρχουν δύο πολιτικές που ακολουθούνται σχετικά με την συμμετοχή σε δημόσια διαθέσιμες λίστες: 1. Η ανακοίνωση επιτρέπεται εκτός αν ρητά έχει απαγορευθεί (opt out) από το υποκείμενο. 2. Η ανακοίνωση απαγορεύεται εκτός αν ρητά έχει επιτραπεί (opt in) από το υποκείμενο. Ανεξάρτητα της πολιτικής που ακολουθείται το υποκείμενο πρέπει να ενημερώνεται για τις συνέπειες της ανακοίνωσης (ή μη) των δεδομένων του. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 217

218 Δημιουργία πιστοποιητικού Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Αφού ολοκληρωθεί η διαδικασία καταχώρησης του χρήστη από την αντίστοιχη μονάδα της ΕΤΟ, το αίτημα προωθείται στην παρούσα μονάδα (κμ ΕΤΟ_ΛΠ_02-1), η οποία δημιουργεί ένα πιστοποιητικό ή ΤΤΤ και το παραδίδει στην αιτούσα οντότητα. Κατά την φάση αυτή ολοκληρώνεται η αντιστοίχιση μεταξύ οντότητας και δημόσιου κλειδιού. Η αξιοπιστία αυτής της αντιστοίχισης είναι ευθύνη της υπηρεσίας καταχώρησης και αποτελεί ένα από τα βασικότερα σημεία για την ομαλή λειτουργία της ΥΔΚ και της ΥΠΔ γενικότερα. Η μονάδα παραλαμβάνει το ήδη πιστοποιημένο αίτημα και προχωράει στην έκδοση του πιστοποιητικού ή του ΤΤΤ χωρίς επιπλέον ελέγχους πιστοποίησης της ταυτότητας του αιτούντος. Τα πιστοποιητικά ή τα ΤΤΤ, αφού δημιουργηθούν υπογράφονται ψηφιακά με χρήση του ιδιωτικού κλειδιού της ΕΤΟ. Η υπογραφή αυτή κατοχυρώνει την ακεραιότητα και την αυθεντικότητα των πληροφοριών που περιέχονται στο πιστοποιητικό και ταυτόχρονα αποδεικνύει την ταυτότητα της εκδότριας αρχής. Η επιβεβαίωση αυτών των χαρακτηριστικών μπορεί να γίνει από οποιονδήποτε, χρησιμοποιώντας το δημόσιο κλειδί της ΕΤΟ. Είσοδος: (1) η επικυρωμένη αίτηση εγγραφής που παραλαμβάνεται ψηφιακά υπογεγραμμένη από την υπηρεσία καταχώρησης, (2) το χρονικό διάστημα ισχύος του πιστοποιητικού 36, (3) πρόσθετα στοιχεία όπως η κλάση του πιστοποιητικού, η επιτρεπόμενη χρήση του και το μορφότυπο εξόδου, το H n (CertΥκ, RV) στην περίπτωση του ΤΤΤ μπορούν να αποτελούν επίσης είσοδο σε αυτή τη λειτουργία Έξοδος: ένα έγκυρο πιστοποιητικό ή ΤΤΤ, με συγκεκριμένη μορφοποίηση, ψηφιακά υπογεγραμμένο από την ΕΤΟ Λειτουργία: (1) παραλαμβάνεται η εντολή έκδοσης πιστοποιητικού που αποστέλλει η μονάδα καταχώρησης (ΕΤΟ_ΛΠ_01) (2) επικυρώνεται η γνησιότητά της (3) ανακτώνται τα στοιχεία ταυτότητας που περιέχονται στην αίτηση του χρήστη και το δημόσιο κλειδί που είτε περιέχεται στην αίτηση είτε παράγεται από την υπηρεσία διαχείρισης κλειδιών της ΕΤΟ (4) καθορίζεται το περιεχόμενο των πεδίων επεκτάσεων που πιθανά περιέχονται στο πιστοποιητικό, σε σχέση με τη χρήση του, την κλάση του, τα σημεία διανομής ΛΑΠ και 36 Στην περίπτωση του ΤΤΤ, πρέπει να ισχύει η συνθήκη 4.1 (βλ ) Οικονομικό Πανεπιστήμιο Αθηνών Σελ 218

219 άλλες ιδιότητες (5) δημιουργείται το ψηφιακό πιστοποιητικό 37 (6) ανακτάται το ιδιωτικό κλειδί της ΕΤΟ (7) το πιστοποιητικό υπογράφεται ψηφιακά χρησιμοποιώντας το ιδιωτικό κλειδί της ΕΤΟ. Συνεργασία με άλλες λειτουργικές μονάδες: ΕΤΟ_ΥΛ_01, ΕΤΟ_ΛΠ_03, ΕΤΟ_ΛΠ_02-4. Κατά τη διάρκεια της περασμένης δεκαετίας έχουν προταθεί πολλά σχήματα ΥΔΚ, όπου χρησιμοποιούνται διαφορετικά πρότυπα για τη μορφή των πιστοποιητικών. Τα πιο σημαντικά από αυτά είναι: πιστοποιητικά Χ.509 [ITU-01] πρότυπο SDSI [ELL-99] εφαρμογή PGP [ZIM-95] επέκταση ασφάλειας στο πρότυπο DNS [EAS-99] Στις μέρες μας, οι μορφές πιστοποιητικών με την ευρύτερη αποδοχή και εφαρμογή είναι αυτές του PGP και του Χ.509. Tο πρώτο είναι πολύ απλό και αποτελείται από ένα δημόσιο κλειδί, μια διεύθυνση ηλεκτρονικού ταχυδρομείου και ένα επίπεδο εμπιστοσύνης το οποίο καθορίζεται από τους χρήστες των πιστοποιητικών (π.χ. τον παραλήπτη ενός ασφαλούς μηνύματος). Παρότι, το πιστοποιητικό PGP είναι πολύ απλό, δεν προβλέπει μηχανισμούς επέκτασης και συνεπώς η χρήση του περιορίζεται σε συγκεκριμένες μόνο εφαρμογές ψηφιακής υπογραφής. Η έλλειψη ευελιξίας το καθιστά ανεπαρκές στη χρήση του σε υπηρεσίες προστιθέμενης αξίας σε ανοικτά κατανεμημένα περιβάλλοντα. Για τον λόγο αυτό το ενδιαφέρον της κριτικής αυτής ανάλυσης επικεντρώνεται στα πιστοποιητικά Χ.509. Η σημερινή δημοσιευμένη έκδοση του προτύπου Χ.509 είναι η τρίτη. Η σημαντικότερη διαφοροποίηση από τις προηγούμενες εκδόσεις είναι η υποστήριξη της δια-πιστοποίησης, η οποία επεκτείνει τη διαλειτουργικότητα των ΕΤΟ πέρα από τα όρια που θέτει μία αυστηρή ιεραρχία. 37 Στην περίπτωση του ΤΤΤ, εκτέλεσε βήμα Οικονομικό Πανεπιστήμιο Αθηνών Σελ 219

220 Διανομή πιστοποιητικών Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Αφού δημιουργηθεί ένα πιστοποιητικό ή ΤΤΤ, η ΕΤΟ είναι υπεύθυνη να το παραδώσει ασφαλώς στην αιτούσα οντότητα. Οι απαιτήσεις ασφάλειας σε αυτή τη διαδικασία περιορίζονται μόνο στην ακεραιότητα και την αυθεντικότητα του πιστοποιητικού. Η εμπιστευτικότητα δεν απαιτείται, αφού ένα πιστοποιητικό ή ΤΤΤ όχι μόνο επιτρέπεται, αλλά επιβάλλεται να είναι δημόσια προσπελάσιμο. Εφόσον το πιστοποιητικό ή το ΤΤΤ είναι μία ψηφιακά υπογεγραμμένη δομή δεδομένων, δεν απαιτούνται επιπλέον μηχανισμοί ασφάλειας κατά τη διανομή του. Συνεπώς η λειτουργικότητα αυτής της μονάδας (κμ ΕΤΟ_ΛΠ_02-2) περιορίζεται στην επιλογή του φυσικού μέσου διανομής και στην επιβεβαίωση λήψης από τον παραλήπτη. Είσοδος: έγκυρο πιστοποιητικό (+ H(CertYκ, RV), n, RV στην περίπτωση ΤΤΤ) Έξοδος: (1) μια δυαδική τιμή που υποδεικνύει εάν το πιστοποιητικό έχει διανεμηθεί επιτυχώς στην αιτούσα οντότητα ή όχι και (2) στην αρνητική περίπτωση τον κωδικό σφάλματος Λειτουργία: (1) το πιστοποιητικό εισόδου αποστέλλεται στον ιδιοκτήτη του με το επιλεγμένο ηλεκτρονικό ή φυσικό μέσο, (2) αναμένεται θετική επιβεβαίωση παραλαβής σε εύλογο χρονικό διάστημα (3) επανάληψη της αποστολής με άλλο μέσο σε περίπτωση μη λήψης επιβεβαίωσης (4) καταγραφή του χρονικού στο ημερολόγιο της ΕΤΟ. Η διανομή του πιστοποιητικού μπορεί να γίνει με τους εξής τρόπους: φυσικό μεταφέρσιμο μέσο αποθήκευσης (δισκέτα, έξυπνη κάρτα) ένα πρωτόκολλο πρόσβασης στην υπηρεσία ευρετηρίου (LDAP) ένα πρωτόκολλο ηλεκτρονικού ταχυδρομείου (SMTP, IMAP, POP3) το πρωτόκολλο μεταφοράς αρχείων (FTP) το πρωτόκολλο υπερκειμένου (HTTP) Αποθήκευση πιστοποιητικού Η δημιουργία ενός πιστοποιητικού ή ΤΤΤ είναι απαραίτητο να ακολουθείται από την αποθήκευσή του σε ασφαλή μέσα για ποικίλους λόγους, όπως η ύπαρξη αντιγράφων ασφαλείας, η δημοσιοποίηση των πιστοποιητικών ή ΤΤΤ από την υπηρεσία ευρετηρίου, η ανάκτηση των πιστοποιητικών ή ΤΤΤ από τους χρήστες τους, αλλά και η ανάκτηση για χρήση από τις άλλες υπηρεσίες της ΕΤΟ. Η παρούσα μονάδα (κμ ΕΤΟ_ΛΠ_02-3) αναλαμβάνει αυτό το έργο. Είσοδος: (1) πιστοποιητικό ή ΤΤΤ (+ Δείκτης προς CertYκ στην περίπτωση ΤΤΤ), (2) κωδικός μέσου αποθήκευσης Οικονομικό Πανεπιστήμιο Αθηνών Σελ 220

221 Έξοδος: (1) μια δυαδική τιμή που υποδεικνύει εάν το πιστοποιητικό ή το ΤΤΤ έχει αποθηκευθεί επιτυχώς ή όχι και (2) στην αρνητική περίπτωση τον κωδικό σφάλματος Λειτουργία: η λειτουργία της μονάδας αυτής προφανώς είναι διαφορετική, ανάλογα με το αποθηκευτικό μέσο που έχει επιλεχθεί. Ως αποθηκευτικά μέσα δεν νοούνται εδώ μόνο τα φυσικά μέσα αλλά γενικά τα συστήματα διαχείρισης πληροφορίας. Η αποθήκευση του πιστοποιητικού θα πρέπει να γίνεται σε δύο τουλάχιστο αποθηκευτικά μέσα. Διακρίνονται τα παρακάτω συστήματα ως μέσα αποθήκευσης πιστοποιητικών: ένα ευρετήριο X.500 που είναι προσπελάσιμο χρησιμοποιώντας το πρωτόκολλο LDAP ένα σύστημα διαχείρισης βάσεων δεδομένων (DBMS) που είναι προσπελάσιμο μέσω ανοικτών εργαλείων που παρέχουν μία διεπαφή σε SQL (Structured Query Language) έναν εξυπηρέτη αρχειοθέτησης (file server) που είναι προσπελάσιμος μέσω FTP έναν εξυπηρέτη ιστοσελίδων (web server) που είναι προσπελάσιμος μέσω HTTP μαγνητικά μέσα μαζικής αποθήκευσης ως αντίγραφα ασφαλείας Ανάκτηση πιστοποιητικού Η λειτουργία των υπηρεσιών ΕΤΟ και γενικότερα η δομή της ΥΔΚ στηρίζεται στην υψηλή και καθολική διαθεσιμότητα των εκδοθέντων πιστοποιητικών για ολόκληρη την κοινότητα που χρησιμοποιεί αυτές τις υπηρεσίες. Το έργο αυτό αναλαμβάνει η παρούσα μονάδα (κμ ΕΤΟ_ΛΠ_02-4). Τυπικό παράδειγμα που αποδεικνύει τη σημαντικότητα της λειτουργίας ανάκτησης ενός τυχαίου πιστοποιητικού, είναι η επιβεβαίωση της ψηφιακής υπογραφής ενός χρήστη που συναλλάσσεται μαζί μας για πρώτη φορά. Η εξασφάλιση της εγκυρότητας της υπογραφής γίνεται με τη χρήση του δημόσιου κλειδιού του αποστολέα, το οποίο περιέχεται στο πιστοποιητικό του, ενώ η αδιαμφισβήτητη αντιστοίχιση του μηνύματος με τον αποστολέα του ως φυσική οντότητα γίνεται με τα επιπλέον στοιχεία που περιέχονται στο πιστοποιητικό και προσδιορίζουν μονοσήμαντα την ταυτότητά του. Είσοδος: (1) αίτημα χρήστη (2) πρωτόκολλο και διεύθυνση επιστροφής πιστοποιητικού ή ΤΤΤ (3) κριτήρια αναζήτησης που προσδιορίζουν μονοσήμαντα ένα πιστοποιητικό, όπως (αρχή έκδοσης + σειριακός αριθμός πιστοποιητικού) ή το διακριτικό όνομα (distinguished name) του υποκειμένου Έξοδος: έγκυρο πιστοποιητικό ή ΤΤΤ Λειτουργία: (1) έλεγχος εγκυρότητας του αιτήματος και των κριτηρίων αναζήτησης, (2) προαιρετική αυθεντικοποίηση του αιτούντος, (3) αναζήτηση στον αποθηκευτικό σύστημα της επιλογής του χρήστη ή της ΕΤΟ, (4) επιστροφή του πιστοποιητικού στον αποστολέα του αιτήματος. Σε αυτή τη λειτουργία υπάρχει αλληλεπίδραση με οντότητες εκτός του οργανισμού. Είναι συνεπώς απαραίτητο να έχουν υλοποιηθεί οι κατάλληλες διεπαφές αυτοματοποιημένης Οικονομικό Πανεπιστήμιο Αθηνών Σελ 221

222 πρόσβασης στα αποθηκευτικά μέσα. Στο επίπεδο εφαρμογής τελικού χρήστη η διεπαφή μπορεί να είναι κοινή και η πρόσβαση σε διαφορετικά αποθηκευτικά συστήματα να είναι διαφανής. Εναλλακτικά μπορούν να παρέχονται διαφορετικών ειδών διεπαφές ανάλογα με το αποθηκευτικό σύστημα. Σε κάθε περίπτωση διακρίνονται οι εξής τρόποι πρόσβασης: ιδιοσκευή εφαρμογής τελικού χρήστη που υλοποιεί τα πρωτόκολλα LDAP ή ODBC και επικοινωνεί απευθείας με την υπηρεσία ευρετηρίου ή το σύστημα διαχείρισης βάσης δεδομένων της ΕΤΟ διεπαφή μεταβίβασης ερωτημάτων (queries) στην υπηρεσία ευρετηρίου εφαρμογή που υλοποιεί το πρωτόκολλο FTP για την πρόσβαση στον εξυπηρετητή αρχειοθέτησης της ΕΤΟ ένας διαδικτυακός τόπος που εκτελεί διεργασίες στην πλευρά του εξυπηρετητή και επιστρέφει το ζητούμενο πιστοποιητικό με το πρωτόκολλο HTTP. Επισημαίνεται ότι από τις παραπάνω εναλλακτικές λύσεις, η διεπαφή μεταβίβασης ερωτημάτων στην υπηρεσία ευρετηρίου συγκεντρώνει τα περισσότερα πλεονεκτήματα για τη γενική περίπτωση υλοποίησης μιας ΕΤΟ. Η υλοποίησή της είναι απλή, τα χρησιμοποιούμενα πρότυπα τυγχάνουν ευρείας αποδοχής και μπορούν να πραγματοποιηθούν αναζητήσεις θέτοντας πολύπλοκα κριτήρια για τις επιπλέον πληροφορίες που περιέχει ένα ευρετήριο Παροχή αποδείξεων Η απόδοση ευθυνών (accountability), η ανιχνευσιμότητα (traceability) και η παροχή εγγυήσεων (guarantee) αποτελούν βασικές ιδιότητες των συναλλαγών στην τεχνολογική διαδικτυακή ΥΠΔ και απαιτούνται από τους χρήστες των υπηρεσιών ΕΤΟ. Η μονάδα διαχείρισης αποδείξεων (evidence management, κμ ΕΤΟ_ΛΠ_05) παρέχει τις λειτουργίες για τη δημιουργία, αποθήκευση, ανάκτηση και μετάφραση στοιχείων που αποδεικνύουν ότι μια συγκεκριμένη οντότητα επεξεργάστηκε ή εκτέλεσε κάποιες ενέργειες σε ένα σύνολο δεδομένων. Τα στοιχεία πρέπει να είναι τέτοια ώστε να μπορούν να πείσουν μια ανεξάρτητη οντότητα, σε χρονικά μεταγενέστερη στιγμή από εκείνη της επεξεργασίας, σχετικά με την εγκυρότητα του ισχυρισμού αυτού. Ο όρος διαχείριση αποδεικτικών στοιχείων χρησιμοποιείται στο παρόν κείμενο ως μία ευρεία έννοια που περιλαμβάνει μεταξύ άλλων και την μη-αποποίηση (non-repudiation) μίας οντότητας για την ευθύνη της σε μία πράξη ή ένα γεγονός. Τα στοιχεία που παρέχονται από την υπηρεσία αυτή χρησιμοποιούνται σε περιπτώσεις όπου απαιτείται διαιτησία (arbitration) για την επίλυση διενέξεων (disputes) μεταξύ δύο ή περισσότερων συναλλασσομένων, τουλάχιστον ένας από τους οποίους βρίσκεται μέσα στο πεδίο ασφάλειας της ΕΤΟ. Τυπικά παραδείγματα είναι η υπηρεσία Πρόσβαση σε ανώνυμα περιγράμματα (κεφάλαιο 4) και η Επιλογή αποκάλυψης Ταυτότητας (κεφάλαιο 6). Η διαχείριση των αποδεικτικών στοιχείων εξελίσσεται στις εξής φάσεις [ISO-10181]: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 222

223 Παραγωγή στοιχείων. Γίνεται κατά τη διάρκεια εκτέλεσης μίας διεργασίας για την οποία απαιτείται καταγραφή αποδεικτικών στοιχείων. Εκτελείται είτε από τον εκτελούντα τη διεργασία είτε από την ΕΤΟ για λογαριασμό του εκτελούντα. Αποθήκευση και ανάκτηση στοιχείων. Είναι οι διεργασίες μεταφοράς των αποδεικτικών στοιχείων σε αποθηκευτικά μέσα και όπου αλλού απαιτείται. Επαλήθευση αποδεικτικών στοιχείων. Ο χρήστης της πληροφορίας που περιέχεται σε ένα αποδεικτικό στοιχείο θα πρέπει να μπορεί να την επαληθεύσει ως προς την αυθεντικότητά, την ακεραιότητα και την εγκυρότητά της. Επίλυση διενέξεων και διαιτησία. Ο διαιτητής συλλέγει τεκμήρια και αποδεικτικά στοιχεία από τα ίδια τα συναλλασσόμενα μέρη ή από την ΕΤΟ που έχει το ρόλο του καταγράφοντα. Τα τεκμήρια αυτά θα πρέπει να είναι αποδεδειγμένα ακριβή και έγκυρα. Η παραγωγή, αποθήκευση και επαλήθευση των αποδεικτικών στοιχείων αποτελούν μία υπηρεσία υψηλού επιπέδου, η οποία δεν λειτουργεί αυτόνομα, αλλά σε συνεργασία με τις υπηρεσίες χρονοσήμανσης και συμβολαιογράφου για την παραγωγή, την υπηρεσία αρχειοθέτησης για την αποθήκευση και ανάκτηση και την υπηρεσία ψηφιακών υπογραφών για την επαλήθευση. Θα πρέπει να σημειωθεί ότι η αξία των αποδεικτικών στοιχείων που συγκεντρώνονται με αυτοματοποιημένους τρόπους, όπως οι υπηρεσίες της ΕΤΟ, εξαρτάται άμεσα από την ύπαρξη μίας αποτελεσματικά ανεπτυγμένης πολιτικής διαχείρισης αποδείξεων. Η πολιτική αυτή καθορίζεται από περιβαλλοντικούς παράγοντες όπως το νομικό και κανονιστικό πλαίσιο, οι ειδικές εφαρμογές και η καταστολή συγκεκριμένων απειλών. Η επίλυση διαφορών προϋποθέτει την ύπαρξη διαδικασίας παράκαμψης ανωνυμίας (βλ ) σε περιπτώσεις όπου το υποκείμενο επεξεργασίας κατέχει ανώνυμο πιστοποιητικό. Σε αυτή την περίπτωση χρησιμοποιείται ένα ψευδώνυμο για την αναφορά των υπηρεσιών ΕΤΟ σε αυτή την οντότητα και ταυτόχρονα κρατείται στα αρχεία της ΕΤΟ η αντιστοίχιση ψευδωνύμου και πραγματικής ταυτότητας. Κατά τη φάση ανάκτησης αποδεικτικών τεκμηρίων για την επίλυση διενέξεων είναι βέβαιο ότι θα απαιτηθεί από τη διαιτησία ή τη δικαστική αρχή, η παράκαμψη της ανωνυμίας των εμπλεκόμενων οντοτήτων. Συνεπώς η ΕΤΟ θα πρέπει να παρέχει τη σχετική λειτουργική μονάδα. Είσοδος: (1) αίτηση παράκαμψης της ανωνυμίας, (2) ψευδώνυμο Έξοδος: πραγματικά στοιχεία ταυτότητας που αντιστοιχούν στο δοθέν ψευδώνυμο ή απόρριψη της αίτησης Οικονομικό Πανεπιστήμιο Αθηνών Σελ 223

224 Λειτουργία: (1) έλεγχος της εγκυρότητας της αίτησης, δηλαδή αυθεντικοποίηση του αιτούντος και διαπίστωση για το εάν έχει αρμοδιότητα να ζητήσει παράκαμψη της ανωνυμίας 38, (2) αναζήτηση στη βάση δεδομένων της ΕΤΟ για την αντιστοίχιση του ψευδωνύμου, (3) επιστροφή των πραγματικών στοιχείων ταυτότητας ψηφιακά υπογεγραμμένων από την ΕΤΟ και κρυπτογραφημένα με το δημόσιο κλειδί του αιτούντος. Συνεργασία με άλλες λειτουργικές μονάδες: ΕΤΟ_ΥΛ_01, ΕΤΟ_ΥΛ_02, ΕΤΟ_ΛΠ_01, ΕΤΟ_ΛΠ_04, ΕΤΟ_ΛΠ_08, ΕΤΟ_ΛΠ_ Η ΕΤΟ ως Αρχή Χρονοσήμανσης Ως υπηρεσία χρονοσήμανσης (κμ ΕΤΟ_ΛΠ_04) ορίζεται η δημιουργία των απαραίτητων τεκμηρίων για ένα σύνολο δεδομένων σε ψηφιακή μορφή, έτσι ώστε να μπορεί να αποδειχθεί ότι τα δεδομένα αυτά υπήρχαν σε μία συγκεκριμένη χρονική στιγμή. Με τον όρο υπήρχαν εννοείται ότι τα δεδομένα κατασκευάστηκαν το αργότερο τη χρονική στιγμή της χρονοσήμανσης και ταυτόχρονα ότι δεν καταστράφηκαν τουλάχιστο μέχρι αυτή τη χρονική στιγμή. Ουσιαστικά, η υπηρεσία αυτή αντιστοιχίζει ένα ηλεκτρονικό κείμενο με μια συγκεκριμένη χρονική στιγμή και εγγυάται την ακρίβεια του χρόνου και της αντιστοίχισης. Επιπρόσθετα, η υπηρεσία αυτή παρέχει αποδεικτικά στοιχεία για το χρόνο εκτέλεσης μιας συναλλαγής, δηλαδή ότι η διακίνηση κάποιων δεδομένων έχει λάβει χώρα σε μια συγκεκριμένη χρονική στιγμή. Λειτουργεί υποστηρικτικά στην υπηρεσία παροχής αποδείξεων (κμ ΕΤΟ_ΛΠ_05), ενώ σε συνδυασμό με τις υπηρεσίες καταγραφής ημερολογίου (κμ ΕΤΟ_ΥΛ_03) και αρχειοθέτησης (κμ ΕΤΟ_ΥΛ_02) υποστηρίζει τις απαιτήσεις απόδειξης κατοχής και μοναδικότητας ενός κειμένου. Τέλος, η υπηρεσία συναντάται στη βιβλιογραφία και ως ανεξάρτητη διοικητικά αρχή, γνωστή ως Αρχή Χρονοσήμανσης (Time-stamping Authority TSA) ή Έμπιστη Οντότητα Χρονοσήμανσης και είναι απαραίτητη για τη λειτουργία της τριτεγγύησης ταυτότητας (βλ ). Το γενικό σενάριο λειτουργίας της υπηρεσίας χρονοσήμανσης ολοκληρώνεται σε τέσσερα βήματα: (1) αποστολή αιτήματος χρονοσήμανσης από τον πελάτη προς την ΕΤΟ (2) λήψη επαλήθευση και αποδοχή του αιτήματος από την ΕΤΟ (3) παραγωγή χρονοσφραγίδας και επιστροφή στον πελάτη (4) επιβεβαίωση της εγκυρότητας της χρονοσφραγίδας από τον πελάτη. Παρά το γεγονός ότι αυτή η λειτουργική μονάδα αποτελείται από επιμέρους 38 Αν ψευδώνυμο==χk{ ΤΥθ, Hn-k, ΣΑΠΙΥκ} τότε εκτέλεσε το βήμα Οικονομικό Πανεπιστήμιο Αθηνών Σελ 224

225 λειτουργίες η ονοματοδοσία (κμ ΕΤΟ_ΛΠ_04) αναφέρεται στην ομάδα ως σύνολο. Παραταύτα για λόγους πληρότητας παρουσιάζονται οι επιμέρους λειτουργίες της μονάδας. Βασικός παράγοντας στη λειτουργία της υπηρεσίας είναι η ανάκτηση του ακριβούς χρόνου από ένα γενικά αποδεκτό σύστημα παροχής ώρας, όπως η υπηρεσία Network Time Protocol NTP ή το δορυφορικό σύστημα εντοπισμού στίγματος Global Positioning System GPS. Επίσης σημαντική είναι η υψηλή διαθεσιμότητα των πόρων της υπηρεσίας, έτσι ώστε οι λειτουργίες της να εκτελούνται σε πραγματικό χρόνο και να συνεπώς να διατηρείται η ακρίβεια της χρονοσήμανσης Λήψη και έλεγχος εγκυρότητας της αίτησης χρονοσήμανσης Η αίτηση χρονοσήμανσης αποστέλλεται στην ΕΤΟ από την ενδιαφερόμενη οντότητα σε ηλεκτρονική μορφή με κάποιο πρωτόκολλο μεταφοράς δυαδικών δεδομένων (π.χ. FTP ή SMTP). Σε κάθε περίπτωση πρέπει να χαρακτηρίζεται από την ασφαλή μεταβίβασή της, τη συγκεκριμένη μορφοποίηση που διευκολύνει την επεξεργασία της και την ελαχιστοποίηση του μεγέθους της. Γνωστά πρότυπα προτείνουν συγκεκριμένη δομή για την αίτηση χρονοσήμανσης, όπως το PKITS [FΝΜ-98] και το TIMESEC [QUI-99]. Η αίτηση χρονοσήμανσης είναι ψηφιακά υπογεγραμμένη από την αιτούσα οντότητα έτσι ώστε να διατηρείται η ακεραιότητά της και να είναι δυνατή η αυθεντικοποίηση του αιτούντος. Περιέχει όλα τα στοιχεία εκείνα που χρειάζονται για την επεξεργασία της αίτησης και την παραγωγή της χρονοσφραγίδας. Τα δεδομένα προς χρονοσήμανση δεν είναι απαραίτητο και δεν πρέπει να αποστέλλονται στην ΕΤΟ, αφού η συγκεκριμένη υπηρεσία δεν επεξεργάζεται το περιεχόμενο των δεδομένων, σε αντίθεση με την υπηρεσία συμβολαιογράφου. Συνεπώς η αίτηση δεν θα πρέπει να περιέχει τα ίδια τα δεδομένα αλλά μία μορφή τους που τα προσδιορίζει μονοσήμαντα και από την οποία δεν είναι δυνατό να εξαχθούν τα αρχικά δεδομένα. Αυτή η μορφή μπορεί να είναι είτε το αποτέλεσμα της κρυπτογράφησης των δεδομένων από τον αιτούντα ή η σύνοψη που παράγεται από έναν αλγόριθμο δημοσίου κλειδιού, όπως ο MD5 ή ο SHA-1. Η δεύτερη εναλλακτική υπερτερεί εφόσον διατηρεί μικρό το μέγεθος της αίτησης, ενώ η πρώτη εναλλακτική είναι χρήσιμη μόνο όταν τα χρονοσημασμένα και κρυπτογραφημένα δεδομένα απευθύνονται σε έναν ή σε κλειστή ομάδα παραληπτών. Είσοδος: αίτηση χρονοσήμανσης η οποία περιέχει μία σύνοψη των δεδομένων προς χρονοσήμανση ή περισσότερες συνόψεις κειμένων που αποτελούν μία ολότητα και απαιτείται να χρονοσημανθούν ταυτόχρονα Έξοδος: δυαδική τιμή που υποδεικνύει επιτυχή ή ανεπιτυχή λήψη και επιβεβαίωση της εγκυρότητας της αίτησης Λειτουργία: (1) σύναψη ασφαλούς δικτυακής επικοινωνίας με την αιτούσα οντότητα, (2) λήψη της αίτησης (3) αποθήκευση της αίτησης σε προεπιλεγμένο μέσο (4) έλεγχος της σωστής μορφοποίησης και κωδικοποίησης της αίτησης ώστε να είναι αναγνώσιμη (5) Οικονομικό Πανεπιστήμιο Αθηνών Σελ 225

226 επικύρωση της ψηφιακής υπογραφής της αίτησης και αυθεντικοποίηση του αιτούντος (6) ανάλυση της αίτησης και ανάκτηση των πληροφοριών που περιέχει (7) επικύρωση των στοιχείων της αίτησης σύμφωνα με συγκεκριμένους κανόνες που έχουν τεθεί από την πολιτική πιστοποίησης της ΕΤΟ (8) επιστροφή θετικής ή αρνητικής απάντησης. Εκτός από την εγκυρότητα της ψηφιακής υπογραφής του αιτούντος η επικύρωση ή η απόρριψη της αίτησης χρονοσήμανσης εξαρτάται από τους κανόνες που θέτονται από τις πολιτικές της ΕΤΟ. Η συμμόρφωση προς αυτούς τους κανόνες καθορίζεται από τα παρακάτω τυπικά ερωτήματα: ανήκει η αιτούσα οντότητα στο πεδίο ασφάλειας της ΕΤΟ και άρα της επιτρέπεται η χρήση της υπηρεσίας χρονοσήμανσης ; το πιστοποιητικό της αιτούσας οντότητας θέτει τυχόν περιορισμούς για τη χρήση του στην αυθεντικοποίηση του αιτήματος χρονοσήμανσης ; η ΕΤΟ είναι εξουσιοδοτημένη να εκδώσει χρονοσφραγίδες για τον συγκεκριμένο τύπο χρήστη; Ανάκτηση ασφαλούς χρόνου Διαφορετικοί άνθρωποι και συστήματα αντιλαμβάνονται διαφορετικά την έννοια του χρόνου. Για τις ανάγκες της παρούσας ανάλυσης υιοθετούμε τον εξής ορισμό: Ο χρόνος είναι μία μονοτονικά αυξανόμενη τιμή, η οποία έχει συμφωνηθεί μεταξύ των ενδιαφερόμενων μερών, έτσι ώστε όταν ένα σύνολο δεδομένων χαρακτηρίζεται από μία τιμή χρόνου, είναι πάντα δυνατός ο έλεγχος δύο δοθέντων χρονοσημασμένων συνόλων δεδομένων ως προς το ποιο από τα δύο χρονοσημάνθηκε πρώτο ή εάν οι χρονοσφραγίδες ήταν ταυτόχρονες. Είναι αυτονόητο ότι η τιμή του χρόνου που χρησιμοποιείται για τη δημιουργία της χρονοσφραγίδας πρέπει να ανακτηθεί από αξιόπιστη πηγή. Τέτοιου είδους ασφαλείς πηγές χρόνου (Secure Time Sources - STS) που αναγνωρίζονται ευρέως είναι το δορυφορικό σύστημα εντοπισμού θέσης (Global Positioning System GPS) ο χρόνος UTC και οι εξυπηρετητές που παρέχουν την υπηρεσία NTP (Network Time Protocol). Ο όρος ασφαλείς στην περίπτωση των πηγών χρόνου αφορά στα χαρακτηριστικά της ακρίβειας της παρεχόμενης τιμής και της διαθεσιμότητα της υπηρεσίας. Είσοδος: Έξοδος: αίτηση ανάκτησης χρόνου σε κάποια ασφαλή πηγή χρόνου (1) τιμή χρόνου (2) μορφοποίηση της τιμής χρόνου Λειτουργία: (1) αποστολή αιτήματος ανάκτησης χρόνου στην ασφαλή πηγή που έχει προεπιλεχθεί από τις πολιτικές της ΕΤΟ, χρησιμοποιώντας τα απαραίτητα εργαλεία, πρωτόκολλα ή διεπαφές (2) λήψη της τιμής χρόνου (3) επανάληψη της λειτουργίας με εναλλακτική πηγή χρόνου σε περίπτωση μη λήψης απάντησης (4) προσαρμογή της τιμής στη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 226

227 ζώνη ώρας της γεωγραφικής περιοχής του αιτούντος (5) μορφοποίηση και επιστροφή των στοιχείων εξόδου Παραγωγή χρονοσφραγίδας Το βήμα αυτό αποτελεί τη βασική λειτουργία του πρωτοκόλλου χρονοσήμανσης. Η διαδικασία που μπορεί να χρησιμοποιηθεί για τον σκοπό αυτό, μπορεί να επιλεγεί μεταξύ τριών διαφορετικών περιπτώσεων, όπου κάθε μια εξυπηρετεί διαφορετικές απαιτήσεις ασφάλειας και λειτουργικότητας. Είσοδος: έγκυρη αίτηση χρονοσήμανσης Έξοδος: δομή ψηφιακά υπογεγραμμένη από την ΕΤΟ για την οποία χρησιμοποιούμε την ονομασία χρονοσφραγίδα ή πιστοποιητικό χρονοσήμανσης, που περιλαμβάνει (1) την ταυτότητα του αιτούντος συνήθως το ψηφιακό πιστοποιητικό του (2) τη σύνοψη των δεδομένων που αποστάλθηκε προς χρονοσήμανση, (3) τον ασφαλή χρόνο, δηλαδή την έξοδο της λειτουργίας που περιγράφηκε σε προηγούμενη παράγραφο (4) έναν σειριακό αριθμό ως τιμή αναφοράς της χρονοσφραγίδας που παράχθηκε Λειτουργία: (1) ανάκτηση των στοιχείων που περιέχονται στην αίτηση του πελάτη, της οποίας η εγκυρότητα έχει ήδη επιβεβαιωθεί (2) ανάκτηση του ασφαλούς χρόνου όπως περιγράφηκε στην σχετική λειτουργία (3) ανάκτηση του τελευταίου σειριακού αριθμού που έχει δοθεί στην προηγούμενη χρονικά χρονοσφραγίδα που δημιουργήθηκε (4) δημιουργία της χρονοσφραγίδας (5) ψηφιακή υπογραφή της χρονοσφραγίδας από την ΕΤΟ (6) επιστροφή του πιστοποιητικού χρονοσήμανσης. Η έξοδος της λειτουργίας μπορεί να περιγραφεί πιο τυπικά με μία συνάρτηση TS(x)=S(sk, Concat(Id, {Hi, Hi(x)}, sn, st)) όπου x είναι τα δεδομένα για τα οποία ζητείται η χρονοσήμανση και S είναι η συνάρτηση σύνοψης που χρησιμοποιείται από την ΕΤΟ για την ψηφιακή υπογραφή της χρονοσφραγίδας, χρησιμοποιώντας το ιδιωτικό της κλειδί sk. Τα δεδομένα που υπογράφονται από την ΕΤΟ είναι η συνένωση (Concat) της ταυτότητας του αιτούντος Id (συνήθως το ψηφιακό του πιστοποιητικό) της ακολουθίας των ζευγών συναρτήσεων σύνοψης Hi και τιμών σύνοψης των δεδομένων Hi(x), του σειριακού αριθμού της χρονοσφραγίδας sn και του ασφαλούς χρόνου st. Στο [FNM-98] παρουσιάζονται δύο εναλλακτικές προσεγγίσεις στη λειτουργία παραγωγής χρονοσφραγίδων. Η πρώτη περίπτωση αποτελεί παραλλαγή της διαδικασίας που ήδη περιγράφηκε. Η ιδέα στηρίζεται στην προσθήκη επιπλέον πληροφοριών σε κάθε χρονοσφραγίδα που εκδίδεται, οι οποίες αναφέρονται μοναδικά στο αμέσως προηγούμενο χρονικά πιστοποιητικό. Με αυτόν τον τρόπο δημιουργείται μία μονόδρομη συνδεδεμένη λίστα πιστοποιητικών με μονοσήμαντα αυξανόμενο χρόνο, έτσι ώστε να είναι αδύνατη η δημιουργία μιας χρονοσφραγίδας που βεβαιώνει προγενέστερη χρονική στιγμή από το τελευταίο πιστοποιητικό χρονοσήμανσης που εκδόθηκε. Στόχος αυτής της εναλλακτικής Οικονομικό Πανεπιστήμιο Αθηνών Σελ 227

228 λύσης είναι η ελαχιστοποίηση της πιθανότητας παραχάραξης ετεροχρονισμένων χρονοσφραγίδων, ακόμα και από την ίδια την ΕΤΟ. Παρόμοια λύση προτείνεται στο TIMESEC [QUI-99], όπου οι χρονοσφραγίδες αποθηκεύονται σε ένα δυαδικό δέντρο. Τα φύλλα του δέντρου είναι οι χρονοσφραγίδες, οι πατρικοί κόμβοι είναι οι συνόψεις τους και η κορυφή είναι η σύνοψη των συνόψεων του δευτέρου επιπέδου. Η σύνοψη κορυφής παράγεται περιοδικά ανά σύντομα χρονικά διαστήματα και δημοσιοποιείται. Είναι σαφές ότι δεν μπορεί να υπάρξει παραποίηση ή παρεμβολή στις χρονοσφραγίδες που έχουν ήδη εκδοθεί, χωρίς να υπάρξει αλλαγή στην σύνοψη που βρίσκεται στην κορυφή του δέντρου. Η δεύτερη εναλλακτική προσέγγιση είναι η κατανεμημένη χρονοσήμανση, όπου δεν προϋποτίθεται η ύπαρξη μίας ΕΤΟ αλλά ένα δίκτυο αρχών χρονοσήμανσης οι οποίες δεν είναι απαραίτητα έμπιστες. Ο χρήστης της υπηρεσίας επιλέγει τυχαία, με τη βοήθεια μίας γεννήτριας τυχαίων αριθμών, έναν ελάχιστο αριθμό n αρχών χρονοσήμανσης από τις οποίες αιτείται χρονοσήμανση σύμφωνα με τη βασική διαδικασία που έχουμε περιγράψει. Η ακολουθία των επιστρεφόμενων υπογεγραμμένων χρονοσφραγίδων tsi αποτελεί το πιστοποιητικό χρονοσήμανσης TS=(ts1,, tsn). Τα θετικό στοιχεία αυτής της λύσης είναι ότι η απαιτούμενη αξιοπιστία της χρονοσήμανσης είναι ρυθμιζόμενη κατά περίπτωση, αφού εξαρτάται από τον αριθμό n που συμμετέχουν στο δίκτυο αρχών πιστοποίησης. Από την άλλη πλευρά η διαδικασία είναι αργή, ακόμα και αν η συλλογή των χρονοσφραγίδων γίνεται ασύγχρονα, ενώ υπεισέρχονται στο σύστημα πολλαπλά σημεία αποτυχίας Διατήρηση ημερολογίου παραχθέντων χρονοσφραγίδων Η διατήρηση των χρονοσφραγίδων που παράγει η ΕΤΟ σε ένα ημερολόγιο σχετικών πράξεων είναι βασική απαίτηση για την υποστήριξη των υπηρεσιών παροχής αποδείξεων και συγκεκριμένα για τις λειτουργίες μη αποποίησης. Ο δεύτερος σημαντικός λόγος για την ύπαρξη του ημερολογίου είναι η διατήρηση ολόκληρης της ακολουθίας των χρονοσφραγίδων που έχουν εκδοθεί και έχουν κάποια μορφή συσχέτισης μεταξύ τους, έτσι ώστε να αποδεικνύεται η μη παρεμβολή παραχαραγμένων ή προχρονολογημένων χρονοσφραγίδων. Είσοδος: Έξοδος: έγκυρη, ψηφιακά υπογεγραμμένη χρονοσφραγίδα δυαδική τιμή που υποδεικνύει την επιτυχή αποθήκευση της χρονοσφραγίδας Λειτουργία: η διατήρηση του ημερολογίου γίνεται στο σύστημα διαχείρισης βάσεων δεδομένων της ΕΤΟ. Υπάρχει σχέση 1-Ν πιστοποιητικών πελατών και χρονοσφραγίδων, οπότε τίθεται ένας περιορισμός σχεσιακής ακεραιότητας που πρέπει να ελέγχεται και να διατηρείται Υπηρεσίες Ευρετηρίου Οι μονάδα ευρετηρίου (κμ ΕΤΟ_ΥΛ_04, directory services) είναι μία υποστηρικτική υπηρεσία, η οποία παρέχει τις απαραίτητες πληροφορίες για τη λειτουργία των υπηρεσιών Οικονομικό Πανεπιστήμιο Αθηνών Σελ 228

229 προστιθέμενης αξίας της ΕΤΟ. Γενικά σε ένα ευρετήριο καταχωρούνται πληροφορίες οι οποίες είναι απαραίτητο να είναι δημόσια διαθέσιμες και ευρέως προσπελάσιμες από ανοικτά περιβάλλοντα μέσω απλών τυποποιημένων διεπαφών. Τα στοιχεία ενός πιστοποιητικού ανήκουν στα προσωπικά δεδομένα και προστατεύονται από τη νομοθεσία. Η ανακοίνωσή τους σε δημόσιους καταλόγους απαιτεί την συγκατάθεση των υποκειμένων επεξεργασίας. Τέλος, πρέπει να παρέχονται εναλλακτικοί τρόποι επικύρωσης της νομιμότητας ενός πιστοποιητικού που δεν απαιτούν την ανακοίνωση των προσωπικών δεδομένων που αναγράφονται σε αυτό ( βλ , Διασφάλιση ανωνυμίας) Διαλειτουργικότητα Η μονάδα αυτή (κμ ΕΤΟ_ΥΥ_04) υποστηρίζει την διαλειτουργικότητα μεταξύ των ΕΤΟ. Οι ΕΤΟ μιας ΥΔΚ παγκοσμίου κλίμακας, αναμένεται να, ανήκουν σε κοινότητες με διαφορετικά μοντέλα ιδιωτικότητας και οντότητες που ανήκουν σε μια κοινότητα μπορούν να πιστοποιούνται από ΕΤΟ που ανήκουν σε άλλες κοινότητες. Για την δημιουργία μιας ΥΔΚ κατάλληλης για να υποστηρίξει μιας παγκόσμιας κλίμακας ΥΠΔ πρέπει να εισαχθούν οι εξής συμβάσεις στο κανονιστικό πλαίσιο λειτουργίας των ΕΤΟ: τα προσωπικά δεδομένα του πιστοποιητικού θα διέπονται από διατάξεις περί προστασίας τους, σύμφωνες με το νομικό καθεστώς που επικρατεί στην κοινότητα που ανήκει η ΕΤΟ που το εκδίδει. κάθε πιστοποιητικό πρέπει να φέρει μια παραπομπή προς την πολιτική προστασίας προσωπικών δεδομένων του ιδιοκτήτη του και της ΕΤΟ που το έχει εκδώσει. η μεταβίβαση των δεδομένων εκτός των ορίων μιας κοινότητας απαιτεί, σε μερικές περιπτώσεις, την άδεια του αντιπροσώπου της κοινότητας [ΕΚΣ-95]. Επιπλέον, απαιτείται και η ύπαρξη διακοινοτικής συμφωνίας για την μεταβίβαση των δεδομένων. Σε περιπτώσεις όπου η εκδούσα ΕΤΟ ανήκει σε κοινότητα με διαφορετικό μοντέλο ιδιωτικότητας, πρέπει να υπάρχει διακοινοτική συμφωνία προστασίας των προσωπικών δεδομένων του αντιπρόσωπου της κοινότητας που ανήκει η πιστοποιούμενη οντότητα και του αντιπροσώπου της κοινότητας που ανήκει η εκδούσα ΕΤΟ. η επικύρωση της ύπαρξης (ή μη) διακοινοτικής συμφωνίας πρέπει γίνεται με ηλεκτρονικό τρόπο. κάθε πιστοποιητικό που έχει εκδοθεί από ΕΤΟ που ανήκει σε διαφορετική κοινότητα από αυτή της οντότητας που πιστοποιείται, επιπλέον της παραπομπής στην πολιτική προστασίας προσωπικών δεδομένων της ΕΤΟ πρέπει να φέρει και παραπομπή στον μηχανισμό επικύρωσης της ύπαρξης συμφωνίας μεταξύ των αντιπροσώπων των δύο κοινοτήτων. Από τα παραπάνω μπορούμε να εξάγουμε το συμπέρασμα ότι η διαλειτουργικότητα μεταξύ κοινοτήτων με διαφορετικά μοντέλα ιδιωτικότητας επιτυγχάνεται με την υπογραφή Οικονομικό Πανεπιστήμιο Αθηνών Σελ 229

230 διακοινοτικών συμφωνιών. Με αυτόν τον τρόπο δίνεται η δυνατότητα της χαλαρής σύνδεσης (loosely federated) μεταξύ κοινοτήτων με ασύμβατα μοντέλα ιδιωτικότητας. 7.5 Σύνοψη Η κρυπτογραφία δημόσιου κλειδιού είναι μηχανισμός που χρησιμοποιούν οι περισσότερες ΤΠΙ για την προστασία των δεδομένων (βλ ). Το ότι η ύπαρξη μιας ΥΔΚ είναι απαραίτητη προϋπόθεση για την εφαρμογή της στο διαδίκτυο αποτελεί κοινή και αδιαμφισβήτητη διαπίστωση στις επιστημονικές αναλύσεις του χώρου. Η έλλειψη όμως διαλειτουργικότητας, η απουσία καταγραφής των οργανωτικών, αρχιτεκτονικών και λειτουργικών προϋποθέσεων που συνεπάγονται την λειτουργία της ΕΤΟ και η έλλειψη στην ανάπτυξη προσανατολισμένων προς την προστασία δεδομένων υπηρεσιών ΕΤΟ, είναι τα σημαντικότερα μειονεκτήματα της υπάρχουσας ΥΔΚ. Για το λόγο αυτό, δημιουργήθηκε ένα λειτουργικό μοντέλο ενσωμάτωσης υπηρεσιών, με τα παραπάνω χαρακτηριστικά, ΕΤΟ στις ΤΠΕ. Για την κατασκευή του λειτουργικού μοντέλου ακολουθήθηκε μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: απαιτήσεις χρήστη υπηρεσίες μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική τεχνολογίες υλοποίησης. Επιπλέον, οι υπηρεσίες ΕΤΟ είναι απαραίτητες για την υποστήριξη της τεχνολογικής διαδικτυακής ΥΠΔ. Οι αλληλεπιδράσεις εξετάσθηκαν και καταγράφηκαν οι τροποποιήσεις που πρέπει να γίνουν στις παραδοσιακές υπηρεσίες ΕΤΟ, ώστε να λειτουργήσουν στο διαδικτυακό περιβάλλον που προασπίζει την ιδιωτικότητα των χρηστών του Διαδικτύου. Η ΥΔΚ που προέκυψε από τη σχετική μελέτη, αποτελεί το ασφαλές υπόστρωμα που απαιτείται για την ανάπτυξη των υπηρεσιών της ΥΠΔ. Στο σημείο αυτό ολοκληρώνεται το Β μέρος της διατριβής και επιτυγχάνεται ο δεύτερος στόχος της διατριβής (βλ. 1.3) ο οποίος συνίσταται στην περιγραφή των υπηρεσιών της διαδικτυακής τεχνολογικής ΥΠΔ και την αντιμετώπιση των σχετικών τεχνολογικών ζητημάτων. Στο επόμενο κεφάλαιο όλα τα συμπεράσματα των προηγουμένων κεφαλαίων (Α και Β μέρη της διατριβής) θα αξιοποιηθούν με τέτοιο τρόπο ώστε να συγκροτηθεί το μοντέλο αναφοράς και το λειτουργικό μοντέλο της τεχνολογικής διαδικτυακής ΥΠΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 230

231 ΜΕΡΟΣ Γ' 8 ΣΥΝΟΨΗ, ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΚΑΤΕΥΘΥΝΣΕΙΣ ΠΕΡΑΙΤΕΡΩ ΕΡΕΥΝΑΣ Το Γ μέρος της διατριβής ασχολείται με την παρουσίαση του λειτουργικού μοντέλου της διαδικτυακής τεχνολογικής ΥΠΔ έτσι όπως αυτό προκύπτει μέσα από το εννοιολογικόαφαιρετικό μοντέλο της προστασίας δεδομένων και των ζητημάτων που παρουσιάσθηκαν στο Β μέρος της διατριβής. Η συγκρότηση του λειτουργικού μοντέλου αποτελεί τον τρίτο, και τελευταίο, στόχο (βλ. 3.3) και συνιστά την ολοκλήρωση της διατριβής. Το πρώτο βήμα για την συγκρότηση του λειτουργικού μοντέλου είναι η παρουσίαση του μοντέλου αναφοράς της τεχνολογικής διαδικτυακής ΥΠΔ. 8.1 Μοντέλο αναφοράς ΥΠΔ Το μοντέλο αναφοράς της τεχνολογικής διαδικτυακής ΥΠΔ συνίσταται από: α) το εννοιολογικό μοντέλο της προστασίας δεδομένων (βλ. 3.3, Σχήμα 8) και β) την προσαρμογή του εννοιολογικού μοντέλου στις απαιτήσεις του Διαδικτύου σύμφωνα με όσα αναφέρθηκαν στο Β μέρος της διατριβής. Έχοντας αυτά κατά νου, το μοντέλο αναφοράς της τεχνολογικής διαδικτυακής ΥΠΔ διαμορφώνεται όπως στο Σχήμα 30. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 231

232 Σχήμα 30: Μοντέλο αναφοράς ΥΠΔ Συγκρίνοντας το μοντέλο αναφοράς της ΥΠΔ με το εννοιολογικό μοντέλο της προστασίας δεδομένων προκύπτουν τα εξής: i) για να απεικονισθεί το εννοιολογικό μοντέλο στο ψηφιακό περιβάλλον του Διαδικτύου απαιτείται η εισαγωγή δύο επιπλέον οντοτήτων (ρόλων): α) της ΕΤΟ και β) του Δικτυοενδιάμεσου. ii) ο προστάτης ταυτότητας μπορεί να αποτελέσει το μοναδικό σημείο ελέγχου της επικοινωνίας μεταξύ υποκειμένων και υπευθύνων επεξεργασίας. Η σχεδιαστική αυτή επιλογή συνεισφέρει στην εξουσιοδότηση χρήστη (βλ. 6.1) ενώ παράλληλα δίνεται η δυνατότητα υποστήριξης όλων των υπηρεσιών της ΥΠΔ από τις λειτουργικές μονάδες του προστάτη ταυτότητας. 8.2 Λειτουργικό μοντέλο ΥΠΔ Γενικό λειτουργικό μοντέλο Το μοντέλο αναφοράς της προηγούμενης παραγράφου μπορεί να συνδυασθεί με τα τεχνολογικά ζητήματα που παρουσιάσθηκαν στα προηγούμενα κεφάλαια της διατριβής και να συγκροτηθεί το λειτουργικό μοντέλο της τεχνολογικής διαδικτυακής ΥΠΔ. Ο παραπάνω συνδυασμός οδηγεί στο λειτουργικό μοντέλο που απεικονίζει το Σχήμα 31. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 232

233 Σχήμα 31: Λειτουργικό μοντέλο ΥΠΔ Από το παραπάνω μοντέλο προκύπτει ότι οι υπηρεσίες του προστάτη ταυτότητας χωρίζονται σε δύο μεγάλες κατηγορίες: 1. Υπηρεσίες πρόσβασης στις ΤΠΙ. Σε αυτή την κατηγορία ανήκουν οι παρακάτω λειτουργικές μονάδες: ΠΤ_ΑΝ_01, ΠΤ_ΑΝ_02, ΠΤ_ΑΝ_03, ΠΤ_ΨΔ_01, ΠΤ_ΨΔ_02, ΠΤ_ΨΔ_03, ΠΤ_ΨΔ_04, ΠΤ_ΠΔ_03, ΠΤ_ΠΔ_ Υπηρεσίες υποστήριξης της ΥΠΔ. Σε αυτή την κατηγορία ανήκουν οι παρακάτω λειτουργικές μονάδες: ΠΤ_ΠΔ_01-1, ΠΤ_ΠΔ_01-2, ΠΤ_ΠΔ_02, ΠΤ_ΠΔ_02-1, ΠΤ_ΠΔ_05, ΠΤ_ΠΔ_06, ΠΤ_ΕΤΟ_01, ΠΤ_ΕΤΟ_02, ΠΤ_ΕΤΟ_03, ΠΤ_ΕΤΟ_04, ΠΤ_ΕΤΟ_04-1, ΠΤ_ΕΤΟ_05, ΠΤ_ΕΤΟ_06, ΠΤ_ΕΤΟ_07. Με εξαίρεση τις περιπτώσεις όπου απαιτείται η παράκαμψη ανωνυμίας του υποκειμένου επεξεργασίας, όλες οι αλληλεπιδράσεις με τον υπεύθυνο επεξεργασίας μπορούν να υποστηριχθούν από τις λειτουργικές μονάδες του προστάτη ταυτότητας. Κατ αυτόν τον τρόπο ο προστάτης ταυτότητας μετατρέπεται στο μοναδικό σημείο διέλευσης και ελέγχου της των πληροφοριών που ανταλλάσσονται μεταξύ υποκειμένου και υπεύθυνου επεξεργασίας. Σύμφωνα με τη μεθοδολογία της διατριβής, αρχικά ορίσθηκε το αφηρημένο εννοιολογικό μοντέλο της ΥΠΔ (σελ 74), στη συνέχεια οι απαιτήσεις χρήσης και οι υπηρεσίες της (σελ. 80 και 83 αντίστοιχα). Κάθε μια υπηρεσία αναλύθηκε διεξοδικά και προσδιορίσθηκαν: απαιτήσεις χρήστη, υπηρεσίες, μοντέλο αναφοράς (όπου χρειάστηκε), λειτουργίες, λειτουργική αρχιτεκτονική (όπου χρειάστηκε) και τεχνολογίες υλοποίησης (βλ. Πίνακας 12). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 233

234 8.2.2 Ονοματοδοσία λειτουργικών μονάδων Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Οι λειτουργικές μονάδες που περιγράφηκαν κατά την διάρκεια των προηγούμενων κεφαλαίων πρέπει να κατανεμηθούν με τέτοιο τρόπο ανάμεσα στους ρόλους ώστε να εξυπηρετούνται οι σχέσεις (αλληλεπιδράσεις) μεταξύ τους έτσι όπως παρουσιάσθηκαν στο μοντέλο αναφοράς της ΥΠΔ της προηγούμενης παραγράφου. Στις επόμενες σελίδες, περιγράφονται οι λειτουργικές μονάδες ανά ρόλο από τον οποίο εκτελούνται για την παροχή μιας υπηρεσίας στα πλαίσια των αλληλεπιδράσεων του μοντέλου αναφοράς της ΥΠΔ. Κάθε λειτουργική μονάδα περιγράφεται μοναδικά με κάποιο μοναδικό αναγνωριστικό. Κάθε αναγνωριστικό αποτελείται από τέσσερα πεδία, μεγέθους δύο ή τριών χαρακτήρων το καθένα, τα οποία διαχωρίζονται με το χαρακτήρα _. Στη γενική μορφή του ένα αναγνωριστικό έχει την εξής μορφή: xx_yy_zz_dd Όπου: xx: σύντμηση της υπηρεσίας. yy: σύντμηση της επιμέρους υπηρεσίας. zz: επιμέρους λειτουργία (ή οντότητα που την εκτελεί). dd: ψηφία που σηματοδοτούν μοναδικά την λειτουργία μέσα στην (επιμέρους) υπηρεσία. Μόνο το πρώτο και το τέταρτο πεδίο είναι υποχρεωτικό ενώ τα υπόλοιπα είναι προαιρετικά. Για παράδειγμα η λειτουργική μονάδα ΑΠ_ΔΕ_ΔΔ_01 αντιστοιχεί στην πρώτη λειτουργία (01) που εκτελεί ο Διαχειριστής Δικτυοενδιάμεσος (ΔΔ) της επιμέρους υπηρεσίας του Δικτυοενδιάμεσου (ΔΕ) της υπηρεσίας Πρόσβαση σε Ανώνυμα Περιγράμματα (ΑΠ), λειτουργική μονάδα ΕΤΟ_ΔΠ_01 αντιστοιχεί στην πρώτη λειτουργία (01), της λειτουργικής ομάδας Διαχειριστικής Πρόσβασης (ΔΠ) των υπηρεσιών ΕΤΟ (ΕΤΟ) και η λειτουργική μονάδα ΕΠ_ΨΣ_01 αναφέρεται στην πρώτη λειτουργία (01), της επιμέρους υπηρεσίας Ψηφιακή σφραγίδα (ΨΣ), της υπηρεσίας Επίβλεψη (ΕΠ) της ΥΠΔ. Ο Πίνακας 23 απεικονίζει την κωδικοποίηση των λειτουργιών της ΥΠΔ: (ΠΤ: Λειτουργίες προστάτη ταυτότητας, ΑΠ: Πρόσβαση σε ανώνυμα περιγράμματα, ΕΤΟ: Λειτουργίες ΕΤΟ, ΠΡ: Λειτουργίες Πρόσβασης, ΑΣ: λειτουργίες ασφάλειας). Κωδικός Λειτουργία Κωδικός Λειτουργία ΠΤ_ΑΝ_01 Ανώνυμο ταχυδρομείο ΕΤΟ_ΥΥ_01 Διαχείριση συστημάτων ΠΤ_ΑΝ_02 Ανώνυμη πλοήγηση ΕΤΟ_ΥΥ_02 Διαχείριση επικοινωνιών ΠΤ_ΑΝ_03 Ανώνυμες πληρωμές ΕΤΟ_ΥΥ_03 Διαχείριση ΒΔ ΠΤ_ΨΔ_01 Παραγωγή ψευδωνύμων ΕΤΟ_ΥΥ_04 Διαλειτουργικότητα ΠΤ_ΨΔ_02 Αντιστοίχιση ψευδωνύμου σε ΑΠ_ΤΤ_01 Αίτηση έκδοσης τεκμηρίου πραγματικό ΠΤ_ΨΔ_03 Αντιστοίχιση πραγματικού σε ΑΠ_ΤΤ_02 Επικύρωση εγκυρότητας τεκμηρίου ψευδώνύμο ΠΤ_ΨΔ_04 Αντιστοίχιση ψευδωνύμου σε ΑΠ_ΤΤ_03 Αίτηση χρονοσφράγισης τεκμηρίου ψευδώνυμο Οικονομικό Πανεπιστήμιο Αθηνών Σελ 234

235 ΠΤ_ΠΔ_01 Κρυπτογραφία ΑΠ_ΤΤ_04 Επαλήθευση ΠΤ_ΠΔ_02 Ψηφιακές υπογραφές ΑΠ_ΤΤ_04-1 Αποθήκευση χρονοσφραγίδας ΠΤ_ΠΔ_02-1 Σύνοψη ΑΠ_ΤΤ_05 Ανάκτηση χρονοσφραγίδας ΠΤ_ΠΔ_03 Διήθηση ΑΠ_ΤΤ_06 Αίτηση παράκαμψης ανωνυμίας ΠΤ_ΠΔ_04 Ολική διαγραφή ΑΠ_ΔΕ_ΔΔ_01 Ασφαλής διεπαφή με υποκείμενο ΠΤ_ΠΔ_05 Πολιτικές προστασίας δεδομένων ΑΠ_ΔΕ_ΔΔ_02 Υποδοχή αίτησης ΠΤ_ΠΔ_06 Διαχείριση νομικής γνώσης ΑΠ_ΔΕ_ΔΔ_03 Προώθηση αιτήματος προς ΛΔ ΠΤ_ΔΧ_01 Διαχείριση ΒΔ ΑΠ_ΔΕ_ΔΔ_04 Ειδοποίηση υποκειμένου ΠΤ_ΔΧ_02 Διαχείριση Προστάτη ταυτότητας ΑΠ_ΔΕ_ΔΔ_05 Τελική παράδοση προϊόντος ΠΤ_ΕΤΟ_01 Αίτηση έκδοσης πιστοποιητικού ΑΠ_ΔΕ_ΥΚ_01 Αίτηση προϊόντος από Υκ ΠΤ_ΕΤΟ_02 Εγκυρότητα πιστοποιητικού ΑΠ_ΔΕ_ΥΚ_02 Παραλαβή προϊόντος από Υκ ΠΤ_ΕΤΟ_03 Αποστολή πιστοποιητικού ΑΠ_ΔΕ_ΥΘ_01 Προώθηση προϊόντος προς ΛΔ ΠΤ_ΕΤΟ_04 Υπηρεσίες ευρετηρίου ΑΠ_ΔΕ_ΥΘ_02 Εξυπηρέτηση ζήτησης ΠΤ_ΕΤΟ_05 Αποθήκευση πιστοποιητικού ΑΠ_ΔΕ_ΛΔ_01 Υποδοχή ζήτησης προϊόντος από ΔΔ ΠΤ_ΕΤΟ_06 Ανάκτηση πιστοποιητικού ΑΠ_ΔΕ_ΛΔ_02 Προσφορά προϊόντος από Υθ ΠΤ_ΕΤΟ_07 Παραλαβή πραγματικής ταυτότητας ΑΠ_ΔΕ_ΛΔ_03 Ταίριασμα προσφοράς-ζήτησης ΕΤΟ_ΔΠ_01 Ασφαλής διεπαφή διαχείρισης ΑΠ_ΔΕ_ΛΔ_04 Ευρετήριο σε άλλους ΛΔ ΕΤΟ_ΔΠ_02 Εξουσιοδότηση διαχείρισης ΑΠ_ΔΕ_ΛΔ_05 Ειδοποίηση επιτυχούς αναζήτησης ΕΤΟ_ΠΠ_01 Ασφαλής διεπαφή πελάτη ΕΠ_ΨΣ_01 Έκδοση σφραγίδας ΕΤΟ_ΠΠ_02 Εξουσιοδότηση πελάτη ΕΠ_ΨΣ_02 Παραχώρηση τεκμηρίων ΕΤΟ_ΠΠ_03 Υποστήριξη χρήσης ΕΠ_ΨΣ_03 Υποβολή τεκμηρίων ΕΤΟ_ΠΠ_04 Τιμολόγηση ΕΠ_ΨΣ_04 Σύγκριση τεκμηρίων ΕΤΟ_ΥΛ_01 Κρυπτογραφία ΕΠ_ΨΣ_05 Επικύρωση σφραγίδας ΕΤΟ_ΥΛ_02 Αρχειοθέτηση ΕΠ_ΕΚ_01 Αποστολή αιτήματος ΕΤΟ_ΥΛ_03 Καταγραφή ημερολογίου ΕΠ_ΕΚ_02 Υποδοχή αιτήματος ΕΤΟ_ΥΛ_04 Ευρετήριο ΕΠ_ΕΚ_03 Σύναψη ασφαλούς σύνδεσης ΕΤΟ_ΔΛ_01 Καθορισμός πολιτικών ΑΣ_ΚΠ_01 Καθορισμός περιεχομένου ΕΤΟ_ΔΛ_02 Ανάθεση ρόλων ΑΣ_ΑΝ_01 Μετάφραση Πολιτικής ασφάλειας ΕΤΟ_ΔΛ_03 Περιοδικοί έλεγχοι ΑΣ_ΑΝ_02 Μεταγλώττιση ΒΔΠΑ ΕΤΟ_ΔΛ_04 Διασφάλιση ποιότητας ΑΣ_ΑΣ_01 Συλλογή τιμών διαχειρίσιμων αντικειμένων ΕΤΟ_ΛΠ_01 Καταχώρηση ΑΣ_ΑΣ_02 Αλλαγή τιμών διαχειρίσιμων αντικειμένων ΕΤΟ_ΛΠ_02-1 Έκδοση πιστοποιητικού ΑΣ_ΑΣ_03 Ενημέρωση ΒΠΔΑ ΕΤΟ_ΛΠ_02-2 Διανομή πιστοποιητικού ΑΣ_ΑΣ_04 Χρονοπρογραμματισμός ενημέρωσης ΒΠΔΑ ΕΤΟ_ΛΠ_02-3 Αποθήκευση πιστοποιητικού ΑΣ_ΔΑ_01 Συλλογή διαχειρίσιμων αντικειμένων ΕΤΟ_ΛΠ_02-4 Ανάκτηση πιστοποιητικού ΑΣ_ΔΑ_02 Μεταβολή διαχειρίσιμων αντικειμένων ΕΤΟ_ΛΠ_03 Διαχείριση κλειδιών ΑΣ_ΔΑ_03 Γραφικές αναπαραστάσεις ΕΤΟ_ΛΠ_04 Χρονοσήμανση ΠΡ_01 Αίτηση πρόσβασης ΕΤΟ_ΛΠ_05 Παροχή αποδείξεων ΠΡ_02 Καταχώρηση ΕΤΟ_ΛΠ_06 Διαχείριση δικαιωμάτων ΠΡ_03 Έλεγχος πρόσβασης ΕΤΟ_ΛΠ_07 Έλεγχος κατάστασης πιστοποιητικού ΠΡ_04 Πρόσβαση ΕΤΟ_ΛΠ_08 Συμβολαιογράφος Πίνακας 23: Κωδικοποίηση Λειτουργιών ΥΠΔ Ο Πίνακας 24απεικονίζει τις αλληλεπιδράσεις μεταξύ των λειτουργικών μονάδων, που περιγράφηκαν, με στόχο την παροχή των ολοκληρωμένων υπηρεσιών της διαδικτυακής τεχνολογικής ΥΠΔ. Επιμέρους υπηρεσία Λειτουργία Αλληλεπίδραση λειτουρικών μονάδων Ανώνυμο πιστοποιητικό Αίτηση/έκδοση πιστοποιητικού ΠΤ_ΨΔ_01/ ΠΤ_ΨΔ_04 39 ΠΤ_ΕΤΟ_01 ΕΤΟ_ΠΠ_01 ΕΤΟ_ΛΠ_01 ΕΤΟ_ΛΠ _02-1 ΕΤΟ_ΛΠ_02-2 ΕΤΟ_ΛΠ_02-3 ΠΤ_ΕΤΟ_05 Επικύρωση πιστοποιητικού ΠΤ_ΕΤΟ_06 ΠΤ_ΕΤΟ_03 ΠΤ_ΕΤΟ_02 39 Στην περίπτωση που το ψευδώνυμο παράγεται από την ΕΤΟ, το υποκείμενο απλά στέλνει την αίτηση. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 235

236 Παράκαμψη ανωνυμίας ΠΤ_ΕΤΟ_06 ΠΤ_ΕΤΟ_03 ΕΤΟ_ΛΠ_05 ΠΤ_ΕΤΟ_07 Τριτεγγύηση ταυτότητας Αίτηση/έκδοση τεκμηρίου ΠΤ_ΕΤΟ_06 ΠΤ_ΠΔ_01-1 ΑΠ_ΤΤ_01 ΕΤΟ_ΠΠ_01 ΕΤΟ_ΛΠ_ ΕΤΟ_ΛΠ_02-2 ΕΤΟ_ΛΠ_02-3 ΠΤ_ΕΤΟ_05 Επικύρωση τεκμηρίου ΠΤ_ΕΤΟ_06 ΠΤ_ΕΤΟ_03 ΑΠ_ΤΤ_02 ΑΠ_ΤΤ_03 ΕΤΟ_ΠΠ_01 ΕΤΟ_ΛΠ_04 ΑΠ_ΤΤ_04 ΑΠ_ΤΤ_04-1 Παράκαμψη ανωνυμίας ΑΠ_ΤΤ_05 ΑΠ_ΤΤ_06 ΕΤΟ_ΠΠ_01 ΕΤΟ_ΛΠ_07 ΕΤΟ_ΛΠ_05 ΠΤ_ΕΤΟ_07 Δικτυοενδιάμεσος Αίτηση προϊόντος από Υκ ΠΤ_ΕΤΟ_06 ΑΠ_ΔΕ_ΥΚ_01 ΑΠ_ΔΕ_ΔΔ_01 ΑΠ_ΔΕ_ΔΔ_02 ΑΠ_ΔΕ_ΔΔ_03 ΑΔ_ΔΕ_ΛΔ_01 Προσφορά προϊόντων ΠΤ_ΕΤΟ_06 ΠΤ_ΕΤΟ_03 ΑΔ_ΔΕ_ΥΘ_01 ΑΠ_ΔΕ_ΔΔ_01 ΑΠ_ΔΕ_ΛΔ_02 Παράδοση προϊόντος ΑΠ_ΔΕ_ΛΔ_03 (ΑΠ_ΔΕ_ΛΔ_04 40 ) ΑΠ_ΔΕ_ΛΔ_05 ΑΠ_ΔΕ_ΥΘ_02 ΑΠ_ΔΕ_ΔΔ_04 ΑΠ_ΔΕ_ΥΚ_02 ΠΤ_ΕΤΟ_06 ΠΤ_ΕΤΟ_06 ΑΠ_ΔΕ_ΔΔ_05 Παράκαμψη ανωνυμίας όπως στην τριτεγγύηση ταυτότητας Ενημέρωση ΠΤ_ΠΔ_05 ΠΤ_ΠΔ_06 Ψηφιακή σφραγίδα Έκδοση σφραγίδας ΕΠ_ΕΚ_01 ΕΠ_ΨΣ_01 ΠΤ_ΠΔ_05 Επικύρωση σφραγίδας ΕΠ_ΨΣ_02 ΕΠ_ΨΣ_03 ΕΠ_ΨΣ_04 ΕΠ_ΨΣ_05 Επικοινωνία με το κοινό ΕΠ_ΕΚ_01 ΕΠ_ΕΚ_03 ΕΠ_ΕΚ_02 Πρόσβαση ΠΡ_01 ΠΡ_02 ΠΡ_03 ΠΡ_04 Πίνακας 24: Αλληλεπίδραση λειτουργικών μονάδων της ΥΠΔ Ο Πίνακας 25 απεικονίζει τους ρόλους του λειτουργικού μοντέλου που εμπλέκονται στην παροχή των υπηρεσιών της ΥΠΔ. Υπηρεσίες ΥΠΔ Ρόλος Υποκείμενο επεξεργασίας Υπεύθυνος επεξεργασίας Αρχή Ελέγχου ΕΤΟ Δικτυοενδιάμεσος Επιλογή αποκάλυψης Ανώνυμα περιγράμματα Ενημέρωση Επίβλεψη Ασφάλεια Πρόσβαση Πίνακας 25: Ρόλοι του λειτουργικού μοντέλου που εμπλέκονται στην παροχή των υπηρεσιών της ΥΠΔ Ο Πίνακας 26 αντιστοιχίζει τις λειτουργικές μονάδες με τους ρόλους της ΥΠΔ. Ρόλος Υποκείμενο Υπεύθυνος Αρχή Ελέγχου ΕΤΟ Δικτυοενδιάμεσος 40 Μόνο στην περίπτωση που ένα προϊόν δεν βρίσκεται στην τοπική Βάση Δεδομένων του ΛΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 236

237 Λειτουργικές μονάδες επεξεργασίας επεξεργασίας Επιλογή αποκάλυψης ΠΤ_*_* 41 Δεν συμμετέχει Δεν συμμετέχει Δεν συμμετέχει Ανώνυμα περιγράμματα Ενημέρωση Επίβλεψη Ασφάλεια Πρόσβαση ΑΠ_ΤΤ_01, ΑΠ_ΔΕ_ΥΚ_*, ΠΤ_ΠΔ_05, ΠΤ_ΠΔ_06 ΕΠ_ΨΣ_03, ΕΠ_ΨΣ_05, ΕΠ_ΕΚ_01 Δεν συμμετέχει ΠΡ_01 ΠΤ_ΕΤΟ_02, ΠΤ_ΕΤΟ_07, ΑΠ_ΤΤ_02, ΑΠ_ΤΤ_03, ΑΠ_ΤΤ_04, ΑΠ_ΤΤ_04-1, ΑΠ_ΤΤ_05, ΑΠ_ΤΤ_06, ΑΠ_ΔΕ_ΥΘ_* ΠΤ_ΠΔ_05, ΠΤ_ΠΔ_06 ΠΤ_ΠΔ_05, ΕΠ_ΕΚ_01, ΕΠ_ΨΣ_02 ΑΣ_ΚΠ_01, ΑΣ_ΑΝ_01, ΑΣ_ΑΝ_02, ΑΣ_ΑΣ_01, ΑΣ_ΑΣ_02, ΑΣ_ΑΣ_03, ΑΣ_ΑΣ_04, ΑΣ_ΔΑ_01, ΑΣ_ΔΑ_02, ΑΣ_ΔΑ_03 ΠΡ_02, ΠΡ_03, ΠΡ_04 Δεν συμμετέχει Δεν συμμετέχει ΠΤ_ΠΔ_01_*, ΠΤ_ΠΔ_02_*, ΕΠ_ΕΚ_02, ΕΠ_ΕΚ_03, ΕΠ_ΨΣ_01,ΕΠ_ΨΣ_05 Δεν συμμετέχει Δεν συμμετέχει ΕΤΟ_*_* Δεν συμμετέχει Δεν συμμετέχει Δεν συμμετέχει Δεν συμμετέχει Πίνακας 26: Ρόλοι της ΥΠΔ και λειτουργικές μονάδες που απαιτούν ΠΤ_ΠΔ_01_*, ΠΤ_ΠΔ_02_*, ΑΠ_ΤΤ_05, ΑΠ_ΤΤ_06, ΠΤ_ΕΤΟ_07, ΑΠ_ΔΕ_ΔΔ_*, ΑΠ_ΔΕ_ΛΔ_* Δεν συμμετέχει Δεν συμμετέχει Δεν συμμετέχει Δεν συμμετέχει 8.3 Σύνοψη του προβλήματος και της ερευνητικής προσπάθειας Η παρούσα διατριβή αποτελεί συστηματική προσπάθεια αποτύπωσης της τεχνολογικής διαδικτυακής Υποδομής Προστασίας Δεδομένων. Παρά το γεγονός ότι υπάρχει βιβλιογραφία για κάθε ένα από επί μέρους ζητήματα τα οποία περιγράφηκαν στα κεφάλαια της παρούσας, εντούτοις απουσιάζουν ερευνητικές προσπάθειες που προσπαθούν να εξετάσουν την προστασία προσωπικών, συνολικά, ως ένα σύστημα που αποτελείται από οντότητες που αλληλεπιδρούν μεταξύ τους. Η κάθε οντότητα σε αυτό το απευθείας σύστημα παίζει ένα ρόλο ενώ κάθε ρόλος συνδέεται με τους υπόλοιπους με συγκεκριμένες, νομικά κατοχυρωμένες σχέσεις (αρχές προστασίας δεδομένων). Οι υπάρχουσες προσπάθειες για την απευθείας υποστήριξη των ρόλων που εμπλέκονται σε ένα σύστημα προστασίας δεδομένων 41 Το * αντιστοιχεί σε όλες τις λειτουργικές μονάδες της κατηγορίας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 237

238 και των μεταξύ τους σχέσεων, εξετάζουν αποσπασματικά κάθε μια από τις παραπάνω σχέσεις. Επιπλέον, πολλές από τις προτεινόμενες τεχνολογίες παρουσιάζουν ελλείψεις που οφείλονται είτε στο πρώιμο στάδιο της εμφάνισής τους είτε σε παραλήψεις στη σχεδίασή τους. Αποτέλεσμα των παραπάνω, είναι η ύπαρξη τεχνολογικών συγκρούσεων και ελλείψεων που με τη σειρά τους κάνουν δύσκολη την αποτύπωση της συνολικής εικόνας σχετικά με την προστασία δεδομένων στο διαδίκτυο. Για την αντιμετώπιση αυτής της κατάστασης, περιγράφηκε ένα λειτουργικό μοντέλο με καθορισμένους ρόλους και σχέσεις που αναπτύσσονται μεταξύ τους. Για την κατασκευή του μοντέλου ακολουθήθηκαν τα παρακάτω βήματα: 1. Μελέτη της σχετικής με την προστασία προσωπικών δεδομένων βιβλιογραφίας και αποτύπωση των ρόλων που εμπλέκονται σε ένα σύστημα προστασίας δεδομένων και οι μεταξύ τους συσχετίσεις (αρχές προστασίας δεδομένων). 2. Καταγραφή των απειλών κατά της ασφάλειας και της ιδιωτικότητας στο διαδίκτυο ώστε να εντοπισθούν οι απειλές που αντιμετωπίζει η μεταφορά των παραπάνω σχέσεων στο Διαδίκτυο. 3. Μελέτη των ΤΠΙ στο Διαδίκτυο, που αντιμετωπίζουν τις παραπάνω απειλές (βλ. πίνακας 6). Με αυτόν τον τρόπο αποτυπώνονται οι τεχνολογίες που υποστηρίζουν κάθε μια από τις περιγραφείσες σχέσεις. 4. Από την μελέτη των τεχνολογιών προέκυψε το συμπέρασμα ότι οι περισσότερες τεχνολογίες χρησιμοποιούν τεχνολογίες ΥΔΚ για την επίτευξη των στόχων τους. Επομένως, η μελέτη ενός ολοκληρωμένου πλαισίου παροχής απευθείας υπηρεσιών ΕΤΟ, κρίθηκε ως ο ακρογωνιαίος λίθος για την κατασκευή του λειτουργικού μοντέλου προστασίας προσωπικών δεδομένων. 5. Στη συνέχεια έγινε μελέτη μιας σειρά από μοντέλα παροχής υπηρεσιών ΕΤΟ με σκοπό: (α) να εντοπισθούν οι ελλείψεις εκείνες που δεν τους επιτρέπουν να λειτουργούν σε ένα ασφαλές ολοκληρωμένο περιβάλλον ηλεκτρονικών συναλλαγών και (β) οι μετατροπές που πρέπει να υποστούν ώστε να μπορέσουν να λειτουργήσουν στα πλαίσια ενός συστήματος προστασίας δεδομένων. Με βάση τις παρατηρήσεις που προέκυψαν, περιγράφηκε ένα μοντέλο παροχής υπηρεσιών ΕΤΟ που αντιμετωπίζει τις ελλείψεις που εντοπίσθηκαν ενώ παράλληλα ενσωματώνει τροποποιήσεις για την υποστήριξη των αρχών προστασίας δεδομένων. 6. Εξετάσθηκαν μια προς μια οι σχέσεις μεταξύ των οντοτήτων ενός συστήματος προστασίας δεδομένων και οι τεχνολογίες που τις υποστηρίζουν. Όπου εντοπίσθηκαν ελλείψεις ή προβλήματα προτάθηκε ένας νέος μηχανισμός που αντιμετωπίζει τα εντοπισθέντα προβλήματα. Τέλος, η σύνθεση των συμπερασμάτων που προέκυψαν από τα παραπάνω στάδια οδήγησε στη συγκρότηση του λειτουργικού μοντέλου της τεχνολογικής διαδικτυακής ΥΠΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 238

239 8.4 Βαθμός κάλυψης του αρχικού προβλήματος και εκ νέου ανοιχτά θέματα Οι σχέσεις μεταξύ των οντοτήτων ενός συστήματος προστασίας δεδομένων μεταβάλλονται διαρκώς στο χρόνο. Στην παρούσα διατριβή οι σχέσεις αυτές, και οι τεχνολογικές λύσεις που τις εφαρμόζουν, εξετάσθηκαν μάλλον από μια στατική πλευρά. Η ανάλυση που προηγήθηκε δεν εστίασε στην παρακολούθηση και έλεγχο της αποδοτικότητας του συστήματος με την πάροδο του χρόνου. Για να πραγματοποιηθεί αυτό, πρέπει να δημιουργηθεί ένα σύστημα ελέγχου της ποιότητας των υπηρεσιών προστασίας δεδομένων που προσφέρουν τόσο οι επιμέρους οντότητες (Αρχή Ελέγχου, Τρίτες Οντότητες και υπεύθυνοι επεξεργασίας) όσο και το σύστημα ως σύνολο. Η ανάγκη για την ύπαρξη ενός τέτοιου συστήματος πηγάζει από την αντιστρόφως ανάλογη σχέση μεταξύ των εννοιών της εμπιστοσύνης και του ελέγχου. Σε μια κοινωνία όπου οι νόμοι αντανακλούν τις κοινωνικές απαιτήσεις, το κανονιστικό πλαίσιο προστασίας προσωπικών δεδομένων επηρεάζεται ανάλογα με την ανάγκη για έλεγχο (ή αντίστροφα εμπιστοσύνη) των μελών της. Αυτό πρακτικά σημαίνει ότι το πόσο περιοριστικοί (ή αντίθετα χαλαροί) θα είναι οι νόμοι προστασίας δεδομένων που υιοθετεί μια κοινότητα, εξαρτάται από την ανάγκη για έλεγχο (αύξηση περιορισμού) ή εμπιστοσύνη (αύξηση χαλαρότητας) των μελών της. Με τη σειρά τους, οι νόμοι θα επηρεάσουν τις τεχνολογίες που θα υλοποιούν τις σχέσεις μεταξύ των οντοτήτων ενός απευθείας συστήματος προστασίας προσωπικών δεδομένων. 8.5 Συμβολή στο γνωστικό αντικείμενο Για την αντιμετώπιση των προβλημάτων που προέκυψαν κατά την διάρκεια της μελέτης (βλ. 8.3) προτάθηκαν τα παρακάτω πρωτότυπα εγχειρήματα: 1. Αποτύπωση του κοινού εννοιολογικού-αφαιρετικού μοντέλου αναφοράς των διαφορετικών προσεγγίσεων της προστασίας δεδομένων και ορισμός της διαδικτυακής τεχνολογικής ΥΠΔ. 2. Αντιμετώπιση τεχνολογικών ζητημάτων των υπηρεσιών της διαδικτυακής τεχνολογικής ΥΠΔ. Κατά την διάρκεια αυτού του σταδίου πραγματοποιήθηκαν τα εξής: α. Περιγραφή μηχανισμού αυθεντικοποίησης, με μεσολάβηση μιας ΕΤΟ, των χρηστών του Διαδικτύου χωρίς ταυτοποίηση από πλευράς των ιδιοκτητών δικτυακών τόπων, που χρησιμοποιεί την τεχνική της Τριτεγγύησης Ταυτότητας (Identity Escrow). β. Περιγραφή επιχειρηματικού μοντέλου διενέργειας ανώνυμων απευθείας συναλλαγών με την μεσολάβηση δικτυοενδιαμέσων, το οποίο αντιμετωπίζει τα προβλήματα του υπάρχοντος μοντέλου δικτυοενδιαμέσων και προστατεύει τους χρήστες του Διαδικτύου από τη δημιουργία καταναλωτικών περιγραμμάτων με προσωπικά δεδομένα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 239

240 γ. Περιγραφή ασφαλούς μηχανισμού που αντιμετωπίζει τα προβλήματα των υπαρχόντων προγραμμάτων ψηφιακής σφραγίδας επικύρωσης πολιτικών προστασίας προσωπικών δεδομένων. δ. Περιγραφή πλαισίου διαχείρισης των τεχνικών μέτρων ασφάλειας με στόχο την υποβοήθηση της αυτοματοποιημένης, και στηριγμένης σε πρότυπα, μετάβασης από τις προδιαγραφές των τεχνικών μέτρων της πολιτικής ασφάλειας στην υλοποίηση της διαχείρισής τους σε ένα Πληροφοριακό Σύστημα (ΠΣ). ε. Πρόταση για αρχιτεκτονική διαχείρισης των τεχνικών μέτρων ασφάλειας, σύμφωνη με το προτεινόμενο πλαίσιο, η οποία είναι λειτουργική, επεκτάσιμη, στηρίζεται σε πρότυπα, ασφαλής, ευέλικτη και προσφέρει διαχείριση από ένα κεντρικό σημείο. στ. Περιγραφή λειτουργικού μοντέλου ενσωμάτωσης των ΤΠΙ στις ΤΠΕ με σκοπό την αύξηση της δυνατότητας αυτοπροστασίας και κατά συνέπεια της κατοχύρωσης του δικαιώματος του πληροφοριακού αυτοπροσδιορισμού του ατόμου. ζ. Περιγραφή λειτουργικού μοντέλου ενσωμάτωσης υπηρεσιών ΕΤΟ στις ΤΠΕ και εξέταση της επίδρασης των υπηρεσιών της ΥΠΔ σε αυτό. 3. Περιγραφή του μοντέλου αναφοράς της διαδικτυακής τεχνολογικής ΥΠΔ, το οποίο θα στηρίζεται στο εννοιολογικό-αφαιρετικό μοντέλο αναφοράς της προστασίας δεδομένων και συγκρότηση λειτουργικού μοντέλου το οποίο περιγράφει τις λειτουργικές μονάδες της διαδικτυακής τεχνολογικής ΥΠΔ και τις μεταξύ τους αλληλοσυσχετίσεις. 8.6 Προτεινόμενη περαιτέρω έρευνα Ποιότητα και προστασία προσωπικών δεδομένων Η μέτρηση της αποδοτικότητας είναι πολύ σημαντική για τη λειτουργία ενός συστήματος προστασίας δεδομένων, γιατί καθορίζει το πλήθος των μεταδραστικών ελέγχων που πρέπει να πραγματοποιεί η Αρχή Ελέγχου (Σχήμα 15). Καλή απόδοση του συστήματος σηματοδοτεί περιορισμό ενώ μείωση της απόδοσης θα έχει σαν αποτέλεσμα την αύξηση των μεταδραστικών ελέγχων. Για την μέτρηση της αποδοτικότητας, πρέπει να κατασκευασθεί ένα σύστημα ελέγχου της ποιότητας των παρεχόμενων υπηρεσιών προστασίας δεδομένων. Το Σχήμα 32 απεικονίζει τη γενική μορφή ενός συστήματος ποιότητας ενός συστήματος προστασίας δεδομένων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 240

241 Σχήμα 32: Ποιότητα και προστασία δεδομένων Η κατασκευή μετρικών της προστασίας που προσφέρει ένα σύστημα προστασίας δεδομένων είναι ανοικτό ακόμη ερευνητικό πεδίο. Οι υπάρχουσες μελέτες της διεθνούς βιβλιογραφίας εστιάζουν στο οικονομικό, κυρίως, αντίκτυπο της έλλειψης προστασίας δεδομένων σε διεθνής οργανισμούς [ΚΕΝ-02] χωρίς να καθορίζουν τις μετρικές εκείνες που θα επιτρέψουν τη σύγκλιση των υπευθύνων επεξεργασίας προς τις αρχές προστασίας δεδομένων. Η κατασκευή των μετρικών ποιότητας καθορίζεται, κυρίως, από δύο παράγοντες: 1. Το μοντέλο ιδιωτικότητας που υιοθετείται. Η έννοια της συμβατότητας με τις αρχές προστασίας δεδομένων εξαρτάται από το νομικό πλαίσιο στο οποίο εφαρμόζονται οι μετρικές. 2. Ο εμπλεκόμενος. Η εφαρμογή ενός συστήματος ποιότητας απευθύνεται σε τρεις εμπλεκόμενους σε ένα σύστημα προστασίας δεδομένων ρόλους: (α) Αρχή Ελέγχου, (β) υπεύθυνος Επεξεργασίας και (γ) Έμπιστες Τρίτες Οντότητες. Από τις τρεις κατηγορίες εμπλεκόμενων, υπάρχουν μελέτες, που σχετίζονται με την ποιότητα, μόνο για τις ΕΤΟ [ΛΕΚ-02] και αυτές εστιάζουν στην παροχή υπηρεσιών ΕΤΟ και όχι στην προστασία δεδομένων. Διαχείριση ασφάλειας Το πλαίσιο διαχείρισης της ασφάλειας ενός οργανισμού που προτάθηκε επιτρέπει την χρήση αυτοματοποιημένων διαδικασιών διαχείρισης της ασφάλειας με δεδομένο ότι ο ειδικός έχει αποτυπώσει την πολιτική ασφάλειας σε κάποια (ημι)τυπική γλώσσα προδιαγραφών. Στην παρούσα διατριβή προτάθηκε η χρήση του ASN.1 για την αποτύπωση της πολιτικής ασφάλειας σε μορφή διαχειρίσιμων από προγράμματα (αντιπρόσωπος, διαχειριστής) αντικειμένων. Επομένως, το προτεινόμενο πλαίσιο είναι ημι-αυτοματοποιημένο καθώς απαιτεί την ανάμειξη του ανθρώπινου παράγοντα. Η πλήρης αυτοματοποίηση του πλαισίου ανήκει στα ανοικτά προς μελέτη και έρευνα πεδία. Ένα τέτοιο, ιδεατό, μοντέλο πρέπει να επιτρέπει την αυτόματη μετάφραση της πολιτικής ασφάλειας σε εργαλεία που διαχειρίζονται Οικονομικό Πανεπιστήμιο Αθηνών Σελ 241

242 και επιβλέπουν την εφαρμογή της. Τα στάδια που πρέπει να ακολουθηθούν για ένα τέτοιο εγχείρημα περιλαμβάνουν: 1. Μετάφραση της πολιτικής ασφάλειας σε κάποια γλώσσα (ημι)τυπική γλώσσα προδιαγραφών. 2. Ανάλυση της πολιτικής από κάποιον αναλυτή (parser) με στόχο την περιγραφή των διαχειρίσιμων αντικειμένων σε μορφή κατάλληλη ώστε να υποστούν χειρισμούς από κάποιο εργαλείο διαχείρισης δικτύων. 3. Στο προτεινόμενο πλαίσιο διαχείρισης, η επιλογή των εργαλείων ανάλυσης και εντοπισμού των ευπαθειών των ΤΠΕ γίνονται με ad hoc διαδικασίες. Για την πλήρη αυτοματοποίηση της διαδικασίας επιλογής εργαλείων, πρέπει να κατασκευασθεί ένα πρόγραμμα συλλογής εργαλείων από παγκόσμια κατανεμημένες βάσεις. Στην κατεύθυνση αυτή θα μπορούσε να αποβεί χρήσιμη η τεχνολογία των Ευφυών Αντιπροσώπων Ασφάλειας (Intelligent Security Agents). Ο αντιπρόσωπος παίρνει σαν είσοδο το αποτέλεσμα του προηγούμενου σταδίου, συλλέγει τα απαραίτητα εργαλεία και τα παραδίδει στο πρόγραμμα αντιπρόσωπο. Οι ερευνητικές προσπάθειες προς αυτήν την κατεύθυνση είναι λίγες και δεν έχουν ολοκληρωθεί προς το παρόν. Ενεργά πιστοποιητικά Ένα από τα δυσκολότερα για λύση προβλήματα, που ανακύπτουν κατά την διάρκεια των συναλλαγών στο διαδίκτυο, είναι η δυναμική φύση των πληροφοριών που πρέπει να έχουν εις γνώση τους οι οντότητες που επικοινωνούν. Το πιστωτικό όριο μιας οντότητας, η περίοδος εγκυρότητας ενός εγγράφου ή ενός ψηφιακού πιστοποιητικού, τα δικαιώματα πρόσβασης και η εμπιστοσύνη είναι παραδείγματα πληροφοριών οι οποίες δεν παραμένουν σταθερές στο χρόνο και απαιτείται η επικύρωση ή επαναξιολόγησή τους από τις οντότητες που τις ανταλλάσσουν. Η διατήρηση της επικαιρότητας αυτών των πληροφοριών είναι εξαιρετικής κρισιμότητας για τη διενέργεια ασφαλών και ανώνυμων συναλλαγών στο διαδίκτυο. Τα τελευταία χρόνια έχει αρχίσει να αναπτύσσεται η έννοια των ενεργών ψηφιακών πιστοποιητικών για την αντιμετώπιση τέτοιων προβλημάτων [CAS-02]. Σε αντίθεση με τα παραδοσιακά, που έχουν στατικό περιεχόμενο και προκαθορισμένη διάρκεια εγκυρότητας, τα ενεργά ψηφιακά πιστοποιητικά ενσωματώνουν πιστοποιημένους μηχανισμούς και αλγοριθμικές διαδικασίες με στόχο την δυναμική ανάκτηση, υπολογισμό και ενημέρωση του περιεχομένου τους και τον έλεγχο του επιπέδου εμπιστοσύνης και της περιόδου εγκυρότητας τους. Οι έμπιστες οντότητες που εκδίδουν τα ενεργά πιστοποιητικά πιστοποιούν την αξιοπιστία των μηχανισμών τους παρά την αξιοπιστία των δεδομένων του πιστοποιητικού. Η λειτουργία τους στηρίζεται στην καθυστερημένη δέσμευση (late binding) των πόρων που σχετίζονται με τα χαρακτηριστικά του πιστοποιητικού. Η χρήση των ενεργών ψηφιακών πιστοποιητικών εκτιμάται ότι βελτιώνει την απόδοση των πρωτοκόλλων, που παρουσιάσθηκαν στα κεφάλαια τέσσερα και πέντε της παρούσας, καθώς οι οντότητες που Οικονομικό Πανεπιστήμιο Αθηνών Σελ 242

243 επικοινωνούν δεν σπαταλούν χρόνο για τον έλεγχο της εγκυρότητας των πιστοποιητικών ή των εγγράφων που ανταλλάσσουν. Η έρευνα για την διερεύνηση ζητημάτων σχετικής με τα ψηφιακά πιστοποιητικά συνεχίζεται. Ζητήματα που παραμένουν ανοικτά προς μελέτη περιλαμβάνουν: τις απαιτήσεις από μια υποδομή υποστήριξης των ενεργών ψηφιακών πιστοποιητικών, ο κύκλος ζωής και οι διαδικασίες διαχείρισής τους και η σύγκρισή τους με τις παραδοσιακές ΥΔΚ. Μεθοδολογίες ανάπτυξης ΠΣ που προασπίζουν την προστασία δεδομένων Παρά την άμεση συσχέτιση μεταξύ των εννοιών της ασφάλειας και της ιδιωτικότητας, η τελευταία περιλαμβάνει αρχές οι οποίες δεν έχουν καθόλου ληφθεί υπ' όψιν από τις μεθοδολογίες ανάπτυξης ΠΣ. Σημαντική έρευνα έχει πραγματοποιηθεί στο χώρος των μεθοδολογιών ανάπτυξης ΠΣ που ενσωματώνουν την ασφάλεια. Εξαιρουμένων κάποιων αρχικών προσπαθειών, κάτι τέτοιο δεν ισχύει για την περίπτωση της προστασίας δεδομένων. Η δημιουργία μεθοδολογιών ανάπτυξης ΠΣ που ενσωματώνουν την προστασία δεδομένων, θα έχει ευεργετικά αποτελέσματα για τους υπεύθυνους επεξεργασίας λόγω της μείωσης της ανάγκης λήψης μέτρων μεταδραστικού (post active) χαρακτήρα. Στην παρούσα κατάσταση, οι υπεύθυνοι επεξεργασίας ενσωματώνουν μέτρα προστασίας δεδομένων στα ΠΣ τους κατόπιν συμβουλών και υποδείξεων των Αρχών ελέγχου ή ειδικών στην προστασία δεδομένων μετά την διενέργεια ελέγχων ή την καταγγελία κάποιου συμβάντος, που σχετίζεται με την προστασία δεδομένων, από το υποκείμενο επεξεργασίας. Η λήψη μέτρων όμως μεταδραστικού χαρακτήρα αυξάνει το κόστος συντήρησης της προστασίας δεδομένων σε έναν οργανισμό [KEN-02]. Από την άλλη πλευρά, η ενσωμάτωση των μέτρων προστασίας δεδομένων σε ένα ΠΣ κατά την φάση της ανάπτυξής του, έχει σαν αποτέλεσμα την μείωση των αποκλίσεων από το κανονιστικό πλαίσιο προστασίας δεδομένων και θα συμβάλλει στην καλύτερη διαχείριση της προστασίας δεδομένων που προσφέρει ο υπεύθυνος επεξεργασίας. Από την πλευρά των Αρχών Ελέγχου, απαιτείται η ανάπτυξη μεθοδολογιών ελέγχου συμβατότητας των πρακτικών των υπευθύνων επεξεργασίας με το νομικό πλαίσιο προστασίας δεδομένων. Η βιβλιογραφία σε αυτόν τον τομέα είναι περιορισμένη, και απαιτείται περισσότερη έρευνα [SIO-02]. Τέλος, πρέπει να υπάρχει συμβατότητα μεταξύ των μεθοδολογιών ανάπτυξης ΠΣ που ενσωματώνουν την προστασία δεδομένων με τις μεθοδολογίες ελέγχου συμβατότητας που χρησιμοποιούν οι Αρχές ελέγχου ώστε να μειωθεί δραστικά η ανάγκη για την διενέργεια μεταδραστικών ελέγχων και να αυξηθεί η αίσθηση ασφάλειας του υποκειμένου προς το σύστημα προστασίας δεδομένων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 243

244 9 ΑΝΑΦΟΡΕΣ ΚΑΙ ΒΙΒΛΙΟΓΡΑΦΙΑ 9.1 Στην αγγλική γλώσσα [DPW-00] [ACH-69] [ALB-02] [ALT-01] [APO-98a] [APO-98b] Data Protection Working Party, Opinion 7/2000 on the EC Proposal for a Directive concerning the processing of personal data and the protection of privacy in the electronic communications sector. American Convention on Human Rights, Signed Nov.22,1969, entered into force July 18, 1978, O.A.S. Treaty Series No. 36, at 1, O.A.S Off. Rec. OEA/Ser.L/V/II.23 dec rev.2. Albert J., Privacy on the Internet and Empowering Users, Data Protection Conf. and Report on the implementation of Dir. 95/46/EC, DG Internal Market, September Alterman P., "The US Federal PKI and the Federal Bridge Certification Authority", Computer Networks, Elsevier Science, No 37, p , Apostolopoulos T., Moulinos C., "Security Management Using a Security related MIB Approach", in Proc.of the IFIP 14 th International Conference on Information Security, p , Taylor & Francis, September Apostolopoulos T., Daskalou V., Katsikas S., Moulinos K., A Security Policy Enforcement Model for Large Scale Networks, in Proc. of the IEEE Symposium on Reliable Distributed Systems, December [ARG-99] Argandona A., "Sharing out alliances: trust and ethics", Journal of Business Ethics,. 21: , [ATK96] [ATT-99] [BAH-95] Atkins D., Buis P., et al, Internet Security: Professional Reference, New Riders, Indianapolis, AT&T Labs, "Beyond Concern: Understanding Net Users' Attitudes about Online Privacy", Research Technical Report TR , 1999, available 16/12/2002. Bahreman A., PEMToolKit: Building a Top-down certification hirerarchy, Proceedings of the Internet Society Symposium on Nework and Distributed System Οικονομικό Πανεπιστήμιο Αθηνών Σελ 244

245 Security, p , IEEE Computer Society Press, 1995 [BAR96] Barkakati N., UNIX Web Master Bible, IDG Books Worldwide, 1996 [BEL-02] [BEL-99] [BEN-99] [BER-00] [BLE-98] [BLO-64] Belanger F., Hiller J., Smith W., "Trustworthiness in electronic commerce: the role of privacy, security, and site attributes", Journal of Strategic Information Systems, Elsevier Science B.V., Vol. 11, pp , Bellare M., Miner S., "A forward-secure digital signature scheme", Lecture Notes in Computer Science, Vol 166, Wiener M. (Eds), Springer-Verlag, Benassi P., "TRUSTe: An Online Privacy Seal Program", Communications of the ACM, pp , Vol. 42, Berthold O., Kohntopp M., "Identity Management Based On P3P", Workshop on Design Issues in Anonymity and Unobservability, July 25-26, Berkeley, CA, Bleichenbacher D., Gabber E., Gibbons P., Matias Y., Mayer A., On secure and Pseudonymous Client-Relationships with Multiple Servers, 3rd USENIX Workshop on Electronic Commerce Boston, Massachusetts, Bloustein E., "Privacy as an Aspect of Human Dignity", 39 New York University Law Review 971, [BOL-95] BOLERO consortium, Bolero project Final Report, DGXIII/B6 under INFOSEC '94 contract S2302, EU, [BOR-02] Borking J., Privacy Enhancing Technologies (PET) Online and Offline, , Dutch Data Protection Authority, [BOR-99] [BS7-99] [BUN-97] [BUR-79] [BUR-97] Borking J., van Eck B., Siepel P, Intelligent Software Agents. Turning a Privacy Threat into a Privacy Protector, Information and Privacy Commissioner (Ontario Canada), Registratiekamer (The Netherlands), April British Standard 7799, "Information Security Management - Part 1: Code of Practice for Information Security Management", British Standards Institution, London, (1999) Bundesamt for Sicherheit in der Informationtechnik, "IT baseline Security Manual", Burrell, G. and Morgan, G. Sociological paradigms and organizational analysis, Heinemann, London, Burr W., Dodson D., Nazario N., Polk T., MISPC: Minimum Interoperability Specification for PKI Components, Version 1, NIST, June 1997 [BUS-98] Business Week, "A little net privacy please", March [CAL-90] David Calcutt QC, Report of the Committee on Privacy and Related Matters, 1990, Cmnd. 1102, London: HMSO, page 7. [CAR-01] Cartrysse K., Lubbe J., Kabasele J., Building a Privacy Guardian for the Electronic Age, the PISA project, pr. No IST , del D10, wp 3.1, Οικονομικό Πανεπιστήμιο Αθηνών Σελ 245

246 [CAS-02] [CER-96]. [CGG-98] [CHA-85] [CHA-90] [CHE-96] Casassa M., Bramhall P., Gittler M., "Identity Management: a Key e-business Enabler", Technical Report, Hewlett-Packard, Computer Emergency Response Team, Denial-of-Service Attack via ping, CERT Advisory CA , 1996 available 20/12/2003. Crijns M., Gatziani M., Gritzalis S., Grufferty S., Iliadis J., Kyrloglou N., Landrock P., Moulinos K., Mueller O., Passa P., Polemi D., Spinellis D., Varvitsiotis A., Issues facing the secure link of Chambers of Commerce, European Commission, COSACC (AD4001) project, Del. 3, December Chaum David, "Security without Identification: Transaction Systems to Make Big Brother Obsolete", Communications of the ACM, Vol. 28 No 10, pp , October Chaum D. Showing credentials without identification transferring signatures between unconditionally unlinkable pseudonyms. Advances in Cryptology, USCRYPT 90, January Chewick W., Bellovin S., Firewalls and Internet Security, 2nd edition, Addison- Wesley, [CHE-81] Checkland P., Systems Thinking Systems Practice. Wiley, Chichester, 1981 [CHE-98] Checkland P., Holwell S., Information, Systems and Information Systems making the sense of the field, John Wiley & Sons, England, 1998 [CHE-99] Cheskin Research and Studio Archetype/Sapient, "Ecommerce Trust Study", 1999, available at 16/12/2002. [CLA-01] [COE-01] Clarke R., The Legal Context of Privacy-Enhancing and Privacy-Sympathetic Technologies, The Australian National University, April Council of Europe, Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows, ETS No. : 181, [CRA-99] Cranor L., "Internet Privacy", Communications. of the ACM, Vol. 42 No. 2, p , February [CTO-97] [CUL-99] [DAS-00] Working Group on "Privacy Enhancing Technologies' of the Committee on "Technical and organizational aspects of data protection" of the German Federal and State Data Protection Commissioners, October Culnan M., Armstrong P., "Information Privacy Concerns, Procedural Fairness and Impersonal Trust: An Empirical Investigation", Organization Science, p , Vol 10, Dasgupta P., 'Trust as a Commodity', in Gambetta, Diego (ed.), Trust: Making and Breaking Cooperative Relations, Department of Sociology, University of Oxford, chapter 4, pp 49-72, Οικονομικό Πανεπιστήμιο Αθηνών Σελ 246

247 [DEN-97] [DEU-62] [DIF-76] [DON-98] Denning Dorothy E., Denning Peter J. Internet Besieged: Countering Cyberspace Scofflaws, Addison-Wesley Pub Co (Sd), Deutsch M., "Cooperation and Trust: Some theoretical notes", Jones M. R. (ed), Nebraska Symposium on Motivation, Nebraska University Press, Diffie W., Hellmann M., New directions in Cryptography, IEEE Transactions on Information Theory, p , Vol.IT-22, No.6, Donos P., Datenschutz-Prinzipien und Ziele, Nomos Verlagsgesellschaft, Baden- Baden, pp , [EAG-97] INFOSEC EAGLE Deliverable #2, Assessment criteria for TTP services, October [EAS-99] Eastlake D., Domain Name System Security Extensions, Request For Comments No.2535, IETF, March 1999 [EBR-95] INFOSEC Ebridge Final Report, ES & TTP enhancements to EBR, [ECH-76] X v. Iceland, 5 European Commission oh Human Rights (1976). [ELG-84] [ELL-99] [EPI-00] [EPI-01] [EPI-01a] [EPI-01b] [EPI-02] [EUC-00] [EUC-01] [EUC-81] ElGamal T., Cryptography and logarithms over finite fields, Phd Thesis, Stanford University, Ellisson C., Frantz B., Lampson B., Rivest R., Thomas B., Ylonen T., SPKI Certificate Theory, Request For Comments No.2693, IETF, September 1999 EPIC and Junkbusters, Pretty Poor Privacy: An Assessment of P3P and Internet Privacy, June 2000 available Electronic Privacy Information Center, "Privacy & Human Rights: An International survey of privacy laws and developments", EPIC-Privacy international, In Re Microsoft, Complaint and Request for Injunction, Request for Investigation and for Other Relief, Jul. 26, In Re Microsoft, Supplemental Materials in Support of Pending Complaint and Request for Injunction, Request for Investigation and for Other Relief, Aug. 15, Electronic Privacy Information Center, "Filters & Freedom 2.0: Free Speech Perspectives on Internet Content Controls", EPIC-Privacy international, European Commission, Data Protection: Commission adopts decisions recognising adequacy of regimes in US, Switzerland and Hungary, European Commission Press Release, July 17, European Commision, On standard contractual clauses for the transfer of personal data to processors established in third countries,under Directive 95/46/EC, Official Journal of the European Communities, (notified under document number C(2001)4540), 2001 European Council, Convention for the Protection of Individuals with regard to the Automatic Processing of personal Data, ETS No 108, Strasbourg, 1981 available Οικονομικό Πανεπιστήμιο Αθηνών Σελ 247

248 [FAR-90] [FAR-91] [FIS-01] [FNM-98] Farmer D., The COPS security checker system, proc. of the Summer 1990 USENIX Conf., pp , Berkeley, CA, June 1990, USENIX Association. Farmer D., Venema W., Improving the Security of your Site by Breaking Into it, Fisher-Hubner S., IT Security and Privacy, LNCS, Springer-Verlag Berlin Heidenberg, Vol.1958, Apr FNMT group, PKITS Public Key Infrastructure with Time-Stamping Authority, Deliverable D3, EU project , April 1998 [FOG-99] Fogg B.J., Tseng H., "The elements of Computer credibility", in proc. of the 1999 Conference, ACM, p , [FOR-99] Forester Research Inc., "Privacy Wake-Up Call", [FOX-00] [FRO-96] [GAR-96] [GOL-97] Fox S., Rainie L., Horrigan J., Lenhart A., Spooner T., Carter C., "Trust and Privacy On-line: Why americans want to rewrite the rules?", The Pew Internet & American Life project, 2000, Research article, available at 2/3/2002. Froomkin M., Flood Control on the Information Ocean: Living With Anonymity, Digital Cash, and Distributed Databases", Pittsburgh Journal of Law and Commerce, 395 (1996). Garfinkel S. & Spafford G., "Practical Unix & Internet Security", O'Reilly & Associates, Nov Goldberg I, Wagner D. Brewer E., Privacy-enhancing technologies for the Internet, IEEE COMPCON '97, February 1997, available 10/1/2003. [GOL-98] Goldberg I, Wagner D., TAZ Servers and the Rewebber Network: Enabling Anonymous Publishing on the WWW, First Monday Peer Reviewed Journal on The Internet, Vol. 3. No. 4, 1998 [GOO-96] [GRI-00] [GRI-01] [GRI-01a] Goodman P., Secure Deletion of Data from Magnetic and Solid-State Memory, USENIX Security Symposium, San Jose, California, July Gritzalis S., Katsikas S., Lekkas D., Moulinos K and Polydorou E., Securing the Electronic Market:The KEYSTONE Public Key Infrastructure Architecture, Computers & Security, Vol. 19 No 8, p Gritzalis S., Gritzalis D., Moulinos K., Iliadis J., "An integrated Architecture for deploying a Virtual Private Medical Network over the Web", Medical Informatics and the Internet in Medicine journal, Cambridge University Press - Taylor & Francis Publications, Vol.26, No.1, pp.49-72, Gritzalis D., Moulinos K., Iliadis J., Lambrinoudakis C., Xarhulacos S., PyTHIA: Towards Anonymity in Authentication, proc.of the IFIP 16th International Οικονομικό Πανεπιστήμιο Αθηνών Σελ 248

249 Conference on Information Security, Paris-France, June [GRI-01b] [HAG-97] Gritzalis D., Moulinos K., Kostis K., A Privacy-Enhancing e-business Model Based on Infomediaries, Workshop on Mathematical Methods, Models, and Architectures for Computer Networks Security, Hagel J., Singer M., "Net Worth: Shaping Markets When Customers Make the Rules', HBS Press, [HAG-97] Hagel J., Rayport J., The new infomediaries, The Mc Kinsey Quarterly, No. 4, November [HAG-99] [HAN-93] [HEN-95] [HIG-00] [HIR-95] J. Hagel, M. Singer, Net Worth: Shaping Markets When Customers Make the Rules, HBS Press, Hansen S., Atkins T., "Automated System Monitoring and Notification With Swatch", Stanford University, November Henk van Rossum, Huib Gardeniers, John Borking et al., "Privacy-Enhancing Technologies: The path to anonymity", Vol I u.ii, Achtergrondstudies en Verkenningen 5a/5b, Registratiekamer, The Netherlands & Information and Privacy Commissioner/Ontario, Canada, August Higgins K., Public Key Infrastructures Few and Far Between, InternetWeek Online (Nov. 2, 2000), at Hirschheim, R., Klein, H.K. and Lyytinen, K. (1995). Information systems development and data modeling: Conceptual and philosophical foundations. Cambridge University Press, UK. [HIX-87] Hixson R., Privacy in a Public Society: Human Rights in Conflict [HOG-00] Hogan T., Now That the Floodgates Have Been Opened, Why Haven t Banks Rushed Into the Certification Authority Business?, 4 N.C. Banking Inst. 417 (2000). [HOL-91] Holbrook P., Reynolds J., 'Site Security Handbook', RFC 1244, July [INF-95] [ISO-10118] [ISO-10181] [ISO-17799] Information and Privacy Commissioner (Ontario Canada), Registratiekamer (The Netherlands), Privacy-Enhancing Technologies: The Path to Anonymity - Vol.1, August 1995 ISO/IEC , Information technology, Security techniques, Hash-functions: Hash-functions using modular arithmetic, ISO/IEC DIS , Draft International Standard: non-repudiation Framework, ISO/IEC Information technology: Code of practice for information security management, [ISO-8402] ISO 8402 Quality management and quality assurance Vocabulary, [ITA-03] International Trade Administration, Safe harbor List, available at Οικονομικό Πανεπιστήμιο Αθηνών Σελ 249

250 20/4/2003. [ITU-01] [JAV-99] [KAH-88] [KAL-93] [KEN-02] International Telecommunication Union, X-509 ISO/IEC , The directory: Public-key and attribute certificate frameworks, ITU, X-Series, Available at Jarvenpaa S., Tractinsky N., "Consumer Trust in an Internet Store: A Cross-Cultural Validation", Journal of Computer Mediated Communicatiom, Vol 5, Issue 2, 1999, available at 17/12/2002. Kahane Y., Neumann S., Tapiero C., Computer backup pools, Disaster Recovery and default risk, Communications of the ACM, Vol 31 No 1, June Kaliski B., "Privacy Enhancement for Internet Electronic Mail: Part IV: Key Certification and Related Services", Request For Comments No.1424, IETF, February Kenny S., Borking J., "The Value of Privacy Engineering', The Journal of Information, Law and Technology (JILT), [KIL-97] Kilian J., Petrank E., "Identity Escrow", [KIO-96] [KOC-02] [KOW-94] [LAI-92] [LAN-01] [LEE-96] [LEK-02] [LON-96] Kiountouzis, E.A. and Kokolakis, S.A. (1996). An analyst s view of information systems security. In Katsikas, S.K. and Gritzalis, D. (eds.), Information systems security: Facing the information society of the 21 st century. Chapman & Hall, London. Koch M., "Global Identity Management to Boost Personalization', in proc. of 9 th Research Symp. On Emerging Electronic Markets, P. Schubert, U. Leimstoll (eds.), Basel, p , Kowalski, S. (1994). IT insecurity: A multi-disciplinary inquiry. PhD Thesis, Stockholm University, Sweden. Lai X., On the design and security of block ciphers, Dissertation ETH No.9752, Swiss Federal Institute of Technology, Switzerland, Langheinrich m., Privacy by Design - Principles of Privacy-Aware Ubiquitous Systems, Ubicomp 2001 Proceedings, Lecture Notes in Computer Science, Springer & Verlang, p , Vol. 2201, Lee G., Addressing Anonymous Messages in Cyberspace, Journal of Computer- Mediated Communication, Volume 2, June Lekkas D., "Establishing and managing trust within the Public Key Infrastructure", Accepted for publication, Longworth E., Notes on Privacy Impact Assessments, Privacy Issues Forum, Christchurch New Zealand, [LUH-79] Luhmann N., "Trust and Power", Chichester: Wiley, 1979 [MAR-93] Marsh S., "Formalising Trust as a Computational Concept", PhD Thesis, Dept. of Οικονομικό Πανεπιστήμιο Αθηνών Σελ 250

251 Computing Science and Mathematics, University of Stirling, [MAY-97] Mayer-Schonberger V., The Internet and Privacy Legislation: Cookies for a Treat?', West Virginia Journal of Law and Technology, March [MIN-95] Minsky N., "Law-Governed Systems", Software Engineering Journal, pp , September [MIT-03] [MOO-93] [MOU-00a] [MOU-00b] [MTE-02] Mitrou L., Moulinos K., Privacy and Data Protection in Electronic Communications, in Proc. of the 2nd International Conference on Mathematical Methods, Models, and Architectures for Computer Networks Security, p , Springer-Verlag, Moorman C., Deshpande R., Zaltman G., "Factors affecting trust in market research relationships", Journal of Marketing, p , Vol. 57(1), Moulinos K., Κyrloglou N., Tryfonas T., "A Framework for Comparing Cryptographic Libraries", in proc.of the IFIP 16th International Conference on Information Security, Konstantinos D. Moulinos, Dimitris Gritzalis, "Cryptographic Libraries as a means to support privacy-enhanced information systems", WSPEC '00 Workshop on Security and Privacy in E-Commerce, ACM Press, Athens "Defining Enterprise Identity Management", Mercury information Technology Inc., [MUF-96] Muffet A., "Crack Version 5.0 Manual", December [MUL-93] [NBS-88] [NET-97] [OEC-02] [OEC-81] [OEC-99] [PAP-01] Muller P., Functional Model of Trusted Third Party Services, INFOSEC Project Report S2101/03, CEC/DG XIII/B6, U.S. National Bureau of Standards, NBS FIPS PUB 46-1, Data Encryption Standard, U.S. Dept. of Commerce, Jan Netscape Communications Corp., VeriSign Inc. and FireFly Network Inc, The Open Profiling Standard (OPS), Organization for Economic Co-operation and Development, Inventory of Privacy- Enhancing Technologies (PETs), DSTI/ICCP/REG(2001)1/FINAL, 7 Jan OECD, Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data, Paris, Organization for Economic Co-operation and Development, Inventory Of Instruments and mechanisms contributing to the implementation and enforcement of the OECD privacy guidelines on global networks, DSTI/ICCP/REG(98)12/FINAL, 19 May Papadopoulou P., Andreou A., Kanellis P., Martakos D., "Trust and relationship building in electronic commerce", Internet Research: Electronic Networking Applications and Policy Journal, MCB University Press, Vol. 11, No 4, pp , Οικονομικό Πανεπιστήμιο Αθηνών Σελ 251

252 [PAR-95] [PAT-99] [PET91] [PFI-01] [PIP-02] [QUI-99] [RAB-78] [RAN-94] [REC-99] [REG-95] [REI-97] [REI-98] [REN-97] [RIV-78] Parker, D.B. A new framework for information security to avoid information anarchy In Ellof, J. and von Solms, S. (eds.), Information security the next decade, Chapman & Hall, London, Patel A., Gladychev P., Katsikas S., Gritzalis S. and Lekkas D., Support for Legal Framework and Anonymity in the KEYSTONE Public Key Infrastructure architecture, UIPP'99 IFIP International joint Working Conference on User Identification and Privacy Protection, Kluwer Academic Publisher, Pethia R., Crocker S., Fraser B., Guidelines for the Secure Operation of the Internet, RFC 1281, November Pfitzmann A., Köhntopp M., Anonymity, Unobservability, and Pseudonymity - A Proposal for Terminology, in proc. of 4th International Information Hiding Workshop, Pittsburgh, PA, USA, April PIPER MARBURY RUDNICK & WOLFE LLP, Proceedings of Presentation to European National Data Protection Commissioners of Independent Dispute Resolution Mechanisms, Washington DC, March 14, Quisquater J., Massias H., Serret J., Preneel B., Van Rompay B., TIMESEC: Digital Timestamping and the Evaluation of Security Primitives, Katholieke Universiteit Leuven, December Rabin M.O., Gigitalized signatures Foundations of Secure Computation, pp , Academic Press, Rannenberg K, "Recent Development in Information Technology Evaluation - The Need for Evaluation Criteria for multilateral security", in proc. of the IFIP TC9/WG 9.6 Working Conference, Sizer R., Yngstrom L., Kaspersen H and Fischer-Hubner S. (eds), p , Data Protection Working Party, Recommendation 1/99, On Invisible and Automatic Processing of Personal Data on the Internet Performed by Software and Hardware, Registratiekamer (The Netherlands) Privacy-Enhancing Technologies: The Path to Anonymity Vol.2, August Reichenbach M., Damker H., Federrath H., Rannenberg K., "Individual Management of Personal Reachability in Mobile Communication", in proc. of IFIP TC11 13 th International Conference on Information Security (SEC'97), Louise Yngstrom, Jan Carlsen (eds), pp , May Reiter M., Rubin A., Crowds: Anonymity for Web Transactions, ACM Transactions on Information and System Security, Vol. 1, November Rennhard M., Rafaeli S., Mathy L., Plattner B., Hutchison D., An Architecture for an Anonymity Network, The Mc Kinsey Quarterly, No. 4, November Rivest R., Shamir A., Adleman L., A method for obtaining Digital Signatures and Public-Key Cryptosystems, Communications of the ACM, No.21(2), pp , Οικονομικό Πανεπιστήμιο Αθηνών Σελ 252

253 [RIV-92] Rivest R., Dusse S., The MD5 Message-Digest Algorithm, Request For Comments No.1321, IETF, [RIV-95] Rivest R., The RC5 Encryption Algorithm, Dr. Dobb s Journal, p , [RMM-96] [ROB-97] [ROW-00] [SAM-90] [SCH-90] Russell, Mc Veagh, McKenzie, Bartleet, The Privacy Act: The honeymoon is over, Intellectual property & Media Law Update, Robb, F.F. Some philosophical and logical aspects of information systems. In Winder, R.L., Probert, S.K. and Beeson, I.A. (eds), Philosophical aspects of information systems. Taylor & Francis, London, Rowland D., Anonymity, Privacy and Cyberspace, European Commission, 15th BILETA Conference, April Samuel Warren and Louis Brandeis, "The Right to Privacy', 4 Harvard Law Review , Schoderbek P., Schoderbek G., Kefalas, A., Management systems: Conceptual considerations Irwin, Boston, [SCH-96] Schwartz P., Reindenberg J., Data Privacy Law (Michie 1996). [SCH-99] Schwartz P., Privacy and Democracy in Cyberspace, Vanderbilt Law Review, Vol. 52: 1609, [SCO-97] [SHA-87] [SIO-02] [SMI-99] [SPI-01a] [SPI-01] [SPI-02] Scollay M., Information Privacy in Australia, Privacy Law and Policy Reporter (PLPR), July Shapiro S.P., "The social control of impersonal trust", American Journal of Sociology, p , Vol. 93, item 3, Siougle E., Zorkadis V., "A Model Enabling Law Compliant Privacy Protection through the Selection and Evaluation of Appropriate Security Controls", in proc. of Infrasec2002 International Conference, Lecture Notes in Computer Science, Springer Verlag, Davida G., Frankel Y., Rees O. (eds), Vol. 2437, pp , Bristol-UK, Smith M., Bailey J., Brynjolfsson E., "Understanding Digital Markets: Review and Assessment", in Brynjolfsson, Kahin (eds), Understanding the Digital Economy, MIT Press, 1999, available at 16/12/2002. Spinellis D., Reflection as a mechanism for software integrity verification, ACM Transactions on Information and System Security, Vol. 3(1), p , Spiekermann S., Grossglags J., Berendt B. Stated Privacy Preferences versus Actual Behaviour in EC environments: a Reality Check, in proc. of 5th International Conference, Wirtschaftsinformatik Spinellis D., Moulinos K., Iliadis J., Gritzalis D., Gritzalis S., Katsikas S., "Deploying a Secure Cyberbazaar by adding Trust on Commercial Transactions", ejeta: The ejournal for Electronic Commerce Tools and Applications, Vol.1, No.2, November Οικονομικό Πανεπιστήμιο Αθηνών Σελ 253

254 2002. [SUL-01] [SYV-00] [TBC-01] [TBC-02] [TEL-03] [TES-95] [THI-95]. [TRU-02a] [TRU-02b] [TRU-96] [USC-00] [VIV-98] [VOL-81] [W3C-00] Soulin Ba, "Establishing online trust through a community responsibility system", Journal of Decision Support Systems, Elsevier Science B.V, Vol 31, pp , Syverson P., Goldschlag D., Onion Routing Access Configuration, DISCEX 2000, in proc. of the DARPA Information Survivability Conference and Exposition, Vol. 1, Hilton Head SC, IEEE CS Press, January Treasury Board of Canada Secretariat, "Privacy Impact Assessment Guidelines: A Framework to Manage Privacy Risks", Canadian Federal Government, Treasury Board of Canada Secretariat, "Privacy Impact Assessment Policy', Canadian Federal Government, Telstrow M., Kobsa A., Impacts of user privacy preferences on personalized systens: A comparative study, in Proc. of CHI-2003 Workshop on Designing Personalized User Experiences for ecommerce, Kluwer Academic Publishers, p. 1-20, TESTFIT - TTP & Electronic Signature Trial for Inter-modal Transport, Final Report, INFOSEC Project Report S2303, CEC/DGXIII/B6, September1995. Trusted Information Systems THIS project, final deliverable V2.0, Requirements on Electronic Signature Services and TTP services, Swedish Institute for Health Services Development, Sweden, TRUSTe, "TRUSTe License Agreement 7.0", Proceedings of Presentation to European National Data Protection Commissioners of Independent Dispute Resolution Mechanisms, Washington DC, March 14, TRUSTe, "TRUSTe Schedule A: Program Requirements", Proceedings of Presentation to European National Data Protection Commissioners of Independent Dispute Resolution Mechanisms, Washington DC, March 14, Healthcare Telematics/TrustHealth-ETS project, Functional Specification of TTP Services, Swedish Institute for Health Services Development, Sweden, August US Dept. of Commerce, "Public Comments Received by the US Department of Commerce in Response to the Safe Harbor Documents", 2000 available at 4/5/2002. De Vivo M., De Vivo G., Isern G., "Internet Security Attacks at the Basic Levels", Operating Systems Review Journal, ACM Press, Vol. 32, No 2, April, Volio Fernando, Legal personality, privacy and the family, in Henkin (ed), The International Bill of Rights, Columbia University Press, The Platform for Privacy Preferences 1.0 (P3P1.0) Specification W3C Candidate Recommendation 15, December [WES-67] Westin F. Allan, Privacy and Freedom 7 (Atheneum 1967). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 254

255 [WIN-01] [WIN-86] [WPW-00] [ZIM-95] Winn J., "The Emperor's New Clothes: The Shocking Truth About Digital Signatures and Internet Commerce", 37 Idaho L. Rev. 353 (2001). Winograd, T. and Flores, F. Understanding computers and cognition. Addison-Wesley, Reading, MA, USA, Data Protection Working Party, Privacy on the Internet An integrated EU Approach to online Data Protection, Zimmermann, Ph., Pretty Good Privacy - Public Key Encryption for the Masses. PGP User's Guide, Vol 1&2. PGP Version 2.6.1, Cambridge, MA, MIT Press, Στην ελληνική γλώσσα [TOF-91] [ΑΡΑ-94] [ΓKP-94] [ΓKP-96] Toffler, A. Το σοκ του μέλλοντος, μετφ. Έλσα Νικολάου, εκδόσεις κάκτος, Αθήνα, Αραβαντινός Β., "Εισαγωγή στη νομοπληροφορική και στη δικαιοκυβερνητική", νομοπληροφορική, Εκδόσεις Αντ. Σάκκουλα, τ. 1ος, 1994 Γκρίτζαλης Δ., Ασφάλεια Πληροφοριακών Συστημάτων σε περιβάλλοντα υψηλής ευπάθειας, Διδακτορική διατριβή, Πανεπιστήμιο Αιγαίου, Μάιος Γκρίτζαλης Δ., Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών: Εννοιολογική θεμελίωση, Τμήμα Πληροφορικής Οικονομικό Πανεπιστήμιο Αθηνών, [ΓΚΡ-98] Γκρίτζαλης Σ., "Ασφάλεια Πληροφοριακών Συστημάτων σε Κατανεμημένο Περιβάλλον", Διδακτορική Διατριβή, Εθνικό & Καποδιστριακό Πανεπιστήμιο Αθηνών, [ΔΑΓ-91] [ΔΟΝ-00] [ΕΕΑ-93] [ΕΚΣ-02] [ΕΚΣ-95] Δάγτογλου Π., "Συνταγματικό Δίκαιο, Ατομικά Δικαιώματα", Εκδόσεις Αντ. Σάκκουλα, τ. Β', Δόνος Π., "Η Συνταγματική κατοχύρωση του δικαιώματος προστασίας του πολίτη από την επεξεργασία των προσωπικών του δεδομένων και της αντίστοιχης ανεξάρτητης Αρχής", άρθρο στο Αναθεώρηση του Συντάγματος και εκσυγχρονισμός των Θεσμών, Γιώργος Παπαδημητρίου (επιμ.), Εκδόσεις Αντ. Σάκκουλα, Ευρωπαϊκή Επιτροπή των Ανθρωπίνων Δικαιωμάτων, «Σύμβαση για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών», Γραμματεία της Ευρωπαϊκής Επιτροπής των Ανθρωπίνων Δικαιωμάτων, Στρασβούργο ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12 ης Ιουλίου 2002 σχετικά µε την επεξεργασία των δεδοµένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τοµέα των ηλεκτρονικών επικοινωνιών. ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της Οικονομικό Πανεπιστήμιο Αθηνών Σελ 255

256 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, [ΕΚΣ-97] [ΕΚΣ-99] [ΗΕΘ-48] ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Οδηγία 97/66/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 15ης Δεκεμβρίου 1997 περί επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα, ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 13ης Δεκεμβρίου 1999 σχετικά με το κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές, Ηνωμένα Έθνη, «Οικουμενική Διακήρυξη των Δικαιωμάτων του Ανθρώπου», Δεκέμβριος [ΚAB-94] Κάβουρας Ι., «Κατανεμημένα Λειτουργικά Συστήματα», Εκδόσεις Κλειδάριθμος, [ΚIO-95] [ΚOK-00] [ΚΩΝ-02] [ΛEK-02] [ΠAN-01] Κιουντούζης Ε., Μοντέλα Ασφάλειας Πληροφοριακών Συστημάτων, Ασφάλεια Πληροφοριών, Τεχνικά, Νομικά και Κοινωνικά θέματα, Εκδόσεις ΕΠΥ, Αθήνα, Κοκολάκης Σ., Ανάπτυξη και Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων, Διδακτορική Διατριβή, Οικονομικό Πανεπιστήμιο Αθήνας, Ιούνιος 2000 Κωνσταντόπουλος Μ., "Η δόμηση των Πληροφοριακών Υποδομών: Πλαίσιο, Θεώρηση, Εφαρμογές", Διδακτορική Διατριβή, Πανεπιστήμιο Αιγαίου, Λέκκας Δ., ' Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων με χρήση υπηρεσιών Έμπιστης Τρίτης Οντότητας Λειτουργικά, Αρχιτεκτονικά και Οργανωτικά ζητήματα', Διδακτορική διατριβή, Πανεπιστήμιο Αιγαίου, 2002 Παναγής Θ., " Ενσωμάτωση Τεχνολογιών Προάσπισης Ιδιωτικότητας στην ανάπτυξη Πληροφοριακών Συστημάτων", Εργασία για την απόκτηση Μεταπτυχιακού Διπλώματος στα Πληροφοριακά Συστήματα, Οικονομικό Πανεπιστήμιο Αθηνών, Οικονομικό Πανεπιστήμιο Αθηνών Σελ 256

257 ΥΠΗΡΕΣΙΑ ΠΡΟΣΒΑΣΗΣ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΤΗΣ ΥΠΔ Η υπηρεσία "Πρόσβαση σε ανώνυμα περιγράμματα" της ΥΠΔ περιλαμβάνει τις παρακάτω επιμέρους υπηρεσίες: Πρόσβαση χωρίς διαμεσολάβηση τρίτου με ανώνυμα πιστοποιητικά. Περιορισμός: Ο υπεύθυνος επεξεργασίας πρέπει να εμπιστεύεται την ΕΤΟ που θα εκδώσει το ανώνυμο πιστοποιητικό του υποκειμένου επεξεργασίας. Λειτουργίες που εκτελούνται από το υποκείμενο 1. Αίτηση ανώνυμου πιστοποιητικού. (βλ. Αίτηση έκδοσης πιστοποιητικού, κμ ΠΤ_ΕΤΟ_01, ). Η αίτηση θα περιέχει μια εγγραφή της παραδειγματικής μορφής <distinguished_name>cn=anonymous;ou=null;o=null;c=gr</distinguished_ name> 2. Αποθήκευση ανώνυμου πιστοποιητικού. (βλ. Αποθήκευση πιστοποιητικού, κμ ΠΤ_ΕΤΟ_ ). 3. Αποστολή πιστοποιητικού. (βλ. Αποστολή πιστοποιητικού, κμ ΠΤ_ΕΤΟ_ ). Λειτουργίες που εκτελούνται από τον υπεύθυνο επεξεργασίας 1. Επικύρωση εγκυρότητας πιστοποιητικού (βλ. Επικύρωση εγκυρότητας πιστοποιητικού, κμ ΠΤ_ΕΤΟ_ ). 2. Παράκαμψη ανωνυμίας. Ο υπεύθυνος επεξεργασίας στέλνει το πιστοποιητικό (κμ ΠΤ_ΕΤΟ_03) στην μονάδα παροχής αποδείξεων της ΕΤΟ (κμ ΕΤΟ_ΛΠ_05, ). Η παραλαβή γίνεται από τον προστάτη ταυτότητας (κμ ΠΤ_ΕΤΟ_07, ). Πρόσβαση χωρίς διαμεσολάβηση τρίτου με τριτεγγύηση ταυτότητας. 1. Λειτουργική μονάδα έκδοσης τεκμηρίου τριτεγγύησης ταυτότητας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 257

258 Περιορισμός. Το υποκείμενο πρέπει να έχει στην κατοχή του ένα έγκυρο ψηφιακό πιστοποιητικό από μια ΕΤΟ που εμπιστεύεται και ο υπεύθυνος επεξεργασίας. Η προμήθεια του πιστοποιητικού μπορεί να γίνει με χρήση του προστάτη ταυτότητας. Λειτουργίες που εκτελεί το υποκείμενο. 1. Αίτηση έκδοσης τεκμηρίου (κμ. ΑΠ_ΤΤ_01, βλ. βήμα 1, ) Είσοδος: (1) αίτηση έκδοσης τεκμηρίου με συγκεκριμένη δομή και μορφοποίηση, που περιέχει όλα τα απαραίτητα στοιχεία για την ταυτότητα του υποκειμένου και για τα χαρακτηριστικά του πιστοποιητικού που ζητείται. Η αίτηση έχει υπογραφεί με το δημόσιο κλειδί (πιστοποιητικό) της ΕΤΟ από την οποία θα ζητηθεί το τεκμήριο τριτεγγύησης. (2) έγκυρο πιστοποιητικό (3) ειδική σήμανση ότι πρόκειται για τεκμήριο τριτεγγύησης. Έξοδος: δυαδική τιμή που υποδεικνύει θετική ή αρνητική επιβεβαίωση αποστολής. Λειτουργία: (1) σύναψη ασφαλούς επικοινωνίας με την ΕΤΟ, όπως είναι η φυσική παρουσία ή μία ασφαλής δικτυακή σύνοδος, (2) αποστολή της αίτησης, (3) αποθήκευση της αίτησης σε προεπιλεγμένο μέσο, (4) επιστροφή θετικής ή αρνητικής επιβεβαίωσης αποστολής της αίτησης. 2. Αποθήκευση τεκμηρίου. (βλ. Αποθήκευση πιστοποιητικού, κμ ΠΤ_ΕΤΟ_ ). Λειτουργίες που εκτελεί η ΕΤΟ. Καταχώρηση (ΕΤΟ_ΛΠ_01, βλ ), Δημιουργία πιστοποιητικών (ΕΤΟ_ΛΠ_02-1, βλ ), Διανομή πιστοποιητικών (ΕΤΟ_ΛΠ_02-2, βλ ), Αποθήκευση πιστοποιητικών (ΕΤΟ_ΛΠ_02-3, βλ ). 2. Λειτουργική μονάδα επικύρωσης τεκμηρίου Λειτουργίες που εκτελεί το υποκείμενο επεξεργασίας 1. Αποστολή τεκμηρίου. (βλ. Αποστολή πιστοποιητικού, κμ ΠΤ_ΕΤΟ_03, βλ ) Λειτουργίες που εκτελεί ο υπεύθυνος επεξεργασίας 1. Επιβεβαίωση εγκυρότητας τεκμηρίου. (κμ ΑΠ_ΤΤ_02, βλ. βήμα 3 & ) Είσοδος: (1) ΤΤΤ (2) H n-k (CertΥκ, RV) Έξοδος: (1) μια δυαδική τιμή που υποδεικνύει εάν το τεκμήριο είναι έγκυρο ή όχι και (2) στην αρνητική περίπτωση τον κωδικό σφάλματος. Λειτουργία: (1) εκτέλεσε βήμα (2) εκτέλεσε βήμα (3) επιστροφή θετικής ή αρνητικής επιβεβαίωσης του τεκμηρίου στο υποκείμενο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 258

259 Συνεργασία με άλλες μονάδες: ΠΤ_ΕΤΟ_02, ΠΤ_ΠΔ_02-1. Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο 2. Αποστολή αίτησης χρονοσήμανσης τεκμηρίου. (κμ ΑΠ_ΤΤ_03, βλ. βήμα ) Είσοδος: (1) H n-k (CertΥκ, RV) (2) CertΥθ Έξοδος: (1) μια δυαδική τιμή που υποδεικνύει εάν το μήνυμα εστάλη ή όχι και (2) στην αρνητική περίπτωση τον κωδικό σφάλματος. Λειτουργία: (1) εκτέλεσε βήμα (2) επιστροφή θετικής ή αρνητικής επιβεβαίωσης ορθής μετάδοσης μηνύματος. Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_02 3. Επαλήθευση χρονοσφραγίδας (κμ ΑΠ_ΤΤ_04, βλ. βήμα ) Η αιτούσα οντότητα έχει τη δυνατότητα - και σε ορισμένες περιπτώσεις απαιτείται - να επιβεβαιώνει την εγκυρότητα της χρονοσφραγίδας που της επιστρέφεται. Βασική προϋπόθεση σε αυτή τη διαδικασία είναι η γνώση του αλγόριθμου που χρησιμοποιήθηκε για την υπογραφή των στοιχείων που περιέχει μία χρονοσφραγίδα. Τυπικά ο παραλήπτης της χρονοσφραγίδας ελέγχει τα παρακάτω: η ψηφιακή υπογραφή της ΕΤΟ είναι έγκυρη και άρα η χρονοσφραγίδα είναι ακέραια και αυθεντική η ΕΤΟ είναι εξουσιοδοτημένη να παράγει χρονοσφραγίδες, δηλαδή το ψηφιακό πιστοποιητικό της περιλαμβάνει στις επιτρεπόμενες χρήσεις του τη χρονοσήμανση τα δεδομένα που χρονοσημάνθηκαν είναι πράγματι αυτά που είχαν αποσταλεί με την αίτηση ο χρόνος που υποδεικνύει η χρονοσφραγίδα σχετίζεται κατά προσέγγιση με την παρούσα χρονική στιγμή Επαλήθευση χρονοσφραγίδας Τυπικά, οποιοσδήποτε διαθέτει μία χρονοσφραγίδα στην κατοχή του μπορεί να επιβεβαιώσει την εγκυρότητά της. Πρακτικά η επαλήθευση μίας χρονοσφραγίδας έχει αξία για μία οντότητα που κατέχει τα αρχικά δεδομένα τα οποία χρονοσημάνθηκαν. Στη γενική περίπτωση η διαδικασία αυτή έχει ως εξής: Είσοδος: κείμενο (1) αρχικό κείμενο, (2) χρονοσφραγίδα που πιθανά αντιστοιχεί σε αυτό το Έξοδος: δυαδική τιμή που υποδεικνύει επιτυχή ή ανεπιτυχή επαλήθευση της χρονοσφραγίδας σε σχέση με το δοθέν κείμενο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 259

260 Λειτουργία: (1) επαλήθευση της ψηφιακής υπογραφής της ΕΤΟ που περιέχεται στη χρονοσφραγίδα, χρησιμοποιώντας το δημόσιο κλειδί της ΕΤΟ που περιέχεται στο πιστοποιητικό της, (2) παραγωγή της σύνοψης του αρχικού κειμένου με τον αλγόριθμο που υποδεικνύεται στη χρονοσφραγίδα, (3) σύγκριση της παραγόμενης σύνοψης και αυτής που περιέχεται στη χρονοσφραγίδα, (4) ανάκτηση και διαισθητικός έλεγχος του ασφαλούς χρόνου, λαμβάνοντας υπόψη τη μορφοποίησή του, τη ζώνη ώρας και την ακρίβειά του, (5) επιπλέον έλεγχοι της συνδεδεμένης λίστας ή του δυαδικού δέντρου χρονοσφραγίδων της ΕΤΟ για την επιβεβαίωση της αξιοπιστίας της υπηρεσίας, (6) επιστροφή θετικής απάντησης στην περίπτωση που επιτύχουν τα βήματα 1, 3 και Αποθήκευση χρονοσφραγίδας (κμ ΑΠ_ΤΤ_04-1, βλ. βήμα ) Είσοδος: (1) έγκυρη ψηφιακά υπογεγραμμένη χρονοσφραγίδα (2) k (3) ΣΑΠΙΥκ Έξοδος: (1) μια δυαδική τιμή που υποδεικνύει εάν η χρονοσφραγίδα έχει αποθηκευθεί επιτυχώς ή όχι Λειτουργία: η διατήρηση του ημερολογίου γίνεται στο σύστημα διαχείρισης βάσεων δεδομένων της ΕΤΟ. Υπάρχει σχέση 1-Ν πιστοποιητικών πελατών και χρονοσφραγίδων, οπότε τίθεται ένας περιορισμός σχεσιακής ακεραιότητας που πρέπει να ελέγχεται και να διατηρείται. Συνεργασία με άλλες μονάδες: ΠΤ_ΔΧ_01 Η χρονοσήμανση γίνεται με την χρήση της μονάδας "Χρονοσήμανση" της ΕΤΟ (κμ. ΕΤΟ_ΛΠ_04, βλ ). 3. Λειτουργική μονάδα αποκάλυψης πραγματικής ταυτότητας Λειτουργίες που εκτελεί ο υπεύθυνος επεξεργασίας 1. Ανάκτηση χρονοσφραγίδας (κμ. ΑΠ_ΤΤ_05) Είσοδος: Έξοδος: (1) CertYκ (2) k Χk{ CertΥθ, H n-k, ΣΑΠΙΥκ} ή κωδικός σφάλματος Λειτουργία: (1) Αναζήτηση της χρονοσφραγίδας που αντιστοιχεί στο πιστοποιητικό εισόδου και στο χρόνο k. Συνεργασία με άλλες μονάδες: ΠΤ_ΔΧ_01 2. Αποστολή αίτησης παράκαμψη ανωνυμίας (κμ. ΑΠ_ΤΤ_06, βλ βήμα ) Είσοδος: Έξοδος: (1) k (2) Πιστοποιητικό υπεύθυνου επεξεργασίας. Θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 260

261 Λειτουργία: (1) Ανεύρεση υπογεγραμμένης χρονοσφραγίδας που αντιστοιχεί στο χρόνο k, (2) Εκτέλεσε το βήμα (3) Επιστροφή θετικής ή αρνητικής επιβεβαίωσης ορθής μετάδοσης μηνύματος. 3. Παραλαβή πραγματικής ταυτότητας (βλ. Αποθήκευση πραγματικής ταυτότητας, κμ ΠΤ_ΕΤΟ_ ). Λειτουργίες που εκτελεί η ΕΤΟ 1. Επεξεργασία αίτησης παράκαμψης ανωνυμίας (βλ. Παροχή αποδείξεων, κμ ΕΤΟ_ΛΠ_ ). Πρόσβαση με διαμεσολάβηση Δικτυοενδιάμεσου με ανώνυμα πιστοποιητικά. Οι λειτουργίες της υπηρεσίας "Πρόσβαση με διαμεσολάβηση Δικτυοενδιάμεσου με ανώνυμα πιστοποιητικά.", είναι ίδιες με αυτές της υπηρεσίας " Πρόσβαση με διαμεσολάβηση Δικτυοενδιάμεσου με τριτεγγύηση ταυτότητας". Απαιτείται, η αντικατάσταση του τεκμηρίου τριτεγγύησης ταυτότητας (ΤΤΤΥκ) με ένα ανώνυμο πιστοποιητικό. Πρόσβαση με διαμεσολάβηση Δικτυοενδιάμεσου με τριτεγγύηση ταυτότητας. 1. Υπηρεσίες Δικτυοενδιάμεσων Διαχειριστών (ΔΔ): Περιλαμβάνει τις επιμέρους υπηρεσίες: 1.1 Υπηρεσία Δημιουργίας ΥΔΚ Δικτυοενδιάμεσων. Αυτή η υπηρεσία δίνει τη δυνατότητα στους Διαχειριστικούς Δικτυοενδιάμεσους, να δημιουργήσουν την εμπιστοσύνη μεταξύ δικτυοενδιάμεσων. Η ύπαρξη διαλειτουργικότητας μεταξύ των ΕΤΟ, που έχουν εκδώσει τα ψηφιακά πιστοποιητικά των ΔΔ, είναι αναγκαία συνθήκη για την δημιουργία της υποδομής εμπιστοσύνης των Δικτυοενδιάμεσων (βλ και ). 1.2 Υπηρεσία αίτησης προϊόντος. Περιλαμβάνει τις εξής λειτουργίες: Ασφαλής διεπαφή ΔΔ και υποκειμένου (κμ, ΑΠ_ΔΕ_ΔΔ_01) Είσοδος: Έξοδος: (1) αίτηση σύνδεσης με διαδικτυακό τόπο Ασφαλές κανάλι επικοινωνίας ή κωδικός σφάλματος Λειτουργία: Δημιουργία ασφαλούς καναλιού επικοινωνίας Λειτουργία υποδοχής (κμ, ΑΠ_ΔΕ_ΔΔ_02, βλ. βήμα ) Είσοδος: Έξοδος: (1) Μ (2) ΤΤΤΥκ (1) ΑΝ ή κωδικός σφάλματος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 261

262 Λειτουργία: (1) Εκτέλεση βήματος (2) Επιστροφή κωδικού παραγγελίας (ΑΝ) ή κωδικού σφάλματος (3) Αποστολή μηνύματος. Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_01-2, ΠΤ_ΔΧ_01, ΠΤ_ΠΔ_ Λειτουργία προώθησης προς ΛΔ (κμ, ΑΠ_ΔΕ_ΔΔ_03, βλ. βήμα ) Είσοδος: Έξοδος: (1) ΑΝ (2) Μ (1) Θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος. Λειτουργία: (1) Εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_ Υπηρεσία Παράδοσης προϊόντος. Περιλαμβάνει τις εξής λειτουργίες: Λειτουργία ειδοποίησης υποκειμένου (κμ ΑΠ_ΔΕ_ΔΔ_04, βλ. βήμα 4 & ) Είσοδος: Έξοδος: (1) {ΑΝ, ΑΝΠρ, ΑΝΥθ} ΔΚΔΔ (1) θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος. Λειτουργία: (1) εκτέλεση βήματος (2) εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_01-2, ΠΤ_ΠΔ_02, ΠΤ_ΔΧ_ Τελική παράδοση (κμ ΑΠ_ΔΕ_ΔΔ_05, βλ. βήμα ) Είσοδος: Έξοδος: (1)ΑΝ (1) Παράδοση προϊόντος ή αιτιολόγηση μη παράδοσης. Λειτουργία: (1) Εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΔΧ_01. Η επίλυση διενέξεων γίνεται με χρήση της "Λειτουργικής μονάδας αποκάλυψης πραγματικής ταυτότητας" της υπηρεσίας Πρόσβαση χωρίς διαμεσολάβηση τρίτου με τριτεγγύηση ταυτότητας (σελ. 260, "Αποστολή αίτησης για παράκαμψη ανωνυμίας") 2. Υπηρεσίες Δικτυοενδιάμεσων Διαχειριστών (ΔΔ): Περιλαμβάνει τις επιμέρους υπηρεσίες: 2.1 Ζήτηση προϊόντος (κμ ΑΔ_ΔΕ_ΛΔ 01, βλ. βήμα ). Είσοδος: Έξοδος: (1) { ΑΝ, Μ } ΔΚΛΔ (1) Θετική ή αρνητική επιβεβαίωση ορθής λήψης μηνύματος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 262

263 Λειτουργία: (1) Εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΔΧ_01, ΠΤ_ΠΔ_ Αίτηση προσφοράς προϊόντος (κμ ΑΔ_ΔΕ_ΛΔ_02, βλ. βήμα ) Είσοδος: Έξοδος: (1) {ΑΝΥθ, ΠρΠ} ΔΚΛΔ (1) Θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος. Λειτουργία: (1) Εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_01-2, ΠΤ_ΔΧ_ Παράδοση προϊόντος. Περιλαμβάνει τις παρακάτω λειτουργίες: Λειτουργία ταιριάσματος (κμ ΑΔ_ΔΕ_ΛΔ_03, βλ. βήμα ) Είσοδος: Έξοδος: (1) Παραγγελία προϊόντος (ΠΠ) (2) Προσφορά προϊόντος (ΠρΠ) (1) Θετική ή αρνητική τιμή ταιριάσματος. Λειτουργία: (1) Εκτέλεση βήματος (2) Επιστροφή θετικής ή αρνητικής τιμής ταιριάσματος. Συνεργασία με άλλες μονάδες: ΠΤ_ΔΧ_ Λειτουργία ευρετηρίου (κμ ΑΔ_ΔΕ_ΛΔ_04, βλ. βήμα ) Σε περιπτώσεις όπου ένας ΛΔ δεν μπορεί να εξυπηρετήσει τη ζήτηση ενός προϊόντος πρέπει να έχει πρόσβαση και να αναζητήσει το προϊόν σε άλλους ΛΔ. Είσοδος: Έξοδος: (1) Προσφορά προϊόντος (ΠρΠ) (1) Θετική ή αρνητική τιμή αναζήτησης. Λειτουργία: (1) Αναζήτηση πληροφοριών σε άλλους ΛΔ (2) Επιστροφή θετικής ή αρνητικής τιμής αναζήτησης. Συνεργασία με άλλες μονάδες: ΠΤ_ΕΤΟ_ Ειδοποίηση (κμ ΑΔ_ΔΕ_ΛΔ_05, βλ. βήμα ) Είσοδος: Έξοδος: (1) θετική τιμή ταιριάσματος ή αναζήτησης (2) ΑΝ (3) ΑΝΠρ (1) θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος. Λειτουργία: (1) εκτέλεση βήματος Οικονομικό Πανεπιστήμιο Αθηνών Σελ 263

264 Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_01-1. Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο 3. Υπηρεσίες εξυπηρέτησης υποκειμένου επεξεργασίας. Αποτελείται από τις εξής λειτουργίες: 3.1 Λειτουργία αίτησης προϊόντος (κμ ΑΠ_ΔΕ_ΥΚ_01, βλ. βήμα 1 & ) Είσοδος: Έξοδος: (1) Περιγραφή προϊόντος (1) ΑΝ ή κωδικός σφάλματος. Λειτουργία: (1) Εκτέλεση βήματος (2) Αναμονή για παραλαβή απάντησης (3). Εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_01-1, ΠΤ_ΕΤΟ_03, ΠΤ_ΔΧ_01, ΠΤ_ΠΔ_ Παραλαβή προϊόντος (κμ ΑΔ_ΔΕ_ΥΚ_02, βλ. βήμα ) Είσοδος: Έξοδος: (1) {ΑΝ, ΑΝΠρ} ΙΚΔΔ (2) ΤΤΥκ (1) Θετική ή αρνητική επιβεβαίωση παραλαβής προϊόντος. Λειτουργία: (1) Εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_ Υπηρεσίες εξυπηρέτησης υπεύθυνου επεξεργασίας. Αποτελείται από τις εξής λειτουργίες: 4.1 Λειτουργία προώθησης προϊόντος (κμ ΑΔ_ΔΕ_ΥΘ_01, βλ. βήμα 1 & ) Είσοδος: Έξοδος: (1) περιγραφή προσφερόμενου προϊόντος (1) μοναδικό αναγνωριστικό αίτησης (ΑΝΠρ) ή κωδικός σφάλματος Λειτουργία: (1) εκτέλεση βήματος (2) αναμονή για παραλαβή απάντησης (3) εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_ Εξυπηρέτηση ζήτησης (κμ ΑΔ_ΔΕ_ΥΘ_02, βλ. βήμα ) Είσοδος: Έξοδος: (1) {ΑΝ, ΑΝΠρ} ΔΚΥθ (1) θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος. Λειτουργία: (1) εκτέλεση βήματος ). Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_01-1, ΠΤ_ΠΔ_01-2. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 264

265 ΥΠΗΡΕΣΙΑ ΕΠΙΒΛΕΨΗ ΤΗΣ ΥΠΔ 1. Η επιμέρους υπηρεσία Ψηφιακή σφραγίδα αποτελείται από τις λειτουργίες: 1.1. Έκδοση. Αποτελείται από τις παρακάτω επιμέρους λειτουργίες: Αποστολή πολιτικής προστασίας δεδομένων (βλ. Αποστολή αιτήματος παρακάτω, κμ ΕΠ_ΕΚ_01) Έκδοση σφραγίδας (κμ ΕΠ_ΨΣ_01, βλ. βήμα ) Είσοδος: (1) πολιτική προστασίας δεδομένων (2) πιστοποιητικό υπεύθυνου επεξεργασίας Έξοδος: (1) θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος. Λειτουργία: (1) εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΔΧ_01, ΠΤ_ΠΔ_ Ανάρτηση σφραγίδας. (βλ. Λειτουργική μονάδα δημιουργίας και ενημέρωσης πολιτικών προστασίας δεδομένων, κμ ΠΤ_ΠΔ_ ) Επικύρωση. Αποτελείται από τις παρακάτω επιμέρους λειτουργίες: Παραχώρηση τεκμηρίων (κμ ΕΠ _ ΨΣ _02, βλ βήμα ) Είσοδος: Έξοδος: (1) Αίτηση υποκειμένου (1) Θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος. Λειτουργία: (1) Εκτέλεση βήματος Υποβολή τεκμηρίων (κμ ΕΠ _ ΨΣ _03, βλ βήμα ) Είσοδος: (1) {IDΥθ}ΔΚΑΕ, ΠΠΥθ, Cert'Υθ Οικονομικό Πανεπιστήμιο Αθηνών Σελ 265

266 Έξοδος: (1) Θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος Λειτουργία: (1) Εκτέλεση βήματος Σύγκριση τεκμηρίων (κμ ΕΠ _ ΨΣ _04, βλ βήμα ) Είσοδος: Έξοδος: (1) {IDΥθ}ΔΚΑΕ, (Σ'- ΠΠΥθ), Cert'Υθ (1) Θετική ή αρνητική επιβεβαίωση ορθής μετάδοσης μηνύματος Λειτουργία: (1) Εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_02-1, ΠΤ_ΠΔ_ Επικύρωση σφραγίδας (κμ ΕΠ _ ΨΣ _05, βλ βήμα ) Είσοδος: Έξοδος: (1) απάντηση (από Αρχή Ελέγχου) (1) κανένα Λειτουργία: (1) εκτέλεση βήματος Συνεργασία με άλλες μονάδες: ΠΤ_ΠΔ_ Η υπηρεσία Επικοινωνία με το κοινό αποτελείται από τις παρακάτω λειτουργίες: 2.1 Αποστολή αιτήματος (κμ ΕΠ_ΕΚ_01) Είσοδος: (1) κείμενο Έξοδος: αριθμός πρωτοκόλλου από ΑΕ Λειτουργία: (1) σύναψη ασφαλούς σύνδεσης με ΑΕ (2) παραλαβή και αποθήκευση αριθμού πρωτοκόλλου. 2.2 Υποδοχή αιτήματος (κμ ΕΠ_ΕΚ_02) Είσοδος: (1) κείμενο Έξοδος: (2) αριθμός ευρετηρίου αρχειοθέτησης αιτήματος Λειτουργία: (1) Ανάγνωση του ερωτήματος (2) Επικύρωση της ψηφιακής υπογραφής (αν υπάρχει) του αποστολέα (3) Καταχώρηση του αιτήματος στο ΠΣ της Αρχής Ελέγχου (4) αποστολή αριθμού ευρετηρίου. 2.3 Σύναψη ασφαλούς σύνδεσης (κμ ΕΠ_ΕΚ_03) Οικονομικό Πανεπιστήμιο Αθηνών Σελ 266

267 ΠΕΡΙΓΡΑΦΗ ΔΙΕΠΑΦΗΣ ΧΡΗΣΤΗ ΠΡΟΣΤΑΤΗ ΤΑΥΤΟΤΗΤΑΣ Η Διεπαφή χρήστη του ΠΙ, περιλαμβάνει 13 συναρτήσεις που υλοποιούν το σύνολο της λειτουργικότητας που προσφέρει ο ΠΙ στο ΠΣ. Για την υψηλού επιπέδου περιγραφή των συναρτήσεων επινοήθηκε ψευδογλώσσα που ονομάστηκε PIL (Privacy Implementation Language). Το συντακτικό, η γραμματική και οι λογικοί τελεστές της είναι όμοια με αυτά της γλώσσας προγραμματισμού C, ενώ τα ονόματα των συναρτήσεων αποτελούν μια απλή κωδικοποίηση της σημασίας τους στην αγγλική γλώσσα (πχ Real to Pseudo ID Translation με είσοδο το Real ID: Real2Pseudo(RealID)). Αποφεύγεται ο ορισμός του τύπου των μεταβλητών που χρησιμοποιούνται ώστε να παρασχεθεί περισσότερη ελευθερία στον προγραμματιστή που θα επιχειρήσει να αναπτύξει λογισμικό υλοποίησης του ΠΙ χρησιμοποιώντας κάποια γλώσσα προγραμματισμού. Για λόγους ομοιομορφίας και απλούστευσης της διαδικασίας κωδικοποίησης των αλγορίθμων, σε αρκετές περιπτώσεις χρησιμοποιούνται βοηθητικές συναρτήσεις με αυθαίρετα ονόματα τα οποία επιλέχτηκαν να είναι σχετικά με την λειτουργία τους (πχ. SendMail: Αποστολή Ταχυδρομείου, GoToURL: Σύνδεση σε έναν διαδικτυακό τόπο κτλ). Οι συναρτήσεις αυτές δεν αποτελούν υπηρεσία, αλλά δηλώνουν μια συγκεκριμένη λειτουργία που υλοποιεί ο αλγόριθμος της συναρτήσεως που υλοποιεί την υπηρεσία. Υπάρχουν διαθέσιμοι πολλοί αλγόριθμοι υλοποίησής τους και πολλές γλώσσες προγραμματισμού τις παρέχουν έτοιμες για χρήση, δίνοντάς τους διαφορετικά ονόματα. Η υλοποίηση αυτών των συναρτήσεων δεν αποτελεί αντικείμενο της παρούσης έρευνας. Παρόλα αυτά, όπου εμφανίζονται, υπάρχουν επιπλέον σχετικές επεξηγήσεις και παρατηρήσεις υπό τον τίτλο «Βοηθητικές Συναρτήσεις». Τέλος, κάθε αλγόριθμος επεξηγείται και με λόγια. Δίπλα σε κάθε εντολή αναγράφεται υπό μορφή σχολίων (μεταξύ των τελεστών «/*» και «*/») και η σημασία της. 1. Ανώνυμο Ταχυδρομείο (Anonymous Mail, κμ ΠΤ_ΑΝ_01) Επιτρέπει την αποστολή ανώνυμου ηλεκτρονικού μηνύματος. Η χρήση κάποιου user ID είναι απαραίτητη για τις λειτουργίες ελέγχου (auditing) και τιμολόγησης (accounting) του ΠΣ (βλ. 6.2). Ανάλογα με το επίπεδο ασφάλειας που επιθυμεί ο χρήστης, μπορεί να μετατρέψει το ψευδώνυμό του σε κάποιο άλλο, τόσες φορές όσο και το επίπεδο ψευδωνυμίας (level) που δέχεται ως όρισμα. Η αποστολή του μηνύματος μπορεί να γίνεται με την χρήση λογισμικού Οικονομικό Πανεπιστήμιο Αθηνών Σελ 267