IBM autentiserer uten bruk av persondata
Identity Mixer er nå en del av IBMs Bluemix skybasert utviklingsplattform. Med denne kan persondata beskyttes selv om brukeren autentiseres.
Det er svært utbredt at apper og tjenester krever at brukeren må bevise sin identitet og vise annen legitimasjon for å kunne brukes. En dårlig autentiseringsprosess medfører ofte at unødvendig mange og ofte sensitive data kan bli eksponert i samme slengen.
For eksempel vil en filmstrømmingstjeneste kunne finne på å både kreve bevis for at brukeren har betalt for tjenesten, i tillegg til at brukeren er over 18 år. En tradisjonell løsning ville medføre at brukeren må vise fram sin fødselsdato, i tillegg til andre personlige detaljer som strengt tatt ikke er nødvendige for å bevise retten til tilgang, slik som fullt navn, adresse og så videre.
Når tjenesten eller appen deretter får et sikkerhetsbrudd, havner all denne informasjonen på avveie.
Zero-knowledge proof
IBMs Identity Mixer beskytter brukernes persondata ved å fokusere på det helt grunnleggende i beviset brukeren fremlegger. Takket vært forskningsarbeid på kryptografi utført av IBM Research, kan verktøyet bruke autentisere brukernes identiteter ved hjelp av metoden «zero-knowledge proof», som ikke samler persondata.
Løsningen autentiserer brukerne ved hjelp av offentlige nøkler. Brukerne har én privat nøkkel som hører sammen med mange offentlige nøkler, eller identiteter. For hver transaksjon brukeren gjør, benytter brukeren en ny offentlig nøkkel, og etterlater dermed ingen persondata som senere kan utnyttes.
I eksempelet med strømmetjenesten over kan brukerne ha både identitet og rettighetene til å se filmer i en personlig «digital lommebok». For å se film, brukes lommeboken for å bevise at brukeren har rett til å filmen, uten at andre persondata trenges å overføres.
Ifølge IBM er resultatet at brukernes personvern er bedre ivaretatt, og at tjenestetilbyderen ikke lenger trenger å lage beskyttelsesmekanismer for persondata.
