Alexandra Instituttet

Beskytter coronapasset vores data godt nok?

Del

Det skabte stor debat, da smitteopsporingsapp’en blev lanceret, for vi ville gerne være sikre på, at vi ikke blev overvåget unødigt gennem app’en. Nu er der kommet et digitalt coronapas, og det har ikke skabt den samme debat om privatliv og overvågning. Vi bør dog være mindst lige så opmærksomme nu, for også her kan der være en risiko for tracking af vores færden. Vi giver et bud på, hvor godt vores data er beskyttet i det nuværende pas, og hvordan vi kan optimere sikkerheden med nye teknologier.

Der er en række sikkerhedsmål, vi skal arbejde på at sætte flueben ud for, når vi udvikler et system som coronapasset, der har med vores personfølsomme oplysninger at gøre. 

Oplysningerne skal være korrekte, de skal ikke kunne ændres af brugeren, de skal følge brugeren (så en anden person ikke kan få adgang til brugerens oplysninger), staten skal ikke kunne spore, hvor en bruger har brugt coronapasset, og de institutioner, der tjekker passet, skal ikke kunne se, om det tilhører en bruger, de har tjekket før. 

I det danske coronapas har vi en model, hvor man som bruger via eksempelvis sin mobil beder om adgang til oplysningerne om en negativ test eller et bevis på, at man er vaccineret. Den oplysning skal så forbi en godkendelse, som typisk er opsat af brugeren – det kan være et fingeraftryk, ansigtsgenkendelse eller login med nemID.

Vi har ikke adgang til at se alle specifikationerne bag den danske udgave af coronapasset, men vi ved, at der er tilføjet sikkerhed i form af, at den samme bruger ikke umiddelbart kan linkes fra et sted til et andet – dvs. at ud fra de data, du opgiver, kan en restaurant ikke se, om du tidligere er blevet verificeret som gæst hos dem eller på andre restauranter. Der er dog stadig en mulighed for, at man med afsæt i brugerens data fra statens side kan linke oplysningerne og få den information. Oplysningerne bliver dog ikke gemt i den nuværende løsning - men vi kan godt gøre løsningen yderligere sikker ved at beskytte brugerens data og fjerne risikoen for, at det offentlige i samarbejde med eksempelvis en restaurant, et stadium eller en konference kan spore hvor du har vist dit coronapas.

Usikkerheder kan fjernes med ny teknologi

Risikoen kan nemlig fjernes med en såkaldt ’blind-signatur’. Den digitale signatur, der bruges til at verificere coronapasset, bliver her konstrueret på en måde, hvor den bliver gjort uigenkendelig for staten, på trods af at de oprettede signaturen. Det vil betyde, at selv hvis et stadium samarbejdede med staten, ville de ikke kunne spore en borger, der har tjekket ind med coronapasset. 

Der er selvfølgelig også andre risici, man skal være opmærksom på at beskytte coronapasset imod, eksempelvis systemadministratorer, der vil udnytte deres position, eller hackere udefra. En af metoderne der kan bruges til at beskytte brugernes data er ’secret sharing’, hvor man deler brugerens vaccineinformation og test-data op i mindre stykker og lægger den på forskellige servere, så man skal bruge alle stykkerne, for at kunne genskabe den oprindelige data. 

Selvom vi ikke har alle informationer om, hvordan coronapasset er udviklet, så kan vi se nogle risikoområder, som vi bør være opmærksomme på for at kunne beskytte vores data, privatliv og færden som brugere. Vores bud på et sikrere coronapas udspringer blandt andet af ’EU Horizon 2020’-projektet OLYMPUS, som har givet den nødvendige viden til at styrke sikkerheden de steder, hvor brugere skal autentificere sig for at dele informationer med en 3. part. Lige nu er det coronapasset, det gælder, men vi vil sandsynligvis få lignende løsninger i fremtiden, hvor beskyttelsen af vores privatliv igen skal være i fokus. 

Arbejdet bag artiklen, kan man læse om her: arxiv.org/abs/2105.13910 - det er Tore Kasper Frederiksen, Senior Cryptography Engineer i Security Lab ved Alexandra Instituttet, der er manden bag, og også ham man skal tage fat i, hvis man vil vide mere! (alexandra.dk/medarbejdere/)

Nøgleord

Kontakter

Billeder

Information om Alexandra Instituttet

Alexandra Instituttet
Åbogade 34 · Rued Langgaards Vej 7
8200 Aarhus N · 2300 København S

+45 70 27 70 12https://alexandra.dk

Siden 1999 har Alexandra Instituttet været det led, der skubber den nyeste it-forskning helt ud, hvor den skaber værdi i virksomhedernes travle hverdag.

Vi har hjulpet mere end 1.000 offentlige og private virksomheder med avancerede, effektive, sikre og innovative it-løsninger, der er med til at skabe bæredygtig vækst og velfærd i Danmark.

Vores specialister bruger halvdelen af deres tid på R&D-aktiviteter. Det er din garanti for, at vi har den nødvendige forskningsfaglige dybde, som kræves for at rådgive om og udvikle fremtidssikre, digitale teknologier og services.

Følg pressemeddelelser fra Alexandra Instituttet

Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.

Flere pressemeddelelser fra Alexandra Instituttet

AR-teknologi træner mejerister fra hele Norden i digital beslutningsstøtte15.9.2022 09:51:21 CEST | Pressemeddelelse

Alexandra Instituttet har i samarbejde med FORCE Technology og Kold College i Odense bygget en digital tvilling af et pasteuriseringsanlæg, som står for varmebehandling i et mejeri. Det gør op med den traditionelle måde at interagere med produktionen. I stedet for at du styrer maskinen via en skærm med knapper, så kan du gå rundt i produktionen i augmented reality og tage status på maskinernes tilstand.

Digitalt værktøj sparer tid og øger kvaliteten hos hjemmeplejefirmaer3.8.2022 14:00:43 CEST | Pressemeddelelse

Manglende overblik og koordinering er blandt de største tidsrøvere for hjemmeplejesektoren. En it-løsning, der er udviklet af Alexandra Instituttet med inddragelse af en række hjemmeservicevirksomheder, gør det langt nemmere at flytte rundt på aftalerne med borgerne. Virksomhederne har dermed kunnet vinke farvel til gule sedler, overtegnede whiteboards og et puslespil af udprintede vagtplaner.

I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.

Besøg vores nyhedsrum