Alexandra Instituttet

Beskytter coronapasset vores data godt nok?

Del

Det skabte stor debat, da smitteopsporingsapp’en blev lanceret, for vi ville gerne være sikre på, at vi ikke blev overvåget unødigt gennem app’en. Nu er der kommet et digitalt coronapas, og det har ikke skabt den samme debat om privatliv og overvågning. Vi bør dog være mindst lige så opmærksomme nu, for også her kan der være en risiko for tracking af vores færden. Vi giver et bud på, hvor godt vores data er beskyttet i det nuværende pas, og hvordan vi kan optimere sikkerheden med nye teknologier.

Der er en række sikkerhedsmål, vi skal arbejde på at sætte flueben ud for, når vi udvikler et system som coronapasset, der har med vores personfølsomme oplysninger at gøre. 

Oplysningerne skal være korrekte, de skal ikke kunne ændres af brugeren, de skal følge brugeren (så en anden person ikke kan få adgang til brugerens oplysninger), staten skal ikke kunne spore, hvor en bruger har brugt coronapasset, og de institutioner, der tjekker passet, skal ikke kunne se, om det tilhører en bruger, de har tjekket før. 

I det danske coronapas har vi en model, hvor man som bruger via eksempelvis sin mobil beder om adgang til oplysningerne om en negativ test eller et bevis på, at man er vaccineret. Den oplysning skal så forbi en godkendelse, som typisk er opsat af brugeren – det kan være et fingeraftryk, ansigtsgenkendelse eller login med nemID.

Vi har ikke adgang til at se alle specifikationerne bag den danske udgave af coronapasset, men vi ved, at der er tilføjet sikkerhed i form af, at den samme bruger ikke umiddelbart kan linkes fra et sted til et andet – dvs. at ud fra de data, du opgiver, kan en restaurant ikke se, om du tidligere er blevet verificeret som gæst hos dem eller på andre restauranter. Der er dog stadig en mulighed for, at man med afsæt i brugerens data fra statens side kan linke oplysningerne og få den information. Oplysningerne bliver dog ikke gemt i den nuværende løsning - men vi kan godt gøre løsningen yderligere sikker ved at beskytte brugerens data og fjerne risikoen for, at det offentlige i samarbejde med eksempelvis en restaurant, et stadium eller en konference kan spore hvor du har vist dit coronapas.

Usikkerheder kan fjernes med ny teknologi

Risikoen kan nemlig fjernes med en såkaldt ’blind-signatur’. Den digitale signatur, der bruges til at verificere coronapasset, bliver her konstrueret på en måde, hvor den bliver gjort uigenkendelig for staten, på trods af at de oprettede signaturen. Det vil betyde, at selv hvis et stadium samarbejdede med staten, ville de ikke kunne spore en borger, der har tjekket ind med coronapasset. 

Der er selvfølgelig også andre risici, man skal være opmærksom på at beskytte coronapasset imod, eksempelvis systemadministratorer, der vil udnytte deres position, eller hackere udefra. En af metoderne der kan bruges til at beskytte brugernes data er ’secret sharing’, hvor man deler brugerens vaccineinformation og test-data op i mindre stykker og lægger den på forskellige servere, så man skal bruge alle stykkerne, for at kunne genskabe den oprindelige data. 

Selvom vi ikke har alle informationer om, hvordan coronapasset er udviklet, så kan vi se nogle risikoområder, som vi bør være opmærksomme på for at kunne beskytte vores data, privatliv og færden som brugere. Vores bud på et sikrere coronapas udspringer blandt andet af ’EU Horizon 2020’-projektet OLYMPUS, som har givet den nødvendige viden til at styrke sikkerheden de steder, hvor brugere skal autentificere sig for at dele informationer med en 3. part. Lige nu er det coronapasset, det gælder, men vi vil sandsynligvis få lignende løsninger i fremtiden, hvor beskyttelsen af vores privatliv igen skal være i fokus. 

Arbejdet bag artiklen, kan man læse om her: arxiv.org/abs/2105.13910 - det er Tore Kasper Frederiksen, Senior Cryptography Engineer i Security Lab ved Alexandra Instituttet, der er manden bag, og også ham man skal tage fat i, hvis man vil vide mere! (alexandra.dk/medarbejdere/)

Nøgleord

Kontakter

Billeder

Information om Alexandra Instituttet

Alexandra Instituttet
Alexandra Instituttet
Åbogade 34 · Njalsgade 76, 3. sal
8200 Aarhus N · 2300 København S

+45 70 27 70 12https://alexandra.dk

Siden 1999 har Alexandra Instituttet været det led, der skubber den nyeste it-forskning helt ud, hvor den skaber værdi i virksomhedernes travle hverdag.

Vi har hjulpet mere end 1.000 offentlige og private virksomheder med avancerede, effektive, sikre og innovative it-løsninger, der er med til at skabe bæredygtig vækst og velfærd i Danmark.

Vores specialister bruger halvdelen af deres tid på R&D-aktiviteter. Det er din garanti for, at vi har den nødvendige forskningsfaglige dybde, som kræves for at rådgive om og udvikle fremtidssikre, digitale teknologier og services.

Følg pressemeddelelser fra Alexandra Instituttet

Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.

Flere pressemeddelelser fra Alexandra Instituttet

Sådan ser en række arkitektfirmaer på mulighederne med digitale services8.6.2021 16:07:20 CEST | Pressemeddelelse

Arkitektbranchen spår succes for de AI-virksomheder, der kan imødekomme arkitektfirmaers behov for at opsamle data om brugeradfærd og energiforbrug, hvis de også kan bringe data i spil inden for bæredygtighed. Sådan lyder en af konklusionerne fra en række arkitektfirmaer i en undersøgelse udført af Alexandra Instituttet om fremtidens brug af data til digitale services i en arkitektbranche i forandring.

Jammerbugt kommune skal tilpasse til klimaforandringer med kunstig intelligens fra KMD, DTU og Alexandra Instituttet7.5.2021 11:55:38 CEST | Pressemeddelelse

Voldsommere nedbør og ændringer i grundvandsstanden udfordrer byplanlægningen hos kommunerne. Jammerbugt Kommune sætter nu strøm til et prominent AI-signaturprojekt i form af et datadrevet screeningsværktøj med KMD som hovedleverandør i projektets første fase, og den nordjyske kommune forventer et markant bedre beslutningsgrundlag, når der skal anlægges infrastruktur og bygges nyt.

I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.

Besøg vores nyhedsrum