Berlin, 5-6 maja 2003 r.



Podobne dokumenty
ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

POLITYKA PRYWATNOŚCI SERWIS:

Polityka prywatności

Instytut-Mikroekologii.pl

Regulamin serwisu internetowego ehominis.pl. 1 Zasady ogólne

Szanujemy Twoją prywatność. Zobacz nasze zasady Ochrony Prywatności Użytkowników RocketCv

Umowa użytkownika. 1. Uprawnienia. 2. Logowanie do platformy szkoleń elektronicznych

1 Ochrona Danych Osobowych

FurryOwl - Regulamin

REGULAMIN KORZYSTANIA Z INTERNETOWEGO SYSTEMU OBSŁUGI KLIENTÓW

POLITYKA COOKIES SERWISU CARDINA.PL

Polityka Prywatności Portalu Moviezer.com

Regulamin Internetowego Biura Obsługi Klienta

Certyfikat. 1 Jak zbieramy dane?

POLITYKA PRYWATNOŚCI

Polityka prywatności

POLITYKA PRYWATNOŚCI Konkurs wiedzy dermatologicznej dla lekarzy

POLITYKA PRYWATNOŚCI

ZASADY OCHRONY DANYCH OSOBOWYCH W WITRYNIE INTERNETOWEJ FIRMY ENERVENT ZEHNDER OY

Polityka prywatności. Przetwarzanie danych osobowych użytkowników

Cookie Policy. 1. Informacje ogólne.

POLITYKA PRYWATNOŚCI Polityka prywatności abcedukacja.pl I. Kto jest administratorem danych osobowych abcedukacja pl?

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Polityka Prywatności serwisu room8.pl

FTP przesył plików w sieci

POLITYKA PRYWATNOŚCI

Oknonet Warunki użytkowania POSTANOWIENIA OGÓLNE

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

REGULAMIN KORZYSTANIA Z INTERNETOWEGO SYSTEMU OBSŁUGI KLIENTÓW

O firmie» Polityka prywatności

POLITYKA OCHRONY PRYWATNOŚCI

POLITYKA PRYWATNOŚCI STRONY INTERNETOWEJ P.P.U.H. i T. MEKTAL Obowiązujące od dnia Wstęp... 2

System Kancelaris. Zdalny dostęp do danych

POLITYKA PRYWATNOŚCI W SERWISIE SENTIONE.COM

Systemy pojedynczego logowania (Single Sign-On)

Praca w sieci równorzędnej

Stosowanie ciasteczek (cookies)

Bezpieczna bankowość ekonto24

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

1. Udzielanie odpowiedzi na zapytania, zamówienia lub zgłoszenia serwisowe

Instrukcja aktywacji aplikacji Mobile Biznes

.1 Postanowienia Ogólne

Polityka prywatności

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi

Polityka Prywatności

POLITYKA PRYWATNOŚCI

AGRODZIENNICZEK.PL POLITYKA PRYWATNOŚCI I PLIKÓW COOKIES. wersja obowiązująca od r.

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ AULIS LEX SPÓŁKA Z O.O. SPÓŁKA KOMANDYTOWA

POLITYKA PRYWATNOŚCI ORAZ ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Prywatności Vemma Europe

POLITYKA PRYWATNOŚCI SERWISU SIECI OPIEKI PRAWNEJ. radcadlamnie.pl. z dnia 31 maja 2017

Polityka prywatności 1. Definicje Administrator Cookies - Cookies Administratora - Cookies Zewnętrzne - Serwis - Urządzenie - Ustawa Użytkownik -

POLITYKA PRYWATNOŚCI

3. DyplomyDlaDzieci.pl dokłada szczególnej staranności do poszanowania prywatności Klientów odwiedzających Sklep. 1 Zbieranie danych

POLITYKA PRYWATNOŚCI

POLITYKA PRYWATNOŚCI

POLITYKA PRYWATNOŚCI. 1 Dane osobowe. 2 Administrator Danych Osobowych

1. Rodzaj przetwarzanych danych / linki do witryn zewnętrznych

Niniejsza polityka prywatności zawiera określenie przyjętych przez:

MODUŁ NAUCZYCIEL - INSTRUKCJA OBSŁUGI

Administratorem danych osobowych Paisley.pl (dalej Administrator), czyli odpowiedzialnym za zapewnienie bezpieczeństwa Twoim danym osobowym jest:

Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012

POLITYKA PRYWATNOŚCI I WYKORZYSTYWANIA PLIKÓW COOKIES W SERWISIE INTERNETOWYM 1. Postanowienia ogólne

1. Bezpieczne logowanie i przechowywanie hasła

SMB protokół udostępniania plików i drukarek

POLITYKA PRYWATNOŚCI

Bezpieczna bankowość efirma24

Początek formularza Dół formularza

Danych Osobowych oświadcza, że za wyjątkiem sytuacji uregulowanych w prawie polskim dane dotyczące IP oraz cookies nie będą przekazywane osobom

Serwis nie zbiera w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies.

Polityka Prywatności

2 Lokalne zapisywanie i udostępnianie danych jest pod kontrolą użytkownika

2. w przeglądarce Firefox. 3. w przęglądarce Internet Explorer. 4. w przeglądarce Opera. 5. w przeglądarce Safari

POLITYKA PRYWATNOŚCI sklepu

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniach w następujący sposób:

Polityka prywatności

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

.1 Postanowienia Ogólne

Regulamin Downloadplus

Fundacja Ośrodka KARTA z siedzibą w Warszawie, przy ul. Narbutta 29 ( Warszawa),

Polityka Prywatności Intact Group Sp. z o. o.

POLITYKA PRYWATNOŚCI

1 Jak zbieramy dane? 1/5

Polityka prywatności! 1

Użytkownik każda osoba fizyczna, która korzysta ze Sklepu, w tym Klient.

Administratorem danych osobowych RehShop.pl (dalej Administrator), czyli odpowiedzialnym za zapewnienie bezpieczeństwa Twoim danym osobowym jest:

POLITYKA PRYWATNOŚCI

Załącznik do Zarządzenia Członka Zarządu Domu Maklerskiego nr 52/2014/JI z dnia 24 września 2014 r.

Polityka prywatności

Polityka prywatności. panelu internetowego PentagonOnline.pl

POLITYKA PRYWATNOŚCI CZECZELEWSKA DOROTA FIRMA HANDLOWA PANDA

Tomasz Greszata - Koszalin

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Prezentacja specjalności studiów II stopnia. Inteligentne Technologie Internetowe

POLITYKA PRYWATNOŚCI

Polityka prywatności dla klientów indywidualnych. 1. Administrator zbioru danych osobowych

Transkrypt:

SPRAWOZDANIE Z UDZIAŁU W SZKOLENIU NA TEMAT ZARZĄDZANIA PROCEDURAMI IDENTYFIKACJI W SIECIACH KOMPUTEROWYCH (IDENTITY MANAGEMENT IN COMMUNICATION NETWORKS), W RAMACH EUROPEJSKIEJ AKADEMII WOLNOŚCI INFORMACJI I OCHRONY DANYCH OSOBOWYCH (EAFIDP -EUROPEAN ACADEMY FOR FREEDOM OF INFORMATION AND DATA PROTECTION) Berlin, 5-6 maja 2003 r. W szkoleniu uczestniczyli Andrzej Kaczmarek Dyrektor Departamentu Informatyki oraz Piotr Zydorowicz Inspektor, informatyk w Biurze GIODO. Szkolenie rozpoczął przewodniczący EAFIDP Prof. Dr. Hamns Jurgen Garstka Komisarz Ochrony Danych Osobowych oraz Wolności Informacji w Berlinie. Po przywitaniu wykładowców oraz uczestników szkolenia, przewodniczący podkreślił, że szkolenie jest jednym z pierwszych szkoleń o tematyce ściśle technicznej oraz, że tematyka ta będzie coraz częściej tematem szkoleń z uwagi na jej ogromne znaczenie w rozwijającej się rzeczywistości globalnych technologii XXI wieku. Po krótkim wprowadzeniu w tematykę mającego się odbyć szkolenia do wygłoszenia referatu wstępnego na temat głównych zadań procedur identyfikacji i uwierzytelnienia poproszony został Pan Hans Wilhelm Heibey. Pan Hans Wilhelm Heibey identyfikację użytkownika w sieciach komputerowych przedstawił jako problem, którego rozwiązanie powinno zmierzać w kierunku uczynienia go przyjaznym dla użytkownika. Zaznaczył przy tym, że wraz z rozwojem i upowszechnianiem się usług sieciowych zmieniają się zarówno potrzeby jak i oczekiwania. W celu zilustrowania problemu przedstawione zostały dwa skrajne rozwiązania. Pierwsze, bez wsparcia technologicznego, polegające na niezależnym powtarzaniu procesu uwierzytelnienia do każdego zasobu sieci. Wiąże się to z koniecznością używania dużej liczby identyfikatorów i odpowiadających im haseł. Użytkownicy w obawie przed zapomnieniem dane te zapisują na kartkach (listy identyfikatorów i haseł). Wskazano na uciążliwość takiego rozwiązania i niebezpieczeństwo utraty poufności poprzez przypadkową utratę takiej listy. Drugie rozwiązanie, bardziej bezpieczne, to rozwiązanie wspierane odpowiednim systemem służącym do zarządzania procesem uwierzytelnienia. Rozwiązanie to nadal bazuje na tym, że każda usługa wymagająca uwierzytelnienia posiada swój niezależny identyfikator oraz hasło, z tym jednak, że użytkownik nie musi ich osobiście pamiętać. Otrzymuje on do dyspozycji specjalny program, który dla każdej usługi wymagającej uwierzytelnienia zapamiętuje w swojej bazie odpowiedni identyfikator i hasło. Dane te chronione są przed innymi użytkownikami metodami kryptograficznymi. Stosując program zarządzania procesami uwierzytelnienia, użytkownik musi pamiętać tylko jeden identyfikator i jedno hasło, którymi są odpowiednio identyfikator i hasło do programu zarządzania. Identyfikatory i hasła do poszczególnych aplikacji pamiętane są natomiast w chronionej bazie danych systemu zarządzania, który jednocześnie wspomaga procesy logowania się do poszczególnych usług. 1

Użytkownik Użytkownik Uwierzytelnianie bez systemu zarządzania ID 1 ID 2 ID 3 ID n ID Uwierzytelnianie poprzez system zarządzania identyfikatorami i hasłami Apl. 1 Apl. 2 Apl. 3 Apl. n Apl. 1 Apl. 2 Apl. 3 Apl. n Obydwa przedstawione systemy prócz zalet posiadają wiele wad. Zasadniczą wadą dotychczasowych systemów zarządzania uwierzytelnianiem jest ich lokalizacja na komputerze użytkownika. Rozwiązanie takie uniemożliwia korzystanie z zarejestrowanych tam usług sieciowych poza biurem lub domem, z dowolnego miejsca np. w czasie podróży. Aby wyjść naprzeciw takim zapotrzebowaniom tworzone są systemy zarządzania uwierzytelnianiem dostępne w sieci. Przykładem takich rozwiązań są: scentralizowany system zarządzania uwierzytelnianiem firmy Microsoft oraz rozproszony system zarządzania uwierzytelnianiem rozwijany przez firmę Sun Microsystems. USŁUGA NET PASSPORT FIRMY MICROSOFT Program realizacji internetowego systemu zarządzania uwierzytelnieniami rozwijany przez Microsoft Corporation przedstawił jej przedstawiciel Bob Hyman starszy menadżer projektu Net Passport. Wyjaśnił on, iż we wrześniu 2001 r. Microsoft Corporation ogłosiła plany rozszerzenia swojej popularnej usługi uwierzytelniania Passport. Plany te przewidywały stworzenie rozwiązań umożliwiających: współdziałanie systemu uwierzytelniania Passport z rozwiązaniami innych przedsiębiorstw, oraz dostarczenie usług sieciowych godnych zaufania, wykorzystujących uniwersalny standard pojedynczego logowania. Przystępując do realizacji ogłoszonego zadania Microsoft zapowiedział, iż do uwierzytelniania pomiędzy instytucjami wykorzystywać będzie sprawdzone standardy szyfrowania Kerberos. Miało to zapewnić pokonanie barier natury technicznej, które uniemożliwiały wiarygodne wzajemne udostępnianie uwierzytelnień użytkowników pomiędzy niezależnymi, rywalizującymi ze sobą, lub w inny sposób niezgodnymi ze sobą systemami. Jako główny cel stawiano stworzenie godnego zaufania, ujednoliconego systemu uwierzytelniania sieciowego oraz uniwersalnego standardu pojedynczego logowania dla wszystkich użytkowników, a także zapewnienie jego współdziałania z różnymi systemami uwierzytelniania w przedsiębiorstwach i usługach sieciowych. 2

Prace rozpoczęto od wbudowania mechanizmu jednokrotnego logowania się do systemów wewnętrznych, obsługujących różnego rodzaju usługi elektroniczne takie jak: usługi poczty elektronicznej (msn hotmail), usługi handlu elektronicznego (msn shopping), usługi przesyłania obrazów i komunikatów (msn massenger) i wielu innych. W następnej kolejności prace integracyjne systemu obsługi płatności elektronicznej realizowano na rzecz innych operatorów. Wynikiem tych działań, jak zaznaczył Pan Bob Hyman, jest obecność na dzień dzisiejszy (5 maja 2003 r.) obecność około 300 milionów aktywnych użytkowników systemu uwierzytelniania ( Net Passport ) wśród których 90% to użytkownicy witryn zarządzanych bezpośrednio przez Microsoft oraz jedynie 10% to użytkownicy innych podmiotów współpracujących. Według ogłoszonej przez Microsoft Corporation polityki bezpieczeństwa, gromadzone w bazie danych systemu uwierzytelniania dane osobowe nie mogą być sprzedawane, dzierżawione ani udostępniane innym podmiotom bez zgody osób, których dotyczą. Wyjątek stanowią jedynie sytuacje kiedy potrzeba udostępnienia wynika z: 1) wymagań prawnych lub wyroków sądowych nałożonych na firmę Microsoft, 2) potrzeby obrony praw lub własności firmy Microsoft, usługi NET Passport oraz witryn i usług uczestniczących w programie NET Passport oraz 3) potrzeby działania w krytycznych okolicznościach w celu ochrony bezpieczeństwa osobistego użytkowników usługi NET Passport lub bezpieczeństwa publicznego. Minimalny zakres danych, jaki jest niezbędny do utworzenia konta NET Passport to adres poczty elektronicznej i hasło oraz dowolne pytanie użytkownika i odpowiedź. Te dwie ostatnie dane, o wartościach znanych tylko użytkownikowi, jak twierdzi Microsoft są po to, aby w przypadku zapomnienia przez użytkownika hasła możliwe było jego bezpieczne przypomnienie. Nieco szerszy zakres danych (dane wymienione wyżej plus numer telefonu komórkowego i PIN), jest niezbędny tylko wtedy, gdy użytkownik chce się logować do usługi za pomocą telefonu komórkowego wykorzystując jago numer i PIN zamiast standardowo adresu poczty i hasła. Poza wymienionymi wyżej informacjami użytkownik może dodatkowo, w tzw. profilu użytkownika usługi NET Passport przechowywać inne dane z zakresu: imię, nazwisko, adres poczty elektronicznej, kraj lub region, stan lub terytorium, kod pocztowy, język, strefę czasową, płeć, datę urodzenia, oraz 3

zawód. W przypadku jednak, kiedy użytkownik zapisuje się do usługi NET Passport w witrynie lub usłudze uczestniczącej w programie NET Passport, witryna określa, jakie dane osobowe musi podać użytkownik. Użytkownik otwiera wówczas dwa różne konta jednocześnie: jedno w witrynie lub usłudze uczestniczącej i drugie w usłudze NET Passport. Wszystkie dane dostarczone wówczas przez użytkownika mogą być przetwarzane przez witrynę uczestniczącą. W usłudze NET Passport przechowywane są jednak dane, nie w szerszym zakresie niż wymieniony wyżej. Po utworzeniu konta usługi NET Passport użytkownik może modyfikować wszystkie wprowadzone dane oprócz adresu poczty elektronicznej, który w NET Passport występuje w roli identyfikatora użytkownika. Dane zapisane w profilu NET Passport mogą być udostępniane stronom uczestniczącym, np. podczas zapisywania się użytkownika do witryny internetowej, która jest stroną uczestniczącą w programie NET Passport. Udostępnianie takie uzależnione jest jednak od wyrażenia zgody przez użytkownika. Zgodę taką należy zaznaczyć w czasie wpisywania danych do profilu, lub w dowolnym czasie, poprzez jego modyfikację. Istnieje możliwość wyrażania zgody w następującym zakresie: 1) na udostępnianie adresu e-mail, 2) na udostępnianie imienia i nazwiska, oraz 3) na udostępnianie pozostałych danych zapisanych w profilu. Pan Bob Hyman starszy menadżer projektu Net Passport w swoim wystąpieniu zapewniał uczestników, że dane przetwarzane przez Microsoft w związku ze świadczeniem usługi NET Passport są zabezpieczone wg najnowszych standardów. Przesył danych pomiędzy użytkownikiem i serwerami, na których zlokalizowane są dane w jednostkach firmy Microsoft oraz serwerami, na których zlokalizowane są usługi lub strony uczestniczące w programie NET Passport, jest zabezpieczany metodami kryptograficznymi. W systemie obsługi usług NET Passport stosowanych jest wiele różnych metod ochrony oraz metod wzmacniania bezpieczeństwa całego systemu. Jako najważniejsze metody ochrony Pan Bob Hyman wymienił: 1) Metodę human interactive proof do blokowania możliwości wykorzystywania systemów automatycznie generujących konta NET Passport w celu np. zablokowania usługi. Metoda ta polega na generowaniu graficznie zniekształconego ciągu znaków, które w zasadzie potrafi poprawnie odczytać tylko człowiek, a których wprowadzenie jest niezbędne do utworzenia konta. 2) Metodę generowania opóźnień pomiędzy próbami kolejnych nieudanych logowań. Metoda ta zabezpiecza przed atakami typu brute force attack atak polegający na generowaniu kolejnych haseł i testowaniu ich poprawności, aż do wyczerpania wszelkich możliwych kombinacji. 3) Wymóg stosowania haseł o odpowiedniej długości (aktualnie minimum 6 znaków) 4) Przesyłanie informacji tylko w postaci zaszyfrowanej, 5) Ciągły monitoring pracy systemów obsługujących usługę Net Passport oraz innych usług i witryn uczestniczących w programie Net Passport. 4

1 Sposób uwierzytelniania użytkownika, który wykorzystuje Net Passport Podczas zapisywania się użytkownika do usługi NET Passport, tworzone jest konto użytkownika do którego automatycznie przypisywany jest unikatowy, 64 bitowy identyfikator. Ten 64 bitowy identyfikator wysyłany jest w postaci zaszyfrowanej do wszystkich witryn uczestniczących w programie NET Passport podczas każdego procesu rejestrowania się użytkownika. Identyfikator ten umożliwia sprawdzenie, czy użytkownik jest tą samą osobą w kolejnych sesjach. Podczas rejestrowania się użytkownika, usługa NET Passport wysyła również na jego komputer plik cookie, w którym zapisane są: wymieniony wyżej unikatowy identyfikator, godzina rejestracji oraz wszystkie informacje, które użytkownik zdecydował się udostępnić witrynom uczestniczącym. Wymienione powyżej informacje zapisane są w nim w postaci zaszyfrowanej. Dzięki temu plikowi użytkownik może przechodzić ze strony na stronę w danej witrynie uczestniczącej bez potrzeby logowania się na każdej z nich. Korzystając z ustawień przeglądarki, użytkownik ma możliwość określenia, czy pliki cookie mają być akceptowane czy odrzucane. Jeśli użytkownik zdecyduje się odrzucać pliki cookie, nie będzie mógł rejestrować się za pomocą profilu NET Passport. 2 Projekt rozproszonego systemu zarządzania procesem uwierzytelniania (Liberty Alliance Project) Konkurencyjne rozwiązanie problemu uwierzytelniania użytkowników w sieci przedstawili następni prelegenci, którymi byli Robin Wilton oraz Hellmuth Broda, przedstawiciele firmy SUN Microsystems. Projekt rozwiązania problemu autoryzacji użytkownika w sieci wspierany przez SUN Microsystems i 16 innych firm nazwany The Liberty Alliance ogłoszony został w grudniu 2001 r. Jego celem było zbudowanie otwartego środowiska oraz standardu umożliwiającego rozwiązywanie problemu zarządzania uwierzytelnieniami użytkowników, którzy korzystając z usług różnych firm przekazywaliby na zasadzie wzajemnego zaufania uwierzytelnienia. Celem projektu było rozwiązanie bieżących i przyszłych problemów uwierzytelniania w sposób zaspokajający oczekiwania biznesu. W niedługim okresie czasu liczba firm, które przystąpiły do projektu wzrosła do ponad 160 (z całego świata). Do projektu przystąpiły głównie firmy będące liderami w świadczeniu usług finansowych, komunikacji bezprzewodowej, telekomunikacji, transportu, infrastruktury technologicznej jak i uniwersytety oraz instytucje zajmujące się ochroną prywatności. Pierwszy projekt specyfikacji standardu uwierzytelniania w sieci, opracowany przez Liberty Alians, ogłoszony został w czerwcu 2002 r. Projekt ten dotyczył głównie wymiany danych pomiędzy współpracującymi ze sobą instytucjami. Nad jego utworzeniem pracowały zespoły ekspertów z całego świata. Opracowany standard pozwala użytkownikom przesyłać informacje uwierzytelniające pomiędzy różnymi systemami bez potrzeby ich pamiętania w centralnej bazie danych, tak jak to jest realizowane w przypadku usługi NET Passport. Użytkownik w tym standardzie ma ponadto możliwość decydowania o zakresie przesyłanych danych pomiędzy obsługującymi go usługodawcami oraz kontrolowania, kiedy i w jaki sposób informacje o nim są pomiędzy nimi przesyłane. W praktyce sprowadza się to do tego, że użytkownik, który przedstawi się w 5

jednym systemie/serwisie (przejdzie proces uwierzytelnienia), może być rozpoznany i uwierzytelniony w innym bez konieczności powtarzania procesu weryfikacji. Głównym celem jest bowiem to, aby np. użytkownik posiadający konto w banku (identyfikator ID1 i hasło H1) oraz drugie konto w instytucji ubezpieczeniowej (identyfikator ID2 i hasło H2), mógł wykorzystując wzajemne zaufanie obydwu instytucji pomiędzy sobą stosować tylko jeden proces uwierzytelniania. Umowa, porozumienie o wzajemnym zaufaniu Bank (ID 1, H 1 ) ID 1 /H 1 ID 2 /H 2 Zakład ubezpieczeniowy (ID 2, H 2 ) ID 1 /H 1 Klient ID 2 /H 2 Realizacja jednokrotnego logowania w standardzie The Liberty Alliance bazuje na ustanowieniu wzajemnego mandatu zaufania pomiędzy współpracującymi podmiotami. Mandatem takim może być żeton, karta uczestnictwa, hasło lub bardziej zaawansowane środki jak karta mikroprocesorowa czy też dane biometryczne (odcisk palca, obraz tęczówki oka itp.). Użytkownik chcąc załatwić sprawę, która wymaga kontaktu z dwoma różnymi instytucjami, korzystając ze standardów The Liberty Alliance, będzie mógł ją załatwić rejestrując się tylko w jednej instytucji (pamiętając jeden identyfikator i jedno hasło). Przedstawione w specyfikacji protokołu The Liberty Alliance rozwiązania technologiczne są mechanizmem wspierającym realizację czynności pomiędzy stronami, które ustanowiły wzajemny mandat zaufania. Samo zaufanie poszczególnych stron natomiast to problem zawarcia odpowiednich umów i porozumień biznesowych. Pan Hellmuth Broda przedstawił wizję rozwoju zastosowań protokołu The Liberty Alliance jako otwartego narzędzia do tworzenia łańcucha wzajemnych porozumień, będących realizacją koncepcji kręgu zaufania (Circle of Trust), definiowanego jako grupę dostawców usług, którzy wspólnie będą wykorzystywać i udostępniać sobie określone dane. Zbudowanie odpowiednich narzędzi do technologicznego wspierania zawieranych różnego typu wzajemnych porozumień, których celem jest, między innymi, ułatwienie użytkownikom/ klientom korzystanie z usług z każdego miejsca na świecie w trybie online, wymaga wielostopniowego procesu uwierzytelniania. Stąd też protokół jednokrotnego logowania się The Liberty Alliance wprowadza trójpoziomowy model uwierzytelniania, w którym wyróżnia się takie warstwy jak: warstwę uwierzytelnienia potwierdzenie, że użytkownik jest tym za kogo się podaje, warstwę autoryzacji potwierdzenie, że zweryfikowany na poziomie uwierzytelnienia użytkownik ma określone uprawnienia, oraz warstwę atrybutów charakterystycznych dla danego użytkownika cech, upodobań, parametrów jego sprzętu itp. Ponadto zakłada się, że w procesie uwierzytelniania istotne jest środowisko i kontekst, który należy uwzględnić. 6

Wymieniony trójwarstwowy model protokołu, opracowanego przez grupę The liberty Alliance, wynika między innymi z potrzeb uwzględnienia życzeń użytkowników, którzy mają prawo do decydowania o tym, w jakim zakresie i komu ich dane mogą być udostępniane. Omawiając problematykę bezpieczeństwa danych, Pan Robin Wilton podkreślił, że zespół projektowy protokołu dużą uwagę poświęca zagadnieniom bezpieczeństwa danych. Zaznaczył jednak, że z uwagi na sposób rozwiązywania problemu, który polega na dostarczeniu potencjalnym użytkownikom otwartych narzędzi do budowy systemu a nie gotowego do użycia systemu, bezpieczeństwo będzie zależało od poprawności poszczególnych instalacji. Stąd też zespół projektowy pracuje aktualnie nad opracowaniem dokumentacji w charakterze przewodnika dla programistów i integratorów, w którym opisane zostaną zagadnienia dotyczące bezpieczeństwa informatycznego oraz ochrony danych osobowych na poszczególnych warstwach procesu uwierzytelniania oraz wymiany danych pomiędzy zaufanymi stronami. Na zakończenie Pan Robin Wilton przedstawił kolejne fazy aktualnie wykonanych i projektowanych prac nad budową otwartych narzędzi, które pozwolą firmom budować systemy wspomagające procesy biznesowe z wykorzystaniem protokołu uwierzytelniania wg koncepcji The Liberty Alliance Znaczenie biznesowe Faza 2 Infrastruktura sieciowa Faza 3 Rozwój infrastruktury dla zaawansowanych serwisów Faza 1 Uproszczone logowanie Styczeń luty 2003 Połowa roku 2003 Lata 2003-2004 3 Problemy zarządzania uwierzytelnianiem w telekomunikacji mobilnej Bardzo interesujący wykład wygłosił Prof. Kai Rannenberg z Uniwersytetu we Frankfurcie nad Menem. Problem zarządzania uwierzytelnianiem w telefonii mobilnej, jak wskazał Prof. Rannenberg, jest tak samo ważny jak w każdym innym systemie informatycznym a jego złożoność, z uwagi na konieczność współpracy różnych operatorów (roaming), czyni go dodatkowo szczególnie trudnym. Przesyłanie wszelkiego rodzaju danych, z uwagi na coraz powszechniejsze wykorzystywanie telefonów komórkowych do zarządzania 7

różnymi usługami (w tym usługami bankowymi), musi być szczególnie zabezpieczone. Przedstawiając problem zarządzania uwierzytelnianiem, Prof. Rannenberg przedstawił telefon komórkowy, jako element, który z punktu widzenia technologicznego należy traktować podobnie jak komputer, z którego do poszczególnych usług sieciowych możemy się dostać z dowolnego miejsca (miasta, kraju), gdzie dostępna jest odpowiednia infrastruktura. 4 Serwisy uwierzytelniania w sieci z punktu widzenia przedstawicieli Unii Europejskiej Po prezentacji wymienionych wyżej rozwiązań w zakresie sposobu rozwiązywania problemów zarządzania uwierzytelnianiem w sieci, głos zabrała Pani Diana Alonso Blas przedstawicielka Komisji Europejskiej, członek zespołu Internet Task Force przy Grupie Roboczej Art. 29. Zaprezentowała ona stanowisko, jakie w odniesieniu do przedstawionych rozwiązań zajmuje Grupa Robocza Art. 29. Zaznaczyła, że tematyka związana z rozwiązaniem wprowadzonym przez firmę Microsoft dyskutowana była wielokrotnie przez ekspertów z Grupy Roboczej. Prowadzone były w tym zakresie również bezpośrednie rozmowy z przedstawicielami firmy Microsoft, w wyniku których zawarto porozumienia w zakresie działań mających na celu dostosowania projektu NET Passport do wymagań określonych w Dyrektywie 95/46 o ochronie danych osobowych. Pani Diana Alonso Blas szczegółowo wyliczyła niezgodności projektu NET Passport z wymaganiami Dyrektywy 95/46, jakie wskazano firmie Microsoft podczas wspólnych spotkań oraz ich wyniki w postaci wprowadzonych przez Microsoft modyfikacji. (Szczegółowe opracowanie w tym zakresie można znaleźć na stronie internetowej Grupy Roboczej Art. 29 pod adresem URL: http://europa.eu.int/comm/internal_market/privacy/workingroup_en.htm. 5 Zakończenie Szkolenie podsumowane zostało dyskusją panelową, w której udział wzięli wszyscy zaproszeni prelegenci. Moderatorem dyskusji panelowej był Prof. Dr. Andreas Pfitzmann z Uniwersytetu w Dreźnie specjalista zajmujący się problematyką autoryzacji i identyfikacji od przeszło 20 lat. Szkolenie ocenione zostało, jako bardzo pożyteczne forum wymiany informacji. Na zakończenie przewodniczący EAFIDP Prof. Dr. Hamns Jurgen Garstka zapowiedział, że materiały prezentowane na szkoleniu udostępnione zostaną uczestnikom w postaci zapisu na płycie CD oraz, że tematyka z zakresu technologicznych aspektów ochrony danych osobowych będzie coraz częściej uwzględniana w programie EAFIDP. 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres