Rijksuniversiteit Groningen


Persoonsgegevens uitwisselen zonder aantasting van privacy

Met behulp van cryptografische protocollen kunnen
persoonsgegevens worden uitgewisseld zonder dat de geheimhouding ervan gevaar loopt. Dat concludeert Wouter Teepe in een onderzoek waarop hij op 18 januari 2007 promoveert aan de Rijksuniversiteit Groningen. Zijn bevindingen hebben belangrijke maatschappelijke implicaties, onder meer voor de huidige discussie tussen de EU en de VS over de uitwisseling van passagiersgegevens op transatlantische
vluchten.

Het uitwisselen van persoonsgegevens is lastig. Enerzijds is uitwisselen wenselijk, omdat dan zo veel mogelijk mensen binnen een opsporingsdienst kunnen helpen met de opsporing van criminelen en terroristen. Anderzijds verhoogt het uitwisselen van gegevens de kans op uitlekken.

Roddelen

Teepe stuitte voor het eerst op het dilemma bij de Nederlandse politie: regiokorpsen willen opsporingsgegevens uitwisselen, maar hoe kan het ene korps opsporingsgegevens opvragen bij de andere korpsen op een manier dat het verzoek alleen aankomt bij politieambtenaren die over de vertrouwelijke gegevens beschikken? Alleen dan blijft de kans op uitlekken minimaal.

Aan de leek legt Teepe het meestal zo uit: stel dat je met de buurman wilt roddelen over de zwangerschap van een gezamenlijke vriendin. Zij heeft jou in vertrouwen over de zwangerschap verteld, op de voorwaarde dat je het geheim niet zal verklappen. Om je belofte niet te breken kan je dus alleen met de buurman roddelen als je zeker weet dat hij al van de zwangerschap op de hoogte is. Maar hoe kun je dat aan hem vragen, zonder het geheim te verraden?

Puzzel

Eenvoudig gezegd is de oplossing als volgt, aldus Teepe: 'Je maakt een puzzel die je alleen kunt oplossen als je een omschrijving van het geheim hebt'. 'Dus ik geef jou een puzzel en als je het geheim kent, kun je het puzzeltje oplossen. Pas als je het juiste antwoord geeft neem ik jou in vertrouwen en praten we over het geheim.' De technische strategie die Teepe hiervoor gebruikt noemt hij 'kennisauthenticatie', authenticatie gebaseerd op wat actoren weten. Hiervoor gebruikte hij zogenaamde cryptografische hashfuncties. 'Dat is kort gezegd een gereedschap om een vingerafdruk van een blok gegevens te maken. Deze vingerafdruk kan gebruikt worden om informatie te identificeren of te herkennen, maar verklapt verder niets over die gegevens.' Deze cryptografische protocollen zijn te analyseren met een ander belangrijk gereedschap dat Teepe toepaste: authenticatielogica's. Daarmee is te zien of een cryptografisch protocol doet wat het beweert te doen. Opvallend is dat Teepe gedurende zijn onderzoek een fundamentele fout ontdekte in de BAN-logica, de oudste en belangrijkste authenticatielogica, die ook ten grondslag ligt aan nieuwere authenticatielogica's. Eén daarvan, de GNY-logica, werd door Teepe zo uitgebreid dat cryptografische protocollen nog nauwkeuriger te analyseren zijn.

In zijn onderzoek keek Teepe ook naar een ander probleem dat de bescherming van persoonsgegevens moeilijk maakt: de wens om een groot aantal informatiebronnen en databases te koppelen. Een gebruikelijke manier om die koppeling tot stand te brengen is het royaal toegang geven tot databases. Teepe stelt een andere aanpak voor, waarbij informatie juist zoveel mogelijk geïsoleerd wordt. Deze isolatie helpt bij de bescherming van de gegevens, maar ook bij het efficiënt koppelen van de databases. Centraal in deze aanpak staat de zogenaamde 'information designator,' een nieuw begrip dat Teepe in zijn proefschrift introduceert.

Passagiersgegevens

Met zijn onderzoek heeft Teepe enkele belangrijke problemen rondom privacy en uitwisseling van persoonsgegevens opgelost. Dat heeft ook maatschappelijke gevolgen. 'Er wordt altijd van uitgegaan dat terrorismebestrijding en privacybescherming ten koste van elkaar gaan. De oplossing wordt gezocht in een compromis tussen deze twee belangen,' zegt Teepe. 'Ik laat in dit proefschrift zien dat dit niet zo hoeft te zijn. Een IT-consultant of beleidsmaker die claimt dat privacy zal moeten worden opgeofferd, doet dat waarschijnlijk uit onkunde, of vindt privacy kennelijk niet belangrijk genoeg.'

Ook de discussie over de uitwisseling van passagiersgegevens tussen de EU en de VS komt in een nieuw daglicht te staan, zegt Teepe. 'Het huidige idee is: óf de EU geeft de passagiersgegevens niet wegens privacybescherming, óf de EU deelt de passagiersgegevens en moet dan hopen dat de VS daar discreet mee omspringen. Dat is onzin. De EU kan best passagierslijsten doorgeven terwijl de privacy van mensen die geen gezochte terroristen zijn gewaarborgd blijft. Dat kan door de speciale 'roddelpuzzels' te gebruiken, die alleen de privacy schenden van de mensen die zowel op de passagierslijst staan als terrorismeverdachte zijn.'

Curriculum Vitae

Wouter Teepe (Darmstadt, 1977) studeerde Technische Cognitiewetenschap in Groningen en deed zijn promotieonderzoek bij de afdeling Kunstmatige Intelligentie van de Faculteit der Gedrags- en Maatschappijwetenschappen (GMW). Teepe promoveert bij prof.dr. L.R.B. Schomaker en dr. L.C. Verbrugge. De titel van zijn proefschrift luidt: "Reconciling Information Exchange and Confidentiality: A Formal Approach."
Noot voor
de pers

Nadere informatie: Wouter Teepe, tel.
(050)3604092, e-mail:

wouter@teepe.com
.
Proefschrift en stellingen zijn te vinden op

http://www.teepe.com/phdthesis

Redactie: afdeling Communicatie
RUG

Postbus 72, 9700 AB
Groningen

Tel. 050-363 4444

E-mail:

communicatie@rug.nl