Prote¸c˜ ao da Privacidade - Um modelo de gerência de segurança para middleware baseado em tupl

O direito ao respeito da privacidade é considerado pela ONU (Organiza¸cão das Na¸cões Unidas) na declara¸cão universal dos direitos humanos como um direito fundamental do indiv´ıduo [CDFUE, 2000; ONU, 1998]. Infelizmente, as novas tecnologias representam uma amea¸ca a esse direito, por exemplo, as técnicas de autentica¸cão e de auditoria na preocupa¸cão de garantir a legitimidade ou não, põem em risco a privacidade dos usuários. ´

E necessário desenvolver mecanismos que permitam garantir a prote¸cão dos dados pessoais. A prote¸cão da privacidade exige quatro critérios [ISO/IEC15408, 2005]: Anonimato (anonymity), possibilidade de agir com um pseudônimo (pseudonomity), impossibilidade de estabelecer uma liga¸cão ou tra¸co (unlinkability) e não observabilidade (unobservabil- ity). Essas exigências constituem a base das tecnologias de prote¸cão da privacidade PET (Privacy-Enhancing Tecnologies). Nos princ´ıpios fundamentais é importante considerar que os dados pessoais pertencem a quem com eles se relacionam, e não ao proprietário do sistema que os armazena ou os manipula. Só podem ser divulgados os dados estri- tamente necessários para a execu¸cão da tarefa exigida ou aceita, fala-se do princ´ıpio de minimiza¸cão de dados pessoais. Na divulga¸cão de dados, a terceiros para realizar uma tarefa, devem-se respeitar as exigências impostas pelo proprietário dos dados: guardar de forma confidencial e apagá-los após a execu¸cão da tarefa, isso é o princ´ıpio de soberania. Várias abordagens são utilizadas na computa¸cão difusa para proteger a privacidade, entre elas podemos citar: gestão de identidades virtuais, comunica¸cão anônima, acesso anônimo a servi¸cos:

5.3 Prote¸c˜ao da Privacidade 84

• Gestão de Identidades Virtuais: para que uma pessoa possa proteger sua privacidade, é importante ocultar ou reduzir o máximo poss´ıvel suas liga¸cões com suas a¸cões e dados correspondentes, deixar o m´ınimo de rastro poss´ıvel, por exemplo, o endere¸co IP fixo de um internauta pode estabelecer uma liga¸cão com diferentes a¸cões desse internauta na rede mundial. A identidade é definida como a representa¸cão de uma pessoa por um servi¸co. Se a pessoa acessa vários servi¸cos sob a mesma identidade, é poss´ıvel estabelecer uma rela¸cão com seus acessos; nesse caso, é recomendável ter múltiplas identidades virtuais (pseudônimos) para acessar os servi¸cos, selecionar qual identidade usar para cada servi¸co e poder gerenciar suas validades. A veri- fica¸cão das identidades deve ser relacionada à sensibilidade dos servi¸cos, ou seja, não é necessária a autentica¸cão para acessar um servi¸co não sens´ıvel, isso é, um servi¸co que não armazena nem gera dados pessoais, porém uma autentica¸cão forte ´

e indispensável para servi¸cos sens´ıveis para impedir quaisquer usurpa¸cões de identidade. As tecnologias da computa¸cão difusa devem ser utilizadas para desenvolver dispositivos pessoais que permitam a qualquer usuário gerenciar facilmente suas identidades virtuais [ISMS2003, 2003].

• Comunica¸cão anônima: a análise de tráfego nas redes como, por exemplo, a inter- net é uma importante amea¸ca à privacidade, mesmo se o conteúdo da comunica¸cão for criptografado. A observa¸cão dos endere¸cos de origem e de destino dos pacotes IP pode revelar informa¸cões sens´ıveis. O endere¸co IP pode ser utilizado para identificar e localizar geograficamente uma pessoa; este risco é maior na computa¸cão difusa, pois as comunica¸cões sem fio são fáceis de captar. Para evitar a escuta passiva da comunica¸cão, David Chaum apresenta um protocolo que utiliza roteadores chama- dos MIX [CHAUM, 2001] que ocultam a rela¸cão entre as mensagens que entram e saem deste roteador, embaralha as mensagens recebidas antes de transmiti-las em uma ordem aleatória. Neste caso, por exemplo, se Alice quer se comunicar com Bob de forma anônima, ela criptografa sua mensagem com a chave do MIX e a envia para o MIX. O MIX então se carrega de localizar Bob e lhe encaminha a mensagem criptografada. Desta forma, um malicioso escutando e analisando a comunica¸cão não consegue diferenciar Alice das outras pessoas que enviam mensagens para o MIX, nem Bob dos demais destinatários de mensagens vindos do MIX. Outras abordagens de comunica¸cão anônima são baseadas em aloca¸cão dinâmica de endere¸co IP através de servidores DHCP [CHAUM, 1998].

• Acesso anônimo a servi¸co: a comunica¸cão anônima não é suficiente para ter um acesso anônimo a um servi¸co. As mensagens de solicita¸cão de servi¸cos enviadas ao

fornecedor podem conter informa¸cões identificadoras que revelam a privacidade, portanto, elas devem ser transformadas por um proxy, uma autoridade intermediária, antes de serem transmitidas ao fornecedor de servi¸co. Esta transforma¸cão depende da semântica da mensagem (significado do seu conteúdo). Uma transforma¸cão ex- agerada pode distorcer ou perder o significado original da mensagem, portanto é necessário um cuidado especial o que não é uma tarefa fácil. O acesso a um servi¸co depende de autoriza¸cão de privilégios, e deve também manter a privacidade do usuário, para isso é necessário separar a autoriza¸cão da autentica¸cão: nem sempre se pode exigir provar a identidade para obter privilégios de acesso. Simplesmente poderia ser usada uma garantia anônima (anonymous credencial ) [DEMORACSKI, 2005]. Esta abordagem é conhecida como autoriza¸cão anônima, cuja implementa¸cão prática é o IDEMIX (Identity Mixer ) [CAMENISCH; HERREWEGHEN, 2002]. A ideia é baseada em pseudônimo, garantia e prova criptografada chamada assinaturas de grupo. Com a assinatura, os membros de um grupo podem ter acesso ao servi¸co de um servidor, sem revelar suas identidades.

E desejável que a gestão de tais garantias anônimas seja integrada nos dispositivos pessoais dos usuários: implementar em chips algoritmos de criptografia que permitam autenticar os atributos secretos dos usuários nos seus próprios dispositivos. Esses dispositivos deveriam integrar as tecnologias de autentica¸cão por biometria, para impedir que eles sejam usados por terceiros em caso de perda e roubo, garantindo assim a “intransferi- bilidade”.

No documento Um modelo de gerência de segurança para middleware baseado em tuple para ambientes difusos e nômades. (páginas 82-84)