Анонимность, приватност и все-все-все...

[a_jelly]

Приватность, анонимность и псевдонимность в цифровую эпоху.

1. Введение

Под приватностью мы будем подразумевать следующие аспекты:

- запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия;
- право контролировать информацию о себе;
- право на защиту чести и доброго имени;
- право на защиту персональных данных;

Одним из способов обеспечения приватности является анонимность, т.е. возможность не называть себя в различных ситуациях (будь то публикация произведения, телефонный звонок или полет на самолете) или же псевдонимность (использование псевдонима вместо настоящего имени, затрудняющее идентификацию реального человека, и вторжение его личную жизнь).

В данной работе мы постараемся доказать, что раскрытие личности человека во многих жизненных ситуациях не обязательно и даже вредно в цифровую эпоху.

2. Современное состояние дел

В настоящее время, очень многие публичные сервисы де-анонимизированны, или движутся в направлении деанонимизации. Причем, как явной (в результате действия законов) так и "технической" (формально, совершая покупку в магазине мы не обязаны называть себя, однако воспользовавшись карточкой а не наличными деньгами мы оставляем достаточно следов для такой идентификации). Наибольшим злом безусловно является ситуация слежки за гражданами со стороны государства. Не важно, будь это силовые ведомства, фискальные органы или кто-то еще.

Причем проблема состоит не только в интересе к личности государства как такового (выраженном в законах и подзаконных актах) но и в личном интересе граждан имеющих возможность доступа к приватной информации, зачастую корыстном. За примерами не нужно далеко ходить, особенно в России. Желтая пресса кишит результатами [незаконных] прослушек, оперативных сьемок, сливов почты разнообразных персонажей,
от поп-звезд до лидеров оппозиции. Не намного лучше дела обстоят и в других странах (вспомним скандал с NSA инициированный Сноуденом).

Все это не может не наводить на мысль, что государство (и конкретные сотрудники определенных ведомств) слишком далеко зашли в своем безнаказанном желании сунуть нос личную в жизнь граждан. Прикрываясь при этом различными лозунгами вроде борьбы с наркотрафиком, терроризмом, отмыванием денег и т.п. Задачей нашего исследования будет отделить зерна от плевел, и выделить ситуации когда государству может действительно понадобиться доступ к приватной информации человека, от всех остальных.

Также мы постараемся разобраться с "технической" деанонимизацией, явно перечислив случаи в которых она чаще всего происходит, а также
дав пути адекватного избавления от необходимости раскрывать свою личность прямо или косвенно.

3. Общие принципы построения системы

3.1. Цели государства

Декларируемой целью государства при требовании раскрытии личности является борьба с правонарушениями. В последние годы мы видим, что все больше действий требуют раскрытия анонимности. Если еще несколько лет назад билет на поезд дальнего следования можно было просто купить, то сейчас необходимо предьявление удостоверения личности. Уже очень давно невозможно купить авиабилет и совершить полет не предьявив паспорта даже в рамках одной страны. Трудности возникают и при открытии банковского счета, крупных покупках, и тем паче - пересечении границ государств. При всем при этом, для защиты общества от преступлений совершенно нет необходимости требовать от граждан паспорт или иной документ. Даже оставляя за скобками возможность подделки документов (вспомним истории с "круглой печатью"), само по себе предьявление документа никак не защищает от террористической или иной угрозы.

3.2. Цели гражданина

В нашей модели человек и гражданин прежде всего желает оградить свою частную жизнь от досужего интереса как со стороны государственной машины, так и со стороны частных компаний. Кроме того, он желает подотчетности государства, т.е. возможности знать, по какой причине, и в какие моменты государство интересовалось его личностью. Гражданин не ставит перед собой анонимность как самоцель, но желает раскрывать свою личность или же оставлять в тайне по своему усмотрению, а не по распоряжению сверху.

3.3. Пример из реальной жизни

Для примера, рассмотрим один из самых частых случаев - международный перелет.
Пусть Алиса желает совершить перелет из Зазеркалья в страну Oz используя воздушный шар.

В этом случае ей необходимо:
1. Купить билет, указав при этом паспортные данные (Алиса Лидделл)
2. Приехать в аэропорт, и получить посадочный талон (предьявив паспорт на имя указанное в билете)
3. Пройти паспортный контроль в Зазеркалье (опять таки, предьявив паспорт)
4. Предьявить посадочный на входе в самолет
5. Пройти паспортный контроль в Стране Оз

Как видим, множество инстанций (как государственных так и частных) требуют Алисы без какой бы то ни было возможности отказа. При этом, авиакомпании совершенно не обязательно знать кто эта девочка, и зачем она летит на воздушном шаре. Возможно, нужно знать является ли она совершеннолетней и не летит ли тайком от родителей, также важно знать, не входит ли она в черные списки "пассажиров-дебоширов" (это может являться поводом в отказе)

В свою очередь, пограничная служба Зазеркалья желает знать, не является ли Алиса государственным преступником, не находится ли под следствием (Мартовский заяц мог взять с Алисы подписку о невыезде) и т.п.

Пограничникам Страны Оз тоже хочется удостовериться в том, что Алиса имеет вьездную визу и имеет право посетить из прекрасную страну

Итого, в базе данных "разрешений и запретов" во множестве пар вида:

Личность, {Право | Запрет}

Нам необходимо выбрать определенного человека, и проверить, имеет ли он определенные права (вьезжать в страну), и наложен ли на него запрет (покидать страну)

Другая задача, это отслеживание активности Алисы для дальнейшего. Вполне может оказаться, что правонарушение Алисы вскроется позже, правоохранительным органам хочется иметь какие-то зацепки для установления алиби или же наоборот, для предьявления обвинения.

На наш взгляд, такой трекинг не вполне законен, но все же иногда имеет право на существование. Далее мы рассмотрим один из вариантов построения системы, в которой Алисе не придется раскрыть свою личность перед вышеозначенными инстанциями, и в тоже время, останется возможность предотвратить правонарушение или отследить его пост-фактум.

3.4. Число зверя

«И он сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его»
(Откр.13:11-18).

«Minotaure, c’est toi!! Tu es Minotaure!!!»
В.Пелевин "Шлем ужаса"

Проще всего создать систему на базе биометрической идентификации, хотя это и не обязательно. Далее мы будем говорить именно об этом
варианте, как наиболее удобном для человека (поскольку отпечатки пальцев или рисунок сетчатки у него всегда с собой).
Сопоставим каждому человеку некий хэш от его биометрической информации, проверяемый при желании внешним образом. Т.е. человек может как назвать этот хэш, так и приложить палец к специальному датчику, чтобы это значение было посчитано.

Далее, любая служба которая хочет получить доступ к базе "разрешений и запретов" должна явным образом попросить человека предьявить [одноразовый] ключ для доступа к его записи. После получения ключа от человека, имея его и хэш можно совершить проверку привелегий. Т.е. служащий пограничного контроля получает на мониторе данные о том, имеет ли человек право покидать (или вьезжать) в страну без раскрытия личности самого человека. Для контроля, может прилагаться к примеру фотография (для экзотических случаев из боевиков типа "глаз президента"). Итак, если сервер отвечает положительно, то служащий без дальнейших вопросов пропускает человека. Если же возникает проблема - начинаются разбирательства.

При совершении действия которое потребовало обращения к базе разрешений и запретов идентификатор человека может временно запоминаться в ведомственной базе данных для анализа пост-фактум. Однако время сохранения этого идентификатора строго регламентировано, равно как и список органов которые имеют право на сохранение такой информации. Если мы опасаемся злонамеренных контрагентов (типа ФСБ или АНБ), то можно потребовать ежегодной или даже ежемесячной смены уникального id человека. В этом случае, все данные связанные с предшествующим id окажутся бесполезными.

3.5. Общегосударственная база

Самым важным и в тоже время уязвимым звеном в этой цепочке является база данных хранящая реальные атрибуты человека (И рост и возраст, и вес и адрес) и связывающая эти данные с биометрическим хэшем. Очевидно, что взлом этой базы принесет тяжелые последствия. Кроме взлома, возможно и злоупотребление институтом поддерживающим эту базу, а также создание бэк-доров для не подотчетного доступа (например, со стороны тех же силовиков). Поэтому, при построении такой базы нужно выполнить ряд очевидных условий:

- Надежная защита от НСД (использование Open Source решений прошедших аудит экспертов)
- Контроль функционирования независимыми наблюдателями из других стран (кросс-контроль)
- Полное документирование и проверка внешнего интерфейса системы на предмет черных ходов
- Доступность для гражданина актуальной информации, которая была о нем собрана
- Использование сильной криптографии для шифрования всех данных на носителях (на случай кражи, потери)

Разумеется, построение такой базы - непростая инженерная задача, однако даже частные компании (тот же Microsoft) справлялись с подобными задачами еще в 20-м века, при схожих масштабах (> 10 миллионов учетных записей)

3.6. Наполнение базы и пользовательские интерфейсы

Помещение своих биометрических данных в базу является добровольной процедурой. По времени проведения эта операция не должна быть длиннее чем получение т.н. "биометрического" паспорта. Важным аспектом является еще и получение клиентского оборудования для тех, кто по каким-то причинам не доверяет стандартным приборам имеющимся на пропускных пунктах. Должны существовать и сертифицированные third-party поставщики подобного пользовательского оборудования. Действительно, возможен случай, когда в стандартный считыватель будет помещен модуль создающий скрытый канал утечки информации. Для этих случае, человек может воспользоваться своим считывателем, предоставив службам уже готовый идентификатор. Далее, служащий вводит предоставленный код, и получив ответ от сервера принимает то или иное решение. Возможна ли ситуация "принудительного" дактилоскопирования на пропускном пункте? По нашему мнению - только в исключительных случаях. Например, несходство фотографий полученных в ответе от сервера с реальным человеком, либо если база содержит указания о необходимости немедленного задержания человека и его проверки.

3.7. Добровольность и принудительное раскрытие информации

Как показал опыт внедрения различных цифровых документов, всегда существует некоторый (пусть и исчезающе малый) процент людей, которые будут против того или иного метода идентификации. Нежелание людей помещать свои биометрические данные в базу никоим образом не должно наказываться. Для них следует оставить традиционный метод подтверждения личности посредством различных документов и т.п. Разумеется, в переходный период потребуется поддерживать обе схемы, но со временем (каким?) потребность в бумажных документах будет все больше сокращаться, и они уйдут из оборота как когда-то телеграммы.

С другой стороны, имеется категория граждан, от которой так или иначе придется потребовать раскрытия информации. Прежде всего это государственные чиновники и политики. Соблюдение баланса прав и свобод вынуждает ограничивать определенные свободы при росте обьема получаемых прав. С другой стороны, как только человек покидает политику или государственную службу, он снова получает стандартный набор прав и свобод связанных с анонимностью.

3.8. Межгосударственное взаимодействие

Очевидно, что для полноценной реализации описанной архитектуры необходимо международное сотрудничество. Форматы обмена данными должны быть унифицированы, равно как и интерфейсы национальных баз. В принципе - такое сотрудничество существует в некоторых областях уже сейчас. Например, существует единая база для государств членов Интерпол. Базы описанные в этом документе существенно проще по структуре, и не предполагают каких-то нетривиальных запросов, так что унификация протоколов не должна вызвать существенных сложностей. Тем паче, что весь код будет доступен в открытом виде любой стране. Существует однако опасность появления целых "стран-изгоев", по какой-то причине (политической, или же чисто технической) не желающих присоединяться к общей сети. В этом случае, для вьезда в эту страну пользователю придется проходить дополнительные проверки, и возможно, получать бумажные документы. Мы однако предполагаем, что таких стран со временем будет становиться все меньше. Как показал процесс создания Шенгена - требуется не так уж много времени для установления подобных структур.

4. Сопутствующие темы

К теме приватности и анонимности в реальной жизни тесно примыкают две других темы:
- Анонимная цифровая наличность
- Анонимность в сети Internet

Обе эти темы мы обсудим в следующих статьях. Совершенно очевидно, что текущее состояние этой области не может быть признано удовлетворительным, и нуждается в серьезной переработке.

5. Что осталось за кадром?

Кое что осталось за кадром нашего обсуждения. Прежде всего это технические аспекты реализации, выбор специфических инструментом и методов. Все это может быть уточнено на этапе реализации без особых проблем. С другой стороны - наверняка существуют (хоть сейчас и не очевидны) подводные камни (не связанные с существующим положением дел), о которых автор даже не задумывался. Если вы их уже видите - добро пожаловать в комментарии.

P.S. Как раз на днях появилась новость, что совет по правам человека при ООН наконец-то озаботился проблемами конфиденциальности, и в своем докладе признал анонимность одним из прав человека. Лиха беда начало...