Faculté informatique et communications IC, Département d'informatique, Institut d'informatique fondamentale IIF (Laboratoire de systèmes répartis LSR)

A technical approach to privacy based on mobile agents protected by tamper-resistant hardware

Wilhelm, Uwe Georg ; Schiper, André (Dir.)

Thèse sciences Ecole polytechnique fédérale de Lausanne EPFL : 1999 ; no 1961.

Ajouter à la liste personnelle
    Summary
    We address the problem of protecting the privacy of individuals in the information society. Our goal is to devise technical means that allow users to actively participate in the management and use of information related to them. The advent of the information society creates serious challenges for the privacy of individuals. Due to the drastically improving communication infrastructure, ever larger amounts of ever more precise information become available. The problem with the free availability of this information is not only the risk that the information can be abused by powerful institutions, but also that this can lead to an unconfined mutual surveillance of individuals, which can have adverse effects on society as a whole. We argue that individuals should be empowered to define for themselves the level of privacy they are comfortable with. This can be achieved by notifying them whenever information on them is created, accessed, or modified and by giving them some control over the use of this information. The notification informs individuals who is using what information on them and allows to detect possible problems with this use. The control allows individuals to resolve most (or at least some) of these problems. Obviously this requires that the individuals can trust the users of information to properly implement these notifications and to offer an effective control. We analyze the concept of trust more closely and distinguish between the optimistic and the pessimistic approach to trust, which can both provide the foundation for the protection of privacy. The former is based on the classical concepts of control and sanctions, while the latter tries to prevent malicious behaviour. We choose to pursue the pessimistic approach and investigate in technical means that can be used for this purpose. A promising technology is the mobile agent paradigm, which is a new approach to structure distributed applications. Its main idea is to move both the code and the state of an object to another principal for remote execution. This indicates that the mobile agent paradigm also embraces the object-oriented programming paradigm, which allows us to encapsulate a data item and to specify an access control policy on it. Since the mobile agent is physically moved to a remote location that is under the control of a different principal, it needs to be protected from this principal who is responsible for its execution. This problem constitutes the major diffculty for using the mobile agent paradigm for privacy protection and is explored in great detail. Based on the discussion in the relevant literature, we decide on an approach that relies on a trusted and tamper-resistant hardware device, which is developed on a conceptual level. The approach is further explored in the context of the mobile agent paradigm, where it allows us to realize more elaborate protection goals that may be desirable for the owner of the mobile agent. These are developed in the form of conducts, which regroup the goal, the requirements, as well as a specification of the necessary collaboration to achieve this goal. Finally, we return to the original problem and describe how the presented technology can be used to improve the protection of privacy. This results in a rather complex framework, in which information on individuals cannot be used freely, but where this use is constrained by the level of privacy desired by the subject of the information. The major problem of this framework is the increased complexity that individuals have to deal with. This problem is addressed with an additional level of indirection that attempts to confine the complexity and to delegate it to trusted experts. We believe that this approach, despite its complexity, is a viable means to address the urgent problems of privacy protection, which do not lend themselves to simple solutions.
    Résumé
    Nous nous intéressons au problème de la protection de la vie privée des individus dans la société d'information. Notre objectif est de concevoir des moyens techniques qui permettent aux utilisateurs de participer activement à la gestion ainsi qu'à l'utilisation de l'information qui se réfère à eux. L'arrivée de la société d'information pose d'importants défis pour la vie privée des individus. Les progrès considérables des systèmes de communication permettent d'accéder à des quantités d'information toujours plus grandes et toujours plus précises. Le problème du libre accès à cette information n'est pas uniquement le risque qu'elle puisse être utilisée de manière abusive par des institutions puissantes, mais également que cela puisse mener à la surveillance mutuelle et sans bornes des individus, ce qui peut provoquer des effets défavorables sur la société dans son ensemble. Nous soutenons que les individus devraient pouvoir définir pour eux-mêmes le niveau de vie privée qui leur convient. Ceci peut être effectué en les avertissant chaque fois qu'une information sur eux est créée, accédée, ou modifiée et en leur donnant un certain contrôle sur l'utilisation de cette information. Cet avertissement informe les individus de qui utilise quelle information sur eux et leur permet de détecter les problèmes possibles de cette utilisation. Le contrôle permet aux individus de résoudre la plupart (ou au moins quelques uns) de ces problèmes. Bien sûr, ceci nécessite que les individus puissent avoir confiance dans les utilisateurs d'information afin d'implémenter correctement ces avertissements et d'offrir un contrôle effcace. Nous analysons le concept de confiance plus en détail et différencions une approche optimiste d'une approche pessimiste de la confiance. Toutes deux peuvent fournir les bases pour la protection des données personnelles et ainsi de la vie privée. La première est basée sur le concept classique du contrôle et des sanctions, alors que la seconde essaie de prévenir les comportements délictueux. Nous choisissons de poursuivre l'approche pessimiste et de rechercher les moyens techniques pouvant être utiles à ces fins. Une technologie prometteuse est le paradigme des agents mobiles, qui est une approche récente pour structurer des applications réparties. Son idée principale est de déplacer à la fois le code et l'état de l'objet vers une autre entité pour une exécution à distance. Ceci indique que le paradigme des agents mobiles englobe également le paradigme de la programmation orientée objet, qui nous permet d'encapsuler un ensemble de données tout en specifiant une politique de contrôle d'accès sur celle-ci. Puisque l'agent mobile est physiquement déplacé vers un endroit distant qui se trouve sous le contrôle d'une entité différente, il doit être protégé de cette entité qui est responsable pour son exécution. Ce problème constitue la diffculté majeure pour l'utilisation du paradigme des agents mobiles pour la protection de la vie privé et est étudiée sous tous ses aspects. Basés sur la discussion dans la littérature appropriée, nous décidons d'une approche basée sur un périphérique inviolable et dans lequel on peut avoir confiance. Un tel périphérique est développé de manière conceptuelle. L'approche est étudiée plus en détail dans le contexte du paradigme des agents mobiles, où elle nous permet de réaliser des objectifs de protection plus élaborés, qui pourraient être désirés par le propriétaire de l'agent mobile. Ceux-ci sont développés sous forme de conduites, qui regroupent l'objectif, les exigences, ainsi que la spécification de la collaboration nécessaire pour atteindre cet objectif. Enfin, nous retournons au problème initial et décrivons de quelle manière la technologie présentée peut être utilisée pour améliorer la protection de la vie privée. Ceci aboutit à un cadre assez complexe, dans lequel l'information sur les individus ne peut être utilisée librement, mais où cette utilisation est contrainte par le niveau de vie privée désiré par le sujet de l'information. Le problème le plus important de ce cadre est la complexité accrue, que les individus doivent traiter. Ce problème est abordé avec un niveau d'indirection supplémentaire qui tente d'isoler la complexité et de la déléguer à des experts dignes de confiance. Nous pensons que cette approche, malgré sa complexité, est un moyen viable d'aborder les problèmes urgents de la protection de la vie privée, qui ne se prêtent pas à des solutions simples.