- Projet de Recherche
Authentification privée et gestion de l’identité avec le GNU Name System
DASEIN résout les problèmes de l’adressage sécurisé et de l’identification des appareils ou des individus à l’aide du système de nom ouvert et convivial.
Fiche signalétique
- Institut(s) Research Institute for the Security in the Information Society RISIS
- Unité(s) de recherche RISIS / Security and Privacy Group
- Durée (prévue) 01.01.2018 - 31.08.2018
- Direction du projet Christian Grothoff
-
Équipe du projet
Annett Laube
Pascal Manini
Emmanuel Benoist -
Partenaire
Pretty Easy Privacy AG
Martin Schanzenbach
GNUnet
Frauenhofer AISEC - Mots-clés PIK, DNS, FIDO, X.509, GNS, GDPR, e-health, IoT
Point de départ
Comment communiquer en toute sécurité les uns avec les autres et avec nos appareils? Pour communiquer nous avons besoin d’adresses et pour un cryptage sécurisé nous avons besoin de clés cryptographiques. Il n’est toutefois pas si simple d’allier sécurité et respect de la vie privée.
Le paysage actuel de l’identification des services réseau et des abonnés est fragmenté et ne respecte pas la protection des données. Le Domain Name System (DNS) obsolète est cher, totalement surveillé, surchargé de complexité et inadapté à l’adressage d’abonnés humains. X.509 est difficilement utilisable pour l’individu et des autorités de certification insuffisamment sécurisés délivrent souvent de faux certificats aux services réseau. En raison de problèmes d’accessibilité seule une minorité utilise OpenPGP. L’utilisation de Google, de comptes Twitter ou Facebook comme solution de secours aggrave la problématique de surveillance et n’est donc pas autorisée dans des domaines importants d’application.
Buts
Notre but est d’établir une infrastructure utilisable, sécurisée, favorable à la protection des données et indépendante du fournisseur pour la résolution de noms. La résolution de noms est le processus qui permet de déduire des adresses et du matériel clé à partir de noms. Grâce à cette infrastructure nous pouvons résoudre un certain nombre de problèmes, de l’échange de données de santé entre patients, médecins, chercheurs, industrie et assurances à l’identification d’appareil IoT. Notre technique plus sure et plus respectueuse de la protection des données peut remplacer les applications classiques telles que DNS et X.509. La compatibilité rétroactive avec DNS permet aux utilisateurs d’intercaler les nouvelles méthodes sans reconversion.
Procédure
Le GNU Name System stocke les données de domaine cryptées et signées dans une table de hachage distribuée (DHT). Chaque utilisateur et chaque appareil contrôle sa propre zone avec des données de domaine (voir image). Pour accéder en mode lecture aux données cryptées, le lecteur a besoin de la clé publique de la zone et d’un labelle (par ex. mot de passe). Comme les données sont cryptées, la DHT-r n’apprend pas lui-même les contenus stockés. La DHT ne peut pas affecter les entrées à des zones précises. Les données peuvent donc être échangées de manière asynchrone, même si l’existence des données doit rester privée, comme c’est souvent le cas par ex. en cas de maladie.
Solution
DASEIN a mis au point différentes applications basées sur le GNU Name Systems (GNS) et a testé leur performance et utilisabilité. Nous avons développé des prototypes d’applications dans le domaine eHealth (voir images) et Internet-of-Things (IoT) et avons également montré que le GNS est compatible avec des protocoles existants tels que OpenID Connect et DNS et qu’il représente une alternative plus respectueuse de la protection des données pour les applications qui les utilisent. Notre solution met à l’échelle pour des millions d’utilisateurs avec des cout de l’ordre du cent par utilisateur et par année. Nous conseillons les partenaires industriels à la recherche de solutions respectueuses de la protection des données pour la gestion de l’identité et pour l’IoT sur les questions d’architecture et de mise en place du système.