Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers Radboud beveiligen patiŽntdata met zelf ontwikkeld systeem

Door , 41 reacties Linkedin Google+

Onderzoekers van de Nijmeegse Radboud Universiteit zetten een zelf ontwikkeld systeem in om de medische gegevens van Parkinson-patiŽnten te beveiligen. Dat heet 'Polymorphic Encryption and Pseudonymisation' en is onder anderen ontwikkeld door hoogleraar Bart Jacobs.

Tijdens het onderzoek worden gegevens van de deelnemers verzameld, bijvoorbeeld aan de hand van wearables. Het gaat om 650 personen die over een periode van twee jaar in de gaten worden gehouden, zo schrijft de universiteit in een persbericht. Om deze gegevens versleuteld op te slaan en te pseudonimiseren, maakt de universiteit gebruik van het zelf ontwikkelde PEP-systeem. Deze methode, die is ontwikkeld door Bart Jacobs en Eric Verheul, maakt het voor de partij die de gegevens opslaat onmogelijk om deze in te zien. Ook krijgen de onderzoeksdeelnemers controle over welke personen met de gegevens aan de slag kunnen, waardoor hun privacy gewaarborgd moet zijn. Bovendien is er voor elke deelnemer een ander pseudoniem per onderzoeker, zodat deze niet alsnog meer gegevens te zien krijgen dan door de deelnemer is bepaald.

In het bijbehorende onderzoek beschrijven de PEP-bedenkers dat er bij traditionele vormen van encryptie vaak een enkele sleutel wordt gebruikt voor encryptie en decryptie. Bij hun methode is het daarentegen mogelijk om bijvoorbeeld een database met verschillende sleutels te ontsleutelen. Dat heeft het voordeel dat een onderzoeker alleen toegang kan krijgen tot het gedeelte van de gegevens dat hij nodig heeft. Met een enkele decryptiesleutel zou dat niet mogelijk zijn. Op die manier kan een partij de gegevens meteen opslaan op een centrale server, zonder eerst te regelen wie toegang dient te krijgen. Ook de hostingspartij zelf heeft geen toegang tot de data.

Er is een centrale partij die de verschillende sleutels aanmaakt. In het onderzoek is deze aangeduid als een 'Tweaker', maar na opmerkingen van Amerikaanse collega's is deze naam aangepast naar 'Transcriptor', zo legt Jacobs aan Tweakers uit. Deze Transcriptor kan de gegevens blind aanpassen en deze beschikbaar maken voor verschillende partijen. Om dit op een veilige manier te laten verlopen, is er volgens de onderzoekers beleid nodig waarin de onderzoeksdeelnemer een centrale rol speelt. PEP maakt gebruik van encryptie met een publieke sleutel op basis van ElGamal.

Naast versleuteling is het ook mogelijk om het systeem uit te breiden met een methode om gegevens te pseudonimiseren, zodat de identiteit van de onderzoeksdeelnemers niet te achterhalen is. Zo heeft een deelnemer bijvoorbeeld verschillende pseudoniemen bij verschillende onderzoekers en instellingen. Daardoor zijn de gegevens niet met elkaar te combineren, zo stellen de onderzoekers. Om dit geheel heen is vervolgens een systeem nodig voor authenticatie en autorisatie van de Transcriptor, die ook een centrale rol speelt bij het toewijzen van pseudoniemen.

Jacobs vertelt aan Tweakers: "De Transcriptor is uiteindelijk allemaal programmatuur die in een hardware security module zit. Die wordt dan ergens in een rek gehangen. Wij hebben bijvoorbeeld Surfnet voor deze rol benaderd, omdat die organisatie onafhankelijk is en ervaring heeft in een trusted role." Er is echter nog geen samenwerking met het bedrijf aangegaan, voegt hij daaraan toe. Het systeem zit zo in elkaar dat er meerdere privésleutels zijn die toegang geven tot de data, legt de hoogleraar verder uit. "Dus als er een gehackt wordt, dan werkt het systeem niet meer maar is de data nog steeds veilig. Er zijn meerdere componenten nodig om bij de gegevens te komen."

Er zijn verschillende toepassingen van PEP denkbaar buiten de medische sector. Zo zal het mogelijk gebruikt worden voor eID, aldus Jacobs. Ook internettoepassingen zijn denkbaar, bijvoorbeeld bij het beveiligen van sensordata. Het systeem voor de huidige toepassing in het Parkinson-onderzoek moet over ongeveer een half jaar gereed zijn. De Radboud Universiteit en de provincie Gelderland hebben respectievelijk 920.000 euro en 750.000 euro in PEP geïnvesteerd. De techniek moet uiteindelijk open source beschikbaar worden. Een van de deelnemers van het onderzoek is Verily, de life science-afdeling van Google-moederbedrijf Alphabet.

  De centrale rol van de 'Tweaker' bij PEP

Moderatie-faq Wijzig weergave

Reacties (41)

Reactiefilter:-141038+118+24+30Ongemodereerd11
De mensen die met het systeem werken zijn inderdaad de zwakke schakel.
Wanneer een PC onbeheerd achtergelaten wordt kan iemand anders toegang verkrijgen. Uitloggen wordt zelden gedaan en de time-out staat meestal op minimaal 5 minuten. Ik hoop dat de omgevingen waar met gevoellige data eens beter beveiligd wordt tegen dit soort nalatigheid.

Op zich moet je met een webcam al kunnen zien of iemand zijn plek verlaat of zich van het scherm afwendt. Met gezichtsherkenning kan je ook nog eens controleren or niet stiekem een ander persoon achter het toetesenbord kruipt. De eerste minuten zou een identificatie met bijvoorbeeld alleen een vingerafdruk gemakkelijk genoeg zijn om het de gebruikers niet al te lastig te maken. Wanneer de PC langer niet gebruikt wordt is een tweede authencificatie natuurlijk wel wenselijk.
Geen passwoorden maar een kaartje of andere physical key. Iets dat aan een sleutelhanger kan. Geen key, scherm gelocked en geen toegang. Zonder uitzonderingen en geen "oh je kan het ook op deze manier"-dingen. Geen enkel.

Doe ook zo iets voor m'n laptops. Werk nl. voor bedrijven die wensen dat ik m'n gegevens encrypteer. M'n Luks FS encryptie heeft geen passphrase in de key slots. De key staat op een MicroSD kaartje. Kaartje er uit: Niks. Kaartje er in, FS kan gemount worden. Ik moet enkel gdm2 m'n gnome-session eens aanpassen om eject van dat kaartje te detecteren en dan m'n scherm te locken en /home te unmounten, en unlock en remount als het kaartje er in zit. Moet er enkel eens tijd voor maken. Nog zo veel ideeen om uit te werken :-)
Edoch niet. Volledig andere benadering van Encryptie.
Vitalink baseert zich op een sleutelpaar en een connector voor het ontsleutelen.
Heb je een sleutelpaar...heb je toegang tot het platform

Dit is een need-multiples-keys to gain specific (need-to-decrypt) access.
Daarnaast Open Source.
En eenmaal gehacked....ligt het systeem geencrypteerd plat.

Het grote verschil is dat bij de conditionele access alleen die data gedecrypteerd kan worden waartoe je toegang krijgt. De overige data blijf encrypted.

[Reactie gewijzigd door kwakzalver op 30 september 2016 13:45]

Met 1 sleutelpaar ben je niks, je moet n-sleutels hebben (in het basisvoorbeels dat ik gelinkt heb hierboven zijn dat er 2, maar dat kunnen er meerdere zijn, ook m van n is mogelijk)

Als je alle sleutels hebt, heb je nog geen toegang tot -alles- maar tot alles wat die combinatie sleutelparen kunnen decoderen. Bij vitalink is er dus sprake van threshold encryptie die tot op veldniveau geconfigureerd kan worden.

Nu, ik wil best geloven dat het anders werkt, en ik hoop het van harte, niemand ziet (een deel van) zijn werk graag gekopieerd worden in welke vorm dan ook.

Edit: je had je bericht nog wat gewijzigd, ik wil dus nog even aanhalen dat vitalink wel degelijk op veld niveau decryptie afregeld. Ik had het al in een andere reply gelinkt: https://www.smals.be/nl/c...kelt-fijnmazige-encryptie

[Reactie gewijzigd door Dred op 30 september 2016 13:54]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*