В Коммерсант вышел материал об инвестиции государственным фондом ФРИИ 70 миллионов рублей в стартап IDX (Identity Exchange). Миссия стартапа — создание площадки для продажи персональной информации о физических и юридических лицах. Разберемся в том, что предлагает IDX.
Суть сервиса в том, что компания-партнер IDX, которой пользователь однажды уже передал свои данные, может верифицировать их достоверность по запросу другой организации. При этом IDX не передает между партнерами сами данные, а производит сверку цифровых подписей и хэшей зашифрованных сведений.
Клиент проходит процедуру идентификации, например, при личном визите в офис. Компания поставщик данных для IDX (далее «компания А») продает информацию о пройденной идентификации другим участникам рынка.
«IDX устроен как шлюз, там нет персональных данных, значит, нет и рисков их утечки»,— подтверждает директор по эксплуатации «Акадо Телеком» Михаил Медриш. «Мы можем участвовать в проекте как поставщик информации о достоверности данных и сами заинтересованы в услугах, поскольку наши потенциальные клиенты могут быть уже идентифицированы в других сетях»,— объясняет он смысл сотрудничества с IDX.
Акадо является поставщиком информации для IDX о своих клиентах, компанией А.
Риск утечки данных при использовании системы сведен к нулю, утверждает представитель ФРИИ. В основе платформы лежит математический метод «доказательства с нулевым разглашением» (Zero-knowledge proof), использование которого позволяет убедиться в достоверности полученной информации без ее расшифровки, пояснил он.
Рассмотрим процесс продажи компанией А персональных данных клиента с использованием шлюза IDX. Предположим структуру профиля пользователя:
{ "passport":12345, "first_name": "Igor", "last_name": "Barinov", "dob_day": 1970, "dob_month":01, "dob_day":01, "active": true }Компания Б, запрашивающая информацию, формирует группы атрибутов по интересующему клиенту, хеширует их и отправляет через шлюз IDX всем участникам, продающим персональные данные.
Пример запрашиваемой информации:
hash(passport+first_name+last_name+dob_year+dob_month+dob_day).
Подставим значения из структуры:
sha2(12345IgorBarinov19700101)
Получаем хеш:
f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661
Компания А, обладающая сведениями о клиенте, подтверждает наличие записи и возвращает в ответе метаданные, которые с ФИО и паспортом будут являться частью персональных данных, но в случае ZKP (Zero Knowledge Proofs) — нет.
Например,
{"request":"f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661", "dead":false, "phone_number":"5555555555" }и подписывает структуру своим приватным ключом. Шлюз IDX переправляет ответ продавца персональных данных покупателю персональных данных и учитывает факт сделки. Покупатель данных проверяет публичным ключом целостность сообщения и адресата. Биллинг IDX списывает с баланса покупателя персональных данных оплату продавцу персональных данных и комиссию.
Краткие выводы:
— используя скрытие данные в хешированных структурах, стартап IDX организует площадку по торговле персональными данными.
— государственный фонд финансирует компанию, организующую такую площадку
— зная персональные данные пользователя, третье лицо может легально получить данные и метаданные по всем используемым пользователем сервисам, чьи провайдеры продают персональную информацию через шлюз IDX
Disclaimer: автор не имеет отношения к компании IDX, Акадо, ФРИИ и соображения о принципах работы основаны на OSINT (открытых данных).
ссылка на оригинал статьи https://habrahabr.ru/post/318362/
Добавить комментарий