Identyfikacja troszkę ograniczona

Obecnie na rynku internetowym można zauważyć tendencję do logowania się do różnych serwisów z wykorzystaniem jednego konta, na przykład konta posiadanego na Facebook. Rządy niektórych państw zauważyły ten trend i  postanowiły dać swoim obywatelom jeszcze jedną metodę logowania. W elektronicznych dowodach osobistych wydawanych w Niemczech (a wkrótce i w Polsce) zrealizowano bowiem funkcjonalność, pozwalającą na logowanie się do różnych serwisów z wykorzystaniem dowodu osobistego. Wykorzystywana technologia zapewnia, że właściciele dwóch różnych serwisów internetowych nie będą mieć możliwości powiązania ze sobą akcji wykonanych w nich przez tego samego użytkownika. Technologia, którą zastosowano, to ograniczona identyfikacja (restricted identification). 

Nowa funkcja jest wbudowana w elektroniczne dowody osobiste. Powoduje ona, że dowód osobisty generuje przy logowaniu unikalny identyfikator dla każdego systemu, który z niego korzysta. A zatem przy logowaniu do serwisu klimek.ws wygenerowany zostanie zupełnie inny identyfikator, niż przy logowaniu np. na wp.pl. W efekcie w bazach danych obu serwisów ten sam użytkownik będzie widniał pod zupełnie innymi identyfikatorami, co w praktyce mocno utrudnia powiązanie jego danych ze sobą.

Matematycznie cała operacja nie jest zbyt złożona i została opisana w dokumencie BSI TR-03110. Serwis, do którego chce zalogować się użytkownik, wysyła swój klucz publiczny do dowodu osobistego. Dowód osobisty, na podstawie tego klucza i swojego klucza prywatnego, oblicza identyfikator użytkownika w danym serwisie. Serwis na końcu sprawdza, czy otrzymany identyfikator nie został unieważniony. 

W efekcie całej procedury użytkownik  uzyskuje odrębny identyfikator dla każdego serwisu, w którym się loguje. Oczywiście cały protokół jest bardziej skomplikowany - zainteresowanych szczegółami odsyłam do materiału źródłowego: BSI TR-03110.

Jakie będzie znaczenie tej technologii w praktyce? Moim zdaniem - niewielkie. Technologia zapewnia bowiem jedynie przekazanie odpowiednika obecnie stosowanego "loginu". Z życia jednak wiemy, że większość serwisów internetowych wymaga także podania innych danych (adresu e-mail, imienia, nazwiska). Dociekliwi będą zatem mogli w znacznej części przypadków powiązać ze sobą dane z różnych serwisów i w ten sposób zidentyfikować internautę. Chyba, że zmienią się standardy rynkowe i usługodawcy uznają, że zalogowanie się z wykorzystaniem dowodu osobistego daje im wystarczające dane o użytkowniku - wtedy omawiana funkcjonalność może okazać się naprawdę przydatna.