ES2955242T3

ES2955242T3 - Procedimiento criptográfico de mapeo de pseudónimos, sistema informático, programa informático y medio legible por ordenador

Info

Publication number: ES2955242T3
Application number: ES20775394T
Authority: ES
Inventors: Ferenc Vagujhelyi; Gergely Vagujhelyi
Original assignee: Xtendr Zrt
Current assignee: Xtendr Zrt
Priority date: 2019-07-15
Filing date: 2020-07-14
Publication date: 2023-11-29
Anticipated expiration: 2040-07-14
Also published as: US20220318403A1; US20220414236A1; PL4000217T3; WO2021009529A1; HUE062614T2; CN114144783A; US11741242B2; HUP1900255A1; EP4000217C0; EP4000217B1; CN114144783B; EP4000217A1

Abstract

La invención es un método de mapeo criptográfico de seudónimos para un sistema anónimo de intercambio de datos, estando adaptado el método para generar una base de datos seudonimizada (DB) a partir de datos relacionados con entidades y que se originan en fuentes de datos (DSi), en donde los datos se identifican en las fuentes de datos. (DSi) mediante identificadores de entidad (D) de las respectivas entidades, y en el que los datos se identifican en la base de datos seudonimizada (DB) mediante seudónimos (P) asignados a los respectivos identificadores de entidad (D) aplicando un mapeo uno a uno. . Según la invención, se aplican un asignador (M) y un administrador de claves (KM), y el asignador (M) genera un seudónimo respectivo (P), para cada identificador de entidad cifrada (Ci) cifrado por la fuente de datos (DSi), utilizando la clave criptográfica de mapeo (hi) correspondiente a la fuente de datos particular (DSi). La invención es además un sistema informático que realiza la invención, así como un programa informático y un medio legible por ordenador. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN

Procedimiento criptográfico de mapeo de pseudónimos, sistema informático, programa informático y medio legible por ordenador

SECTOR TÉCNICO

La invención se refiere a un procedimiento y un sistema informático criptográficos para mapeo de pseudónimos, a un programa informático y a un medio legible por ordenador, preferentemente, para implementar un sistema para compartir datos en el que los datos pueden ser analizados de manera anónima. La invención da a conocer una solución de pseudonimización que es compatible con las regulaciones de GDPR.

ESTADO DE LA TÉCNICA ANTERIOR

Los procedimientos de pseudonimización aplicados actualmente no tratan las necesidades especiales de las autoridades para el procesamiento de datos. El artículo 2 del RGPD estipula que el reglamento no aplica al procesamiento de datos personales si las autoridades competentes procesan los datos con finalidades de prevención, investigación, detección o enjuiciamiento de delitos penales, o de ejecución de condenas penales, incluyendo la protección frente a amenazas para la seguridad pública y la prevención de las mismas. Sin embargo, las autoridades competentes no pueden hacer uso de esta opción si no pueden asignar los pseudónimos a personas físicas, incluso si dicha asignación está permitida por las normas. En las soluciones de pseudonimización extensamente aplicadas actualmente, el propio mapeo es realizado por las fuentes de datos, lo que garantiza que el mismo pseudónimo corresponde a un identificador particular en todos los casos, pero permite que cualquier parte viole el cifrado montando, por ejemplo, un ataque basado en tablas de arco iris. La presente invención da a conocer una solución al problema de proporcionar la opción, exclusivamente para una autoridad competente, de asignar datos que han sido pseudonimizados con fines analíticos, anonimizados por otros medios apropiados y no utilizados con fines oficiales, a datos no cifrados que utilizan una clave criptográfica gestionada especialmente, que se ha generado para este propósito. La Patente WO 2017/141065 A1, titulada "Data management method and registration method for an anonymous data sharing system, as well as data manager and anonymous data sharing system", da a conocer una solución para analizar datos que residen en múltiples entidades mutuamente independientes -en lo que sigue, fuentes de datos- de manera que los datos se cargan en una sola base de datos unificada en la que los identificadores de las identidades (por ejemplo, personas, compañías) se almacenan aplicando pseudónimos adaptados para proteger el anonimato, garantizando que los datos originales no pueden ser restablecidos a partir de los pseudónimos. La presente invención complementa la solución dada a conocer en la Patente WO 2017/141065 A1 con un procedimiento de mapeo de pseudónimos que es seguro desde un aspecto de teoría de números. Sin embargo, los riesgos de seguridad para los procesos de asignación de los pseudónimos a los identificadores originales no sólo se plantean por la vulnerabilidad a ataques de teoría de números del algoritmo de mapeo de pseudónimos. En la Patente WO 2017/141065 A1 se da a conocer una descripción detallada de medidas que es necesario adoptar, además de darse a conocer el procedimiento de mapeo de pseudónimos, para garantizar el anonimato de la base de datos que contiene los pseudónimos. Estas son, entre otras, la prohibición de asignar atributos a los datos, el análisis del k-anonimato y la I-diversidad, o la prevención de identificación de nodos basada en las propiedades morfológicas del gráfico que refleja las interrelaciones de entidades. Todos los procedimientos descritos en el documento mencionado pueden, asimismo, aplicarse en la presente invención, incluyendo el caso en que garantizar el anonimato de las fuentes de datos es, asimismo, un requisito. Esto es especialmente importante en el caso en que las fuentes de datos notifican datos relativos a sí mismas.

Actualmente, casi todos los eventos del mundo real dejan huellas en forma de datos almacenados en el espacio digital. El análisis de estos datos permite realizar valiosas deducciones. Los datos se almacenan en una serie de entidades que, normalmente, no tienen una relación de dependencia entre sí. Los datos son, a menudo, característicos de entidades (por ejemplo, personas, compañías, instituciones, propiedades, aparatos, activos financieros, etc.) o describen el comportamiento de las mismas. En las bases de datos, se hace referencia a las entidades aplicando identificadores de entidad ampliamente conocidos (por ejemplo, número de seguridad social, número de identificación fiscal, número del registro catastral). Los datos analizables que son característicos de las entidades en función de los identificadores de entidad se denominan atributos.

Se puede llevar a cabo un análisis que se aproxime más a la realidad, en relación con el comportamiento y las interacciones de las entidades, en caso de que pueda utilizarse para el análisis el máximo alcance posible de los datos. La mejor manera de hacer esto sería analizar todos los datos disponibles que apliquen a una sola base de datos. Sin embargo, las bases de datos contienen, a menudo, información confidencial o -por ejemplo, en el caso de personas físicas- información legalmente protegida. Esto pone límites a los gestores de datos en la compartición, con finalidades analíticas agregadas, de los datos que gestionan. Por esta razón, los gestores de datos, es decir, las fuentes de datos, tienen que pasar los datos de tal modo que las entidades que realizan el mapeo de pseudonimización y el análisis aplicando la base de datos común, no puedan acceder al identificador de entidad original. Esto es factible porque, en la mayor parte de los casos, el objetivo del análisis no es conocer las propiedades, el comportamiento o la red de contactos de una cosa o persona particular, sino reconocer patrones de comportamiento que se puede esperar de individuos (anónimos) en una población mayor, analizar la estructura de las redes de contactos y realizar deducciones relativas al curso futuro de los acontecimientos.

El conjunto de requisitos para el mapeo entre el identificador de entidad, no cifrado, abierto, y el identificador anónimo (en lo que sigue: pseudónimo) almacenado en la base de datos común, se definen mediante el procedimiento dado a conocer en la Patente WO 2017/141065 A1. Este mapeo puede, prácticamente, implementarse solamente utilizando un dispositivo especial de tecnología de la información, es decir, un criptoprocesador (una unidad informática dedicada que realiza operaciones criptográficas bajo protección física). En sistemas multiusuario abiertos esto plantea problemas para la aplicabilidad del sistema. En contraste con los mapeos llevados a cabo en una etapa única, la solución técnica conocida proporciona, normalmente, protección contra ataques de tipo “fuerza bruta” (teniendo información sobre el funcionamiento del sistema de cifrado, la clave aplicada se determina probando toda posible clave), pero una cooperación maliciosa entre una fuente de datos y la entidad que realiza el mapeo puede impedirse solamente aplicando un procedimiento complementario, por ejemplo, cifrando mediante una entidad adicional los valores mapeados.

El pseudónimo se puede aplicar, a los efectos del análisis descrito anteriormente, si se introduce un determinado identificador de entidad, abierto, en la base de datos común, bajo el mismo pseudónimo independientemente de que fuente de datos lo envió, es decir, el mapeo entre los identificadores no cifrados y los pseudónimos tiene que ser un mapeo biunívoco, donde la inversa del mapeo no pueda ser calculada, es decir, el identificador de entidad no cifrado no puede ser generado a partir del pseudónimo, por ninguna entidad. Si el mapeo es realizado por las fuentes de datos, estas tienen, asimismo, que aplicar el mismo mapeo. Si se requiere un mapeo no reversible algorítmicamente, entonces, habitualmente, se aplica una función resumen criptográfica, siendo los datos no cifrados la entrada de la función, y siendo el valor de salida, en este caso, el pseudónimo. Lo que supone un problema es que la multiplicidad de los identificadores de entidad es, normalmente, baja, del orden de entre cien millones y unas pocas decenas de miles de millones. Para semejante colección, puede generarse una tabla de arco iris (una tabla previamente calculada para invertir funciones resumen criptográficas) en un tiempo muy corto. Por lo tanto, en el curso del cálculo del valor resumen, los datos de entrada son complementados con “sal” (datos elegidos aleatoriamente, aplicados como datos de entrada adicionales de funciones resumen). En ese caso, todas las entidades tienen que tener la misma “sal” para que se pueda mantener una relación biunívoca. Sin embargo, los datos que son utilizados por todas las fuentes de datos difícilmente pueden ser considerados secretos, o, para realizar los cálculos, ni siquiera es necesario conocer el valor si el atacante puede acceder al sistema de alguna de las fuentes de datos (por ejemplo, el atacante puede ser una de las fuentes de datos que no tenga restricción alguna para realizar un número arbitrario de mapeos).

Otra posibilidad es confiar a un cooperador fiable la generación de la relación entre los datos no cifrados o los datos cifrados por las fuentes de datos aplicando el mismo cifrado, y el pseudónimo. El cooperador fiable puede compilar la tabla de arco iris -trivialmente en el primer caso y, en el segundo caso, obteniendo acceso al sistema de solamente una fuente de datos. Por lo tanto, la solución, según la Patente WO 2017/141065 A1, llegó a la conclusión de que las fuentes de datos tienen que aplicar un procedimiento de cifrado basado en una única clave criptográfica, por ejemplo, propia. En tal caso, el mismo identificador de entidad es enviado por las fuentes de datos como diferentes textos cifrados (datos cifrados), mientras que el mapeo de pseudónimos tiene que ser realizado de tal modo que los diferentes textos cifrados tienen que ser asignados al mismo pseudónimo si los textos cifrados particulares fueron calculados a partir del mismo identificador no cifrado. En la solución implementada según el documento, se aplican claves RSA, donde la clave de desciframiento se almacena en un módulo de plataforma fiable (TPM, Trusted Platform Module; ver, por ejemplo, ISO/IEC 11889), el proceso de desciframiento y el mapeo de los datos no cifrados al pseudónimo se lleva a cabo utilizando un criptoprocesador seguro. La arquitectura es difícil de implementar y requiere una inversión inicial significativa, mientras que su funcionamiento es, asimismo, complicado debido a que la infraestructura de hardware necesaria escala linealmente con el número de fuentes de datos.

La Patente EP 3188070 A1 da a conocer un procedimiento de doble cifrado, mientras que se da a conocer criptografía de intermediario en el documento de Giuseppe Ateniese et al., "Improved Proxy Re-Encryption Schemes with Applications to Secure Distributed Storage", IACR, International Association For Cryptologic Research, Vol. 20060111:153421, 11 de enero de 2006 (11/1/2006), páginas 1 a 25, y en el documento de Ivan A. et al., "Proxy Cryptography Revisited", Proceedings of the Symposium on Network and Distributed System Security, XX, XX, 1 de febrero de 2003 (1/2/2003), páginas 1 a 19.

DESCRIPCIÓN DE LA INVENCIÓN

El objetivo de la invención es eliminar, o reducir el impacto de, los inconvenientes de las soluciones de la técnica anterior, especialmente, la solución de la técnica anterior presentada anteriormente.

El objetivo principal de la invención es dar a conocer una solución de mapeo de pseudónimos criptográfico que no requiera -para realizar el desciframiento y para mapear los datos no cifrados al pseudónimo- el uso de hardware seguro, por ejemplo, de un criptoprocesador.

Los objetivos de la invención se han cumplido dando a conocer el procedimiento criptográfico de mapeo de pseudónimos, según la reivindicación 1, el sistema informático, según la reivindicación 7, el programa informático, según la reivindicación 9, y el medio legible por ordenador, según la reivindicación 10. Se definen realizaciones preferentes en las reivindicaciones dependientes.

El procedimiento criptográfico de mapeo de pseudónimos, según la invención, está adaptado para generar una base de datos pseudonimizada, a partir de datos de entidades, donde los datos son identificados en las fuentes de datos que utilizan los identificadores de entidad de las entidades respectivas, y donde los datos son identificados en la base de datos pseudonimizada utilizando pseudónimos asignados a los respectivos identificadores de entidad aplicando un mapeo biunívoco.

La presente invención es una solución que utiliza las propiedades de la exponenciación modular realizada sobre clases de residuos, y las propiedades de operaciones basadas en puntos discretos de curvas elípticas, seleccionados especialmente, e implementa el mapeo abstracto requerido, no conteniendo, al mismo tiempo, las limitaciones mencionadas anteriormente relativas a la técnica anterior.

En contraste con la técnica anterior, la invención no requiere ningún hardware especial para almacenar las claves criptográficas o para realizar cálculos sino que, en cambio, resuelve el problema por medios puramente criptográficos. Esto requiere, ante todo, que los identificadores de entidad tienen que ser asignados a elementos de la estructura algebraica (matemática) (ver, por ejemplo, Wikipedia) en la que se llevan a cabo los cálculos criptográficos. Los dispositivos de las tecnologías de la información aplican una representación binaria de los datos, de manera que los datos pueden ser interpretados como números enteros positivos que se pueden utilizar para realizar cálculos. En lo que sigue, se asume que el dominio de los mapeos puede proporcionar una representación única de los identificadores de entidad y de los textos cifrados calculados. Por ejemplo, si los cálculos se realizan sobre un grupo cíclico (ver, por ejemplo, Wikipedia) de clases de residuos, entonces el módulo se elige para que sea lo suficientemente grande para que esté disponible un número suficiente de clases de residuos. Debido a los tamaños de claves aplicados en implementaciones prácticas, esto no representa un problema. En el caso de exponenciación modular realizada sobre clases de residuos, por ejemplo, el exponente se puede representar aplicando muchos más bits, comparado con lo que ocurre en la práctica con los identificadores de entidad. En dichos casos, se puede considerar el denominado “relleno de ceros” de los valores, de manera que la exponenciación realizada con una base baja no puede ser invertida mediante un cálculo de raíces ordinario. Esto ocurre en caso de que no se requiera aritmética modular durante el proceso de cálculo del resultado. Debido al requisito de aplicar un mapeo biunívoco, solamente se pueden aplicar procedimientos de relleno de ceros deterministas.

Por lo tanto, se considera una serie de fuentes de datos, comprendiendo cada fuente de datos una base de datos que contiene identificadores de entidad y atributos. Los datos tienen que ser reunidos en una base de datos común, de manera que los identificadores de entidad se incluyen en la misma aplicando pseudónimos, según lo siguiente:

(1) Un determinado identificador de entidad tiene que ser mapeado al mismo pseudónimo, independientemente de la fuente de datos desde la que se recibió.

(2) El mismo pseudónimo no puede, nunca, ser asignado a dos identificadores de entidad diferentes. (3) La relación entre un identificador no cifrado y su pseudónimo no puede ser obtenible por ningún participante del sistema utilizando solamente la información que este conoce, incluso si una fuente de datos coopera, con la intención de romper el cifrado, con una entidad participante involucrada en el mapeo.

(4) Una entidad especialmente autorizada (por ejemplo, una autoridad competente) tiene que poder calcular el identificador de entidad no cifrado, a partir de los textos cifrados enviados por las fuentes de datos.

Las condiciones (1) y (2) implican, conjuntamente, que el mapeo tiene que ser un mapeo biunívoco. Los mapeos criptográficos cumplen este requisito, siempre que se permanezca en el interior del dominio de los mismos (en criptografía, el dominio de mensajes). La condición (3) excluye la totalidad de aquellos mapeos que puedan ser realizados mediante solamente una o dos entidades participantes, sin cooperación con otras. Para cumplir la condición (4) se requiere que dicho procedimiento esté adaptado para generar datos no cifrados a partir de los textos cifrados mapeados aplicando claves criptográficas utilizadas por las otras entidades, mientras que las otras entidades no pueden calcular esta clave de desciframiento a partir de sus respectivas claves criptográficas propias. Dado que la relación entre el pseudónimo y los datos no cifrados ha de ser protegida por todos los medios, es el texto cifrado calculado por las fuentes de datos el que tiene que ser aplicado para satisfacer esta condición. Tiene que ser imposible que la fuente de datos rastree la primera y la segunda etapas del mapeo porque, de lo contrario, puede obtener trivialmente el pseudónimo como resultado de la segunda etapa de cálculo. La entidad que lleva a cabo el segundo mapeo puede acceder trivialmente al pseudónimo, por lo que es necesario que no pueda acceder al identificador de entidad no cifrado. Esto se puede conseguir si los identificadores de entidad son enviados por las fuentes de datos a la entidad mapeadora aplicando su propio cifrado único, es decir, utilizando su clave criptográfica propia, pero las fuentes de datos no pueden “ver” el cálculo de mapeo del pseudónimo, o bien no pueden relacionar el resultado del mismo con los datos proporcionados por sí mismos.

Según la solución técnica descrita en la Patente WO 2017/141065 A1, un mapeo de pseudónimos tiene que ser realizado aplicando el texto cifrado mediante descomponer el mapeo en etapas, donde una determinada etapa puede ser realizada solamente por una única entidad participante adaptada para realizar el mapeo:

donde D es el identificador de entidad, P es el pseudónimo, i es el identificador numérico de la fuente de datos y Ci es el texto cifrado calculado aplicando su propia clave. Los diferentes mapeos en el sistema de cifrado, habitualmente, ejecutan el mismo algoritmo aplicando claves diferentes. Por lo tanto, el mapeo g realizado aplicando la clave b puede ser sustituido por fb. Aplicando un solo mapeador, por ejemplo, un criptoprocesador seguro, el mapeador está adaptado para descifrar el texto cifrado, seguido por el mapeo de los datos no cifrados al pseudónimo P aplicando la clave de mapeo de pseudónimos b. Por ejemplo, aplicando el procedimiento RSA (ver, por ejemplo, la Patente US 4,405,829 A), la clave criptográfica de la i-ésima fuente de datos es (ei, N), donde e es el exponente de cifrado y N es el módulo. El texto cifrado se obtiene mediante el cálculo de

A continuación, este es enviado a la entidad que realiza el mapeo de pseudónimos, que genera datos no cifrados utilizando la clave de desciframiento (di, N), donde di es el exponente, realizando el cálculo.

Según la Patente US 4,405,829 A, este cálculo se lleva a cabo, por ejemplo, aplicando un criptoprocesador seguro, de tal modo que el mapeador no puede acceder a los datos no cifrados pero puede utilizar los resultados para calcular el pseudónimo. El pseudónimo se obtiene de los datos no cifrados utilizando la clave criptográfica (b, N) del mapeo g = fb (en este caso, a diferencia de en el resto de esta descripción, el signo = denota identidad y no congruencia):

Es importante que los valores di y b no se puedan leer desde el dispositivo que lleva a cabo el cálculo; dicho dispositivo es, por ejemplo, el chip del módulo de plataforma fiable. Dado que tanto g como f representan exponenciación modular módulo N, en lo que sigue se utiliza solamente f. Utilizando la notación de ejemplo anterior, el mapeo completo es

donde el cálculo de texto cifrado más interior que utiliza el exponente ei es realizado por la fuente de datos, seguido por que el mapeador realiza el cálculo aplicando el exponente b.

Un objetivo es presentar un procedimiento de cálculo para realizar los dos últimos mapeos, durante el cual, la entidad que realiza el cálculo

i. no puede acceder al identificador de entidad D, es decir, a los datos no cifrados, y

ii. no puede acceder al exponente b que se aplica para generar un pseudónimo desde los datos no cifrados.

De la condición (i.) se sigue que es necesario que la entidad que realiza el cálculo tampoco pueda acceder a di puesto que, de lo contrario, podría descifrar el texto cifrado. La condición (ii.) se requiere para impedir un ataque satisfactorio del mapeador basado en ensayo y error, o en la tabla de arco iris. En los mapeos a modo de ejemplo, se representan datos aplicando clases de residuos definidas mediante un módulo de entero positivo (N).

En la solución, según la invención, el desciframiento aplicando una clave inversa y el mapeo de pseudónimos se pueden realizar en un número arbitrario de etapas, de tal modo que no se generan datos no cifrados (un identificador de entidad) en el curso de los cálculos, ninguna entidad puede obtener la clave de desciframiento cíavef1, y, asimismo, ninguna entidad puede obtener la clave del mapeo de pseudónimos b, es decir, ninguna entidad puede generar en secreto un pseudónimo a partir de datos no cifrados, es decir, compilar una tabla de arco iris. Para conseguir esto, se aplican procedimientos de tecnologías de la información basados en bases conocidas de teoría de números.

BREVE DESCRIPCIÓN DE LOS DIBUJOS

En lo que sigue se describen, a modo de ejemplo, realizaciones preferentes de la invención, haciendo referencia al siguiente diagrama, en el que

la figura 1 es el diagrama esquemático que muestra una solución, según la invención, que se implementa aplicando un solo gestor de claves y comprende una entidad especialmente autorizada, que está adaptada para descifrar los datos cifrados (texto cifrado) de la fuente de datos.

MODOS PARA LLEVAR A CABO LA INVENCIÓN

Según la invención, se ha reconocido que las características de estructuras algebraicas que constituyen grupos cíclicos multiplicativos o aditivos pueden utilizarse, preferentemente, para cumplir los objetivos de la invención. A continuación se describen, en mayor detalle, dos tipos de soluciones basadas en dichas estructuras algebraicas pero, según la invención, se pueden aplicar, asimismo, otras estructuras algebraicas semejantes que proporcionen la aritmética requerida para el funcionamiento de la invención. De las estructuras algebraicas a modo de ejemplo, primero se describe en detalle una solución que involucra clases de residuos módulo N (donde N es un entero positivo), siguiendo la descripción, en relación con la primera, de una solución que involucra puntos de curvas elípticas definidas sobre el campo de números de clases de residuos módulo p (donde p es un número primo).

Los identificadores de entidad y los datos correspondientes se almacenan en bases de datos en fuentes de datos mutuamente independientes y, después de una pseudonimización, según la invención, los datos, junto con los pseudónimos generados a partir de los identificadores de entidad, son almacenados, asignados entre sí, en una base de datos pseudonimizada central. Cumpliendo con las condiciones del objetivo establecido para la invención, para un determinado identificador de entidad, la relación entre los datos no cifrados y el pseudónimo no puede estar afectada por el origen de los datos (es decir, de qué fuente de datos proceden). Sin embargo, el proceso de los mapeos, es decir, las operaciones realizadas en las etapas particulares, son únicas para cada fuente de datos, es decir, es necesario utilizar diferentes claves criptográficas (por ejemplo, exponentes modulares) para realizar el mismo mapeo. La implementación de un sistema de recopilación de datos comienza necesariamente seleccionando un módulo apropiado. En la práctica, esto es realizado por el proveedor del servicio de recopilación de datos, o la comunidad de recopilación de datos decide primero sobre la longitud de bits de las claves aplicables. A continuación, se seleccionan dos de dichos números primos cuyo producto (aplicado como el módulo) puede ser representado utilizando el número dado de bits. La entidad que genera las claves (en adelante: el gestor de claves) tiene que conocer el módulo N y, asimismo, el valor $(N) proporcionado por la función de Euler o, en otras palabras, su valor totiente. El valor N del módulo tiene que ser conocido por todas las entidades participantes que realizan mapeos. Si el tamaño de representación de los identificadores de entidad a mapear es significativamente menor que el tamaño de la clave, se aplica, preferentemente, alguna clase de procedimiento de relleno de ceros. Este procedimiento tiene que ser determinista, en el sentido de que cada fuente de datos tiene que recibir el mismo valor, de tal modo que el pseudónimo es, asimismo, determinista, independientemente de la fuente de datos. Los datos básicos del mapeo son, por lo tanto, N y $(N).

Según la invención, por selección aleatoria se entiende que la implementación del procedimiento no depende de qué elementos particulares del conjunto determinado se eligen. Por consiguiente, se entiende que selección aleatoria incluye, asimismo, selección cuasialeatoria o pseudoaleatoria, así como aquellos procedimientos de selección (incluso, según las reglas conocidas por un observador) en los que la selección parezca aleatoria para el observador exterior. Si el conjunto constituye una estructura algebraica, entonces, si esta tiene un elemento nulo y/o un elemento unitario, entonces este o estos no se consideran seleccionados aleatoriamente. Asimismo, en el caso de clases de residuos, se evita la selección de valores no coprimos. Sin embargo, por consideraciones criptográficas merece la pena seleccionar aquellos valores para los que la longitud de bits de su representación rellene todo el espacio disponible.

Como se puede ver en la figura 1, los identificadores de entidad D y los atributos (estos últimos no se muestran en el diagrama) que describen las entidades o su comportamiento, son almacenados por fuentes de datos DSi en sus propias bases de datos respectivas. La relación entre una entidad particular y las otras entidades puede considerarse como una característica de la entidad dada. Por lo tanto, en tal relación, los identificadores de entidad de las otras entidades se consideran como atributos (por ejemplo, B es un cliente de A, en cuyo caso B es un atributo y un identificador de entidad al mismo tiempo). Dado que el objetivo de la solución técnica según la invención es soportar anonimato, dichos datos pueden, asimismo, considerarse un identificador de entidad.

Los atributos relacionados con los identificadores de entidad D son pasados, preferentemente, por las fuentes de datos DSi como datos no cifrados, mientras que los identificadores de entidad D son cifrados por las fuentes de datos DSi utilizando sus propias claves criptográficas. El texto cifrado resultante es enviado a la entidad adaptada para realizar el mapeo al pseudónimo P, es decir, al mapeador Mj. Al mismo tiempo, se mantiene una asignación entre los datos no cifrados y el texto cifrado, es decir, el identificador de entidad cifrado, debido a que la base de datos necesaria para analizar datos puede únicamente ser cargada de ese modo con información útil.

La solución técnica inventiva que aplica un único mapeador M común para todas las fuentes de datos DSi, se implementa como sigue. En una primera etapa, se lleva a cabo el cifrado mediante la fuente de datos DSi, seguido por el cálculo del pseudónimo P mediante el mapeador M, en una segunda etapa. Si estás dos entidades cooperan, entonces pueden vincular los datos no cifrados con el pseudónimo P, de manera que pueden, incluso, generar una tabla de arco iris. Por lo tanto, la solución se puede aplicar en caso de que la supervisión del mapeador M esté complementada por medios adicionales de tecnologías de la información. La fuente de datos DSi i-ésima utiliza su propia clave criptográfica secreta, que se denomina (ei, N) utilizando las referencias aplicadas anteriormente. Cada fuente de datos puede utilizar un número arbitrario de claves, de manera que puede corresponderle más de un índice de identificador de clave i.

Por lo tanto, el identificador de entidad D es enviado al mapeador, como el texto cifrado.

Tal como se mostró anteriormente, el pseudónimo es generado por el mapeador realizando la operación

Como resultado de los cálculos intermedios, calculando el valor (Ci)di mod N, se puede obtener el valor no cifrado D que se tiene que mantener oculto del mapeador. Por la misma razón, también es necesario que este no tenga acceso a di. La solución para este problema consiste en realizar las dos operaciones de exponenciación utilizando los exponentes di y b simultáneamente, aplicando el exponente hi = di ■ b mod $(N):

Cabe señalar que el resultado de las operaciones realizadas sobre los exponentes de exponenciación modular tiene que ser calculado con un módulo según $(N), porque estos exponentes forman un grupo cíclico que tiene un número $(N) de elementos.

Por supuesto, es necesario asegurarse de si el identificador de entidad D, es decir, los datos no cifrados, aparece en algún lugar en el curso del cálculo anterior. Si la anterior exponenciación modular se realizó como una secuencia de multiplicaciones, entonces, después de realizarse di multiplicaciones, se obtendría el identificador no cifrado D, lo que haría inútil el procedimiento porque la entidad que realiza el cálculo puede comprobar fácilmente si el resultado parcial obtenido es de la forma esperada desde el identificador de entidad, especialmente si este contiene, asimismo, un CDV (check digit value, valor de dígito de comprobación). Sin embargo, debido al tamaño de clave mínimamente aplicable de 2048 bits, la forma decimal del exponente tiene 616 dígitos, es decir, sería necesario llevar a cabo tantas multiplicaciones modulares como 10616. En la práctica, esto no es factible. Por lo tanto, se describirá a continuación el procedimiento factible más simple (pero ni de lejos el más eficaz) en la práctica. La exponenciación xy se lleva a cabo aplicando un procedimiento de exponenciación binaria (ver, por ejemplo: exponenciación modular, procedimiento binario de derecha a izquierda). Los números se representan en forma binaria, como una suma de potencias de dos. Por ejemplo, para y:

donde yi es el bit i-ésimo de la representación binaria del número, es decir, es cero o uno, contribuyendo con cero o 2 a la suma. Por lo tanto

Por lo tanto, si el bit i-ésimo del exponente y es cero, entonces el resultado intermedio se multiplica por uno, mientras que si el bit i-ésimo es uno, entonces el resultado se multiplica por x , es decir, por x , x , x , x , ..., x - . Sin embargo, en el caso de la representación binaria, se puede llevar a cabo la exponenciación aplicando potencias de dos, como una operación de desplazamiento a nivel de bit. De este modo, se ha conseguido la computabilidad práctica. El resultado intermedio es el producto de las potencias calculadas aplicando exponentes de (las correspondientes) potencias de dos de los dígitos distintos de cero de la representación binaria del texto cifrado Ci. Esto sería igual a D si los primeros r bits (de orden bajo) de hi = di - b mod $(N) fueran idénticos a los bits de di, donde los bits de orden más bajo están situados hacia la izquierda. Si la longitud de di es igual que la longitud de hi, es decir, ambas comienzan con el mismo número de ceros, entonces la multiplicación por b corresponde a una multiplicación por la unidad, es decir, b = 1 mod $(N). Exclúyase este caso trivial, en el que el mapeo de pseudónimos sería la identidad, de manera que, por consiguiente, b no se elige con el valor uno. De lo contrario, la selección de claves (y, por lo tanto, asimismo, la selección de inversas) puede considerarse aleatoria, de manera que la probabilidad de que estas comiencen con un número n de ceros es 2-n.

Considérese el caso en el que di y hi no tienen la misma longitud. Si la multiplicación di ■ b se realiza según el algoritmo de “multiplicación larga” (como sobre el papel), utilizando los dígitos del multiplicador di para multiplicar el multiplicando b considerado desconocido, entonces, cuando un determinado bit de di es uno, el resultado es b, mientras que cuando el determinado bit es cero, el resultado es cero. El valor del bit determinado puede, en la práctica, considerarse aleatorio, de manera que, estadísticamente, el resultado intermedio será distinto de cero en la mitad de los casos. A continuación, los resultados intermedios se desplazan, de acuerdo con el dígito correspondiente del multiplicador, y se suman. Como resultado, se obtienen tantas ecuaciones como el número de bits distintos de cero en di, siendo el número, en promedio, la mitad de la longitud de di. En todas estas ecuaciones se afirma que la suma de bits particulares de b es igual al valor del correspondiente dígito de di, es decir, cero o uno. Con un tamaño de clave de 2048 bits, la solución tiene que cumplir, en promedio, 1024 afirmaciones. En el lado derecho de las ecuaciones puede haber un valor de uno o de cero, que se obtiene exclusivamente como una suma de ceros y unos. Si, para un valor b elegido aleatoriamente, el valor calculado no es el mismo que el cero o uno en el dígito recién calculado del producto, entonces cambiar un solo bit de b incluido en el cálculo producirá un resultado correcto. Sin embargo, esto, cada vez, reduce a la mitad el número de valores potencialmente seleccionables que son representaciones binarias de b. Por lo tanto, una operación que proporcione el resultado de una exponenciación realizada aplicando di como exponente, se lleva a cabo con una probabilidad de 2-1024, es decir, los datos no cifrados se obtienen con una probabilidad de 10-308. Por lo tanto, en la práctica, los datos no cifrados no se generan nunca en el curso de los cálculos.

Los identificadores comunes de la red de recopilación de datos están caracterizados por lo siguiente. En el curso del mapeo de las claves, el módulo N se genera aplicando el procedimiento especificado en la Patente WO 2017/141065 A1, como el producto N=p.q de dos números primos de magnitud apropiada. En tal caso, $(N)=(p-1)-(q-1). El único requisito para el exponente b utilizado para mapear los datos no cifrados al pseudónimo es que sea coprimo con respecto a $(N). El inverso multiplicativo modular de b para $(N) (el inverso multiplicativo de a es a-1 modulo m si a-1a = 1 mod m) no se calcula debido a que no se utiliza para ningún cálculo.

El proceso de generación de un par de claves de mapeo es el siguiente: después de llevar a cabo los cálculos anteriores, se elige aleatoriamente un exponente di que es coprimo con respecto a $(N). A continuación, se aplica el algoritmo de Euclides extendido para calcular ei, para el que se cumplirá la fórmula eidi = 1 mod $(N). A continuación, se calcula hi = di ■ b mod $(N).

Dado que, en posesión de b, se puede generar un pseudónimo a partir de los datos no cifrados, estos datos se pueden hacer accesibles para aquellas entidades que no puedan acceder en absoluto a los datos no cifrados. Por lo tanto, en dichos sistemas, se requiere un gestor de claves KM que esté adaptado para generar las claves y hacerlas accesibles para las entidades que realizan los cálculos. Por lo tanto, los valores de p, q y b son generados por el gestor de claves y mantenidos en secreto. El valor $(N) es accesible, asimismo, solamente para el gestor de claves, es decir, este es la única entidad que puede generar claves (ei, di y hi), es decir, el par descrito anteriormente de claves de mapeo es generado por el gestor de claves KM.

Puede estar permitido por la legislación, o por las reglas de la comunidad de recopilación de datos y de análisis de datos, que una autoridad A o una autoridad fiable para la comunidad reciba acceso a los datos no cifrados. Dado que no se desea que ni siquiera esta entidad pueda realizar una conexión entre los datos no cifrados y los pseudónimos, preferentemente, se aplican para este propósito textos cifrados originados directamente en las fuentes de datos DSi. Para llevar a cabo la operación de desciframiento se requiere que el gestor de claves KM pase la clave di a esta entidad sobre un canal de datos cifrado. A continuación, siempre y cuando tenga la autorización legal necesaria o el permiso de la comunidad de recopilación de datos, esta puede solicitar al mapeador M los datos de texto cifrado requeridos. Por lo tanto, esta entidad puede acceder a los datos no cifrados recibidos, mediante realizar el cálculo

autorización de desciframiento tiene que ser controlada para cada elemento de datos, entonces, es necesario que la fuente de datos DSi utilice una respectiva clave criptográfica diferente, para cifrar cada elemento de datos antes de pasarlo al mapeador M. Las claves requeridas tienen que ser solicitadas en cada ocasión al gestor de claves KM que genera la clave criptográfica ei de la fuente de datos DSi y la clave de mapeo hi del mapeador M, y pasa la primera a la fuente de datos DSi y la última al mapeador M, de manera que ninguna otra entidad puede acceder a estas. Las claves di y los datos son obtenidos por la autoridad A, por ejemplo, desde el gestor de claves KM y la entidad responsable de gestionar la base de datos pseudonimizada DB, respectivamente. De este modo, se pasan a esta solamente aquellos textos cifrados y exclusivamente aquellas claves criptográficas que corresponden a los datos incluidos en su autorización.

Una solución, a modo de ejemplo, que se puede ver en la figura 1, comprende las siguientes etapas:

(1) las constantes del mapeo son generadas por el gestor de claves KM: N=p-q, $(N)=(p-1)-(q-1) (ambos factores son números primos seleccionados aleatoriamente que, preferentemente, pueden ser representados en la mitad de la longitud de bits del tamaño de clave elegido), b es el exponente, valores de los que solamente N se hace público para las otras entidades, los otros se mantienen secretos;

(2) tras una solicitud mediante una fuente de datos DSi, el gestor de claves KM genera, con el identificador i, el par de claves que consiste en la clave de cifrado y la clave de mapeo: los exponentes son ei, hi, con el identificador según la descripción anterior, de los que el primero se pasa a la fuente de datos DSi y el último al mapeador M junto con el índice del identificador; los datos se tienen que tratar como datos secretos, de manera que la transferencia de datos se tiene que realizar de manera cifrada, u otra adecuada;

(3) el identificador de entidad D, es decir, los datos no cifrados, es mapeado por la fuente de datos DSi al texto cifrado C¡ = DBí mod N y enviado al mapeador M;

(4) el pseudónimo es calculado por el mapeador M a partir del texto cifrado: P = Cihi mod N;

(5) Teniendo una autorización adecuada, la autoridad competente A puede obtener los datos no cifrados a partir del texto cifrado (siempre que esta reciba el exponente di del gestor de claves KM y el correspondiente texto cifrado Ci del gestor de datos), con la siguiente fórmula: D = Cidi mod N.

En la realización descrita anteriormente, los datos son cifrados por las fuentes de datos DSi aplicando respectivas claves criptográficas secretas, propias, ei identificadas por el índice i, donde una fuente de datos DSi puede tener un número arbitrario de claves.

Es particularmente preferible elegir números primos como los valores p y q, debido a que, en ese caso, el número de coprimos es conocido (es decir (p-1 )-(q-1)).

Tal como se mencionó en la introducción, el mapeo de pseudónimos puede, asimismo, realizarse aplicando puntos de curvas elípticas (ver, por ejemplo, el artículo "Elliptic curve" de Wikipedia) definidas sobre el campo de números de clases de residuos módulo p (donde p es un número primo). En este contexto, sea la estructura algebraica el conjunto de puntos que satisfacen la ecuación y2 = x3 Ax B mod p, donde x, y, A y B son las clases de residuos del número primo p. En primer lugar, el identificador de entidad no cifrado m tiene que ser asignado a un punto de la curva. Elíjase un punto G de la curva que tenga un orden q que sea lo suficientemente grande como para que los puntos del espacio de mensajes puedan ser asignados a los puntos generados por G aplicando un mapeo biunívoco. (Para todos los puntos de la curva, existe un número q que es el número de adiciones a sí mismo del punto requerido para llegar al punto O en el infinito. El más pequeño de dichos números q proporciona el orden del punto.) Para conseguir esto, se puede aplicar, por ejemplo, el siguiente procedimiento (Aritro Sengupta, Utpal Kumar Ray: “Message mapping and reverse mapping in elliptic curve cryptosystem” (2016)). En los dígitos de orden bajo, la representación binaria de D se completa mediante 8 bits. En la fórmula definida anteriormente de la curva, x se sustituye por el valor así obtenido. Si no existe solución para y, entonces el valor de x se aumenta en uno. Si existe una solución, entonces se ha obtenido un punto M de la estructura algebraica finita definida por la curva. La descripción relacionada con la especificación de los objetivos anteriores se aplica, en este caso, de manera que este punto es proyectado por la i-ésima fuente de datos DSi a otro punto Ci de las curvas aplicando su propia clave criptográfica, seguido por ser proyectado por los mapeadores al punto P utilizado como pseudónimo, de tal modo que los diferentes textos cifrados Ci son asignados al mismo punto P si, y sólo si, el punto M era idéntico.

Dado que la solución basada en estructuras algebraicas que forman un grupo cíclico aditivo funciona de manera análoga a la solución basada en un grupo cíclico multiplicativo, esta no se muestra por separado. Las referencias mostradas en las figuras pueden sustituirse, cuando sea necesario, con las correspondientes operaciones y referencias incluidas en la siguiente descripción. Los valores x, y, A, B y p adaptados para definir la estructura algebraica son definidos por el gestor de claves KM que, asimismo, selecciona el punto G con un orden conocido mayor que la multiplicidad del espacio de mensajes. A continuación, este comparte los datos con las fuentes de datos DSi y el mapeador M. A continuación, se elige aleatoria o arbitrariamente una respectiva clave secreta b, a partir de las clases de residuos mod q, seleccionando valores diferentes de cero y uno.

Para la provisión de datos, el gestor de claves KM selecciona, aleatoria o arbitrariamente, un número ai para la fuente de datos DSi i-ésima, a partir de las clases de residuo mod q, número que será utilizado (después de ser recibido en forma cifrada) por la fuente de datos DSi como una clave criptográfica e = ai. Aplicando la fórmula hi = ai b, este genera la clave de mapeo correspondiente a la fuente de datos DSi. A continuación, la clave se pasa al mapeador M en forma cifrada.

A continuación, la operación de cifrado es realizada por la fuente de datos DSi añadiendo dos puntos: Ci = M©aiG, donde el operador © denota la adición de dos puntos de la curva, y la multiplicación escalar denota adición repetida. El proceso anterior llevado a cabo sobre clases de residuos se modifica solamente en que la operación descrita a continuación se lleva a cabo sobre los puntos de la curva. La siguiente operación es realizada por el mapeador M sobre los datos originados desde la i-ésima fuente de datos: P = Ci©(-hiG), donde el operador unario "-" denota la reflexión de un punto de la curva sobre el eje x. La operación © utilizando dichos valores se denota, en lo que sigue, con el operador ©. Por lo tanto, el pseudónimo P se obtiene mediante la combinación de los dos mapeos:

Por lo tanto, el mismo identificador de entidad D es enviado por cada fuente de datos como un texto cifrado diferente, pero finalmente es asignado al mismo pseudónimo P. Opcionalmente, la coordenada x del punto P puede, asimismo, aplicarse como el pseudónimo.

Puede estar permitido por la legislación, o por las reglas de la comunidad de recopilación de datos y de análisis de datos, que una autoridad A o una autoridad fiable para la comunidad reciba acceso a los datos no cifrados. Dado que no se desea que ni siquiera esta entidad pueda realizar una conexión entre los datos no cifrados y los pseudónimos, preferentemente, se aplican para este propósito textos cifrados originados directamente en las fuentes de datos DSi. Para llevar a cabo la operación de desciframiento se requiere que el gestor de claves KM pase la clave ai a esta entidad sobre un canal de datos cifrado. Los datos cifrados y, asimismo, los datos pseudonimizados pueden ser almacenados, y pasados a las partes autorizadas, por el gestor de claves KM. En este caso, siempre que tenga la autorización legal o el permiso de la comunidad de recopilación de datos requeridos, la autoridad A puede solicitar al mapeador M los datos de texto cifrado requeridos. En posesión de estos datos, los datos no cifrados pueden ser obtenidos realizando el cálculo D = Ci © aiG.

Por lo tanto, para garantizar que poseer algún componente del sistema no es suficiente para permitir el desciframiento de la relación entre el pseudónimo P y el identificador de entidad D, la siguiente conversión de datos es realizada por el sistema de mapeo de pseudónimos según la invención:

- producir, a partir de datos que están disponibles en fuentes de datos DSi y que son adecuados para identificar personas, cosas u otras entidades mediante un nombre característico, es decir, a partir del identificador de entidad D,

- dichos datos pseudonimizados, en los que los identificadores de entidad D son sustituidos por un pseudónimo P asignado a los mismos, de manera biunívoca independiente de la clave criptográfica ei utilizada por la fuente de datos DSi,

de manera que

- aplicando un módulo/medio de cifrado, un elemento b es elegido aleatoria o arbitrariamente por el gestor de claves KM a partir de una estructura algebraica que forma un grupo cíclico multiplicativo o aditivo utilizado por el algoritmo criptográfico (preferentemente, en este caso, se implementa la siguiente funcionalidad mediante el módulo/medio de cifrado: este genera un número aleatorio que puede ser mapeado al espacio de claves aplicando un mapeo adecuado, para seleccionar de entre los elementos del espacio de claves con una probabilidad casi uniforme, es decir, aleatoriamente), y

- desde la misma estructura algebraica, selecciona aleatoria o arbitrariamente, para cada fuente de datos DSi, por lo menos, un elemento ei o ai, que pasa a la fuente de datos DSi de tal modo que puede ser accedido solamente por la fuente de datos DSi particular que lo aplicará como clave criptográfica,

- de manera que los datos no cifrados D son mapeados al texto cifrado Ci, y

- dependiendo de la estructura algebraica, calcula la clave criptográfica inversa multiplicativa o aditiva di o ai del texto cifrado, y

- dependiendo de la estructura algebraica, la multiplica por, o la suma al elemento b, y pasa el elemento hi así obtenido al mapeador M, de manera que este puede ser accedido solamente por el mapeador M,

- mapeador M que, a continuación, utilizará h¡ como una clave criptográfica para mapear datos cifrados por la fuente de datos DSi a un pseudónimo P

y, opcionalmente,

- si se cumplen condiciones definidas fuera del sistema, pasa la clave criptográfica di a la entidad autorizada (es decir, la autoridad A), entidad que

- si se cumplen condiciones definidas fuera del sistema, recibe del mapeador M de la base de datos DB los textos cifrados Ci correspondientes a los datos especificados por dichas condiciones,

- de manera que puede obtener los datos no cifrados D.

El sistema informático para pseudonimización criptográfica, según la invención, comprende

- fuentes de datos DSi que contienen datos relacionados con entidades, identificándose los datos en las fuentes de datos DSi mediante los identificadores de entidad D de las entidades,

- una base de datos pseudonimizada DB, en la que los datos se identifican aplicando respectivos pseudónimos P asignados, de manera biunívoca, a cada uno de los identificadores de entidad D,

- un mapeador M,

- un gestor de claves KM, y

- módulos que implementan las funciones y/o entidades descritas anteriormente, pudiendo los módulos ser hardware, software o módulos de hardware-software combinados.

El gestor de claves KM es, preferentemente, un aparato que comprende un procesador adaptado para ejecutar un programa, y memoria adaptada para proporcionar funciones de escritura, almacenamiento y lectura de datos. El programa ejecutado en el aparato está adaptado para generar los datos requeridos para ejecutar los mapeos, por ejemplo, el exponente modular adaptado para generar un pseudónimo a partir de datos no cifrados y del valor totiente del módulo. El aparato está adaptado para almacenar estos valores, de tal modo que no puedan ser accedidos por nadie más, pero este pueda seguir siendo capaz de realizar cálculos utilizándolos. Además de esto, este puede, asimismo, calcular pares de claves exponentes modulares aplicando los procesos descritos anteriormente, por ejemplo, el algoritmo de Euclides extendido, y de pasar el exponente cifrado a la fuente de datos sobre un canal seguro de datos y calcular el exponente aplicado para mapeo de pseudónimos, pudiendo pasar, asimismo, este último a la entidad que realiza el mapeo, sobre un canal de datos seguro. Todos estos requisitos son cumplidos, por ejemplo, por los circuitos de módulo de plataforma fiable (TPM) mencionados anteriormente.

El mapeador Mj es, preferentemente, un aparato que está adaptado para leer cualesquiera parámetros de entrada de exponenciación modular (base, exponente, módulo), así como de ejecutar la operación y hacer el resultado accesible para lectura. Dicho módulo puede ser implementado, por ejemplo, como un microcontrolador u ordenador de propósito general. Los circuitos TPM cumplen, asimismo, todos los requisitos enumerados anteriormente.

Otro aspecto de la invención es un programa informático que comprende instrucciones que, cuando el programa es ejecutado por un ordenador, hacen que el ordenador lleve a cabo las etapas del procedimiento según la invención. La invención se refiere, además, a un medio legible por ordenador, adaptado para almacenar el programa informático mencionado anteriormente.

La invención se puede aplicar a diversos propósitos; siendo uno de estos el análisis de bases de datos de compra de tarjetas de fidelidad, que involucran múltiples tiendas. Supóngase que una compañía implicada en actividades de análisis de negocio e investigación de mercados prepara un análisis de comportamiento del cliente típico en tiendas minoristas que, a continuación, es comprado por sus clientes. El análisis está dirigido a definir grupos de clientes en base a características tales como los productos comprados, la frecuencia de las compras, la relación entre el tipo y la localización de las tiendas y la estación del año, etc.

Para preparar el análisis, la compañía necesita datos. Además de utilizar datos estadísticos públicamente disponibles, dichas compañías buscan, a menudo, motivar a cadenas de minoristas y tiendas individuales a cooperar entre sí. Para facilitar esto, comparten, por ejemplo, parte de sus resultados de búsqueda con los minoristas, de manera que estos puedan mejorar la eficacia de su publicidad y mejorar su selección de productos. En muchas transacciones de compra en tienda, no se conoce ninguna de las características del cliente. Aunque se pueden utilizar los datos incluidos en el recibo, la única información extra que este proporciona comparada con estadísticas de ventas de productos, es que incluye información sobre productos vendidos durante una única transacción de compra, y la hora y fecha exactas de la misma. Al mismo tiempo, las tiendas pueden ofrecer, asimismo, programas de tarjetas de fidelidad. A menudo, se ofrece a los clientes diversos descuentos para que tomen parte en dichos programas. En el caso de dichas compras, se conoce información personal sobre el cliente y otros datos del mismo, relevantes a efectos analíticos. Dichos datos han sido pasados (con diversos grados de detalle) a compañías de investigación de mercados por algunas de las tiendas (fuentes de datos), si bien, debido a un cambio en la legislación relacionada con la protección de datos personales, esta práctica finalizará pronto. Por lo tanto, el producto más importante de la compañía de investigación de mercados, el “informe del sector minorista” está amenazado. La regulación sobre protección de datos personales imposibilita el negocio anterior, si bien analizar el comportamiento de grupos de clientes no requiere la posesión de datos personales concretos de ninguno de los clientes.

Si aquellos elementos de datos que son aplicables a la identificación personal son, simplemente, eliminados de los datos que pasan las tiendas (excepto, posiblemente, sexo, edad y código postal), entonces se pueden obtener resultados más valiosos en comparación con aquellos basados en recibos de compra, pero la información relacionada con las compras concretas de una determinada persona (anónima) en una determinada tienda se pierde, aunque poseer y procesar dicha información no está prohibido legalmente. Por lo tanto, las tiendas se han involucrado en la utilización de un identificador imaginario, es decir, un pseudónimo, para la identificación de las compras de un determinado cliente. Esto mejora más la capacidad de análisis pero, de este modo, un cliente que realiza compras en diferentes tiendas será tratado como múltiples personas diferentes si el modo de pseudonimización no es uniforme.

Puede surgir la idea de que se puede aplicar a los datos personales (tales como nombre, sexo, fecha de nacimiento y código postal) un mapeo implementado utilizando una denominada función resumen criptográfica “salada”, pero algunos abogados que representan a las tiendas pueden rechazar esta opción debido a que los datos resumen resultantes pueden ser vinculados, mediante la realización de análisis de datos por la entidad, a los datos personales simplemente registrándose como una tienda y compilando una tabla de arco iris, por ejemplo, a partir del registro rectoral. La invención da a conocer una solución a este problema. La implementación de la solución, según la invención, puede comprender un componente de software de servidor que permite que las fuentes de datos DSi reciban la clave criptográfica generada por el gestor de claves KM, sobre un canal de datos cifrado, después de la autenticación en una página web. Se puede disponer una implementación informática de los cálculos realizados por el mapeador M. El servicio de generación de claves y mapeo puede ser activado en un proveedor de servicios en la nube, de tal modo que su funcionamiento no se pueda ver afectado (excepto para iniciarlo y detenerlo) por ninguna de las entidades; esta configuración puede, asimismo, preferentemente, ser auditada. Los factores de mapeo correspondientes a las claves criptográficas de las tiendas son pasados por el gestor de claves KM al mapeador M sobre un canal de datos cifrado, aplicándolos, a continuación, el mapeador M para calcular el pseudónimo P.

De este modo, los textos cifrados generados individualmente por las diferentes tiendas son mapeados al mismo valor por toda la cadena computacional.

Por lo tanto, los análisis pueden ser aplicados para seleccionar clientes que, habitualmente, realizan sus compras en una determinada tienda pero, normalmente, compran un producto particular en algún otro lugar, o en determinados días realizan sus compras en una ubicación diferente poco antes del cierre de la tienda. Estos son elementos valiosos de información que pueden dar soporte a decisiones corporativas. Por ejemplo, es preferible almacenar otra marca de un producto particular, o cerrar una hora más tarde los viernes.

LISTA DE SIGNOS DE REFERENCIA

D identificador de entidad

P pseudónimo

DSi fuentes de datos

M mapeador

KM gestor de claves

di inverso

ei elemento aplicable como clave criptográfica (en una estructura algebraica multiplicativa)

ai elemento aplicable como clave criptográfica (en una estructura algebraica aditiva)

b elemento secreto

Ci identificador de entidad cifrado

hi claves criptográficas de mapeo

DB base de datos

Claims

REIVINDICACIONES

1. Procedimiento criptográfico de mapeo de pseudónimos para un sistema de compartición de datos anónimos, estando adaptado el procedimiento para generar una base de datos (DB) pseudonimizada, a partir de datos relativos a entidades y originados a partir de fuentes de datos (DSi), en el que los datos son identificados en las fuentes de datos (DSi) mediante identificadores de entidad (D) de las respectivas entidades, y en el que los datos son identificados mediante pseudónimos (P) en la base de datos (DB) pseudonimizada,

en el que los pseudónimos (P) son asignados a los respectivos identificadores de entidad (D) aplicando un mapeo biunívoco, independientemente de la fuente de datos de origen, mediante

- aplicar un mapeador (M) y un gestor de claves (KM),

- en el que el gestor de claves (KM) se aplica para

- seleccionar un elemento secreto (b) a partir de una estructura algebraica determinada que constituye un grupo cíclico multiplicativo o aditivo,

- seleccionar, para cada fuente de datos (DSi), un elemento (ei, ai) a aplicar como clave criptográfica por la fuente de datos (DSi) determinada, a partir de la estructura algebraica, y enviarlo a la fuente de datos (DSi) determinada mientras el elemento (ei, ai) se mantiene secreto,

- calcular un inverso (di) del elemento (ei, ai) en la estructura algebraica determinada, y utilizarlo, junto con el elemento secreto (b), para generar una clave criptográfica de mapeo (hi) del mapeador (M), correspondiendo la clave criptográfica de mapeo (hi) a la fuente de datos (DSi) determinada, y enviar la clave criptográfica de mapeo (hi) al mapeador (M) manteniéndola al mismo tiempo secreta y asignada a la fuente de datos (DSi) determinada,

- transformar, mediante la fuente de datos (DSi), cada identificador de entidad (D) a mapear, en un respectivo identificador de entidad cifrado (Ci), utilizando el elemento (ei, ai) a aplicar como clave criptográfica, y - un respectivo pseudónimo (P) es generado por el mapeador (M), para cada identificador de entidad cifrado (Ci), cifrado por la fuente de datos (DSi), utilizando la clave criptográfica de mapeo (hi) correspondiente a la fuente de datos (DSi) particular.

2. Procedimiento, según la reivindicación 1, caracterizado por aplicar una estructura algebraica que constituye un grupo cíclico multiplicativo, en el que los valores seleccionados por el gestor de claves (KM) están representados por clases de residuo módulo N, estructura algebraica para la que las constantes N=p-q, $(N)=(p-1)-(q-1) están predeterminadas, donde p y q son números primos seleccionados aleatoriamente, el elemento secreto (b) es un número primo seleccionado aleatoriamente, y $(N) es el valor de la función de Euler obtenido para N,

- el elemento (ei) a aplicar como la clave criptográfica propia de la fuente de datos (DSi) es seleccionado aleatoriamente por el gestor de claves (KM),

- el gestor de claves (KM) se aplica para calcular el inverso (di) del elemento (ei) a aplicar como clave criptográfica, para el que se cumple la ecuación ei ■ di = 1 mod $(N),

- a continuación, la clave criptográfica de mapeo hi = d-b es generada por el gestor de claves (KM) y enviada al mapeador (M),

- el identificador de entidad cifrado (Ci) es calculado por la fuente de datos (DSi) utilizando la fórmula C¡ = Dei mod N , y

- el pseudónimo (P)

es calculado por el mapeador (M).

3. Procedimiento, según la reivindicación 2, caracterizado por que los números primos seleccionados aleatoriamente p y q pueden ser representados utilizando la mitad del número de bits del tamaño de clave elegido.

4. Procedimiento, según la reivindicación 2, caracterizado por enviar, a una entidad autorizada (A), - mediante el gestor de claves (KM), el inverso (di) del elemento (ei) a aplicar como clave criptográfica, - mediante el mapeador (M), el identificador de entidad cifrado (Ci).

5. Procedimiento, según la reivindicación 1, caracterizado por aplicar una estructura algebraica que constituye un grupo cíclico aditivo, en el que los valores están representados por puntos de curvas elípticas definidas sobre un campo de números de clases residuales módulo p, donde p es un número primo, estructura algebraica para la que las siguientes constantes están predeterminadas: los parámetros A, B de la fórmula y2 = x3 Ax B mod p que define los puntos de una curva elíptica definida sobre las clases de residuos del número primo p, y un punto G de la curva que tiene un orden q que es mayor que el número de identificadores de entidad (D), teniendo un elemento secreto (b) un valor elegido arbitrariamente de entre clases de residuos mod q,

- el gestor de claves (KM) se aplica para seleccionar aleatoriamente, de entre las clases de residuos mod q, un elemento (ai) a aplicar como clave criptográfica mediante la fuente de datos (DSi),

- a continuación, una clave criptográfica de mapeo hi = ai b es generada por el gestor de claves (KM), y enviada al mapeador (M),

- el identificador de entidad cifrado (Ci) es calculado por la fuente de datos (DSi) utilizando la fórmula Ci = M©aiG, donde el operador © es la suma de los puntos de la curva elíptica, y

6. Procedimiento, según la reivindicación 5, caracterizado por pasar, a una entidad autorizada (A), - mediante el gestor de claves (KM), el inverso (di) del elemento (ai) a aplicar como clave criptográfica, y - mediante el mapeador (M), el identificador de entidad cifrado (Ci).

7. Sistema informático adaptado para realizar pseudonimización criptográfica, comprendiendo el sistema: - fuentes de datos (DSi) que comprenden datos mediante los identificadores de entidad (D) de las entidades, - una base de datos (DB) pseudonimizada, en la que los datos están identificados por pseudónimos (P), en el que los pseudónimos (P) son asignados a los respectivos identificadores de entidad (D) aplicando un mapeo biunívoco, independiente de la fuente de datos de origen, y el sistema comprende, además

- un mapeador (M) y un gestor de claves (KM),

- un módulo adaptado para seleccionar, aplicando el gestor de claves (KM), un elemento secreto (b) a partir de una estructura algebraica predeterminada que constituye un grupo cíclico multiplicativo o aditivo, - un módulo adaptado para seleccionar, a partir de la estructura algebraica, aplicando el gestor de claves (KM), para cada fuente de datos (DSi), un elemento (ei, ai) a aplicar como clave criptográfica mediante la fuente de datos (DSi) determinada, y para enviarlo a la fuente de datos (DSi) determinada manteniéndose al mismo tiempo secreto el elemento (ei, ai),

- un módulo adaptado para calcular, aplicando el gestor de claves (KM), un inverso (di) del elemento (ei, ai) en la estructura algebraica determinada, para generar, utilizando dicho inverso (di), junto con el elemento secreto (b), una clave criptográfica de mapeo (hi) del mapeador (M) correspondiente a la fuente de datos (DSi) determinada, y para enviar dicha clave criptográfica de mapeo (hi) al mapeador (M), manteniéndola al mismo tiempo secreta y asignada a la fuente de datos (DSi) determinada,

- un módulo adaptado para transformar, aplicando la fuente de datos (DSi), cada identificador de entidad (D) a mapear, en un respectivo identificador de entidad cifrado (Ci) utilizando el elemento (ei, ai) a aplicar como clave criptográfica, y

- un módulo adaptado para mapear, aplicando el mapeador (M), cada identificador de entidad cifrado (Ci), cifrado por la fuente de datos (DSi) utilizando la clave criptográfica de mapeo (hi) correspondiente a la fuente de datos (DSi) particular, a un respectivo pseudónimo (P).

8. Sistema informático, según la reivindicación 7, caracterizado por que comprende módulos adaptados para llevar a cabo las etapas, según la reivindicación 2 o la reivindicación 5.

9. Programa informático que comprende instrucciones que, cuando el programa es ejecutado por un ordenador, hacen que el ordenador lleve a cabo las etapas del procedimiento, según la reivindicación 1.

10. Medio legible por ordenador, que almacena el programa informático, según la reivindicación 9.