Coraz więcej prywatnych danych jest przechowywanych w Sieci. Jednocześnie rosną zagrożenia – hakerzy stają się coraz lepsi w atakach wymierzonych przeciwko serwisom internetowym i bazom danych ich użytkowników. Phishing to już cały przemysł, pozwalający na skuteczne pozyskiwanie danych personalnych, haseł czy numerów kart kredytowych. Im więcej informacji o nas pozostaje w nie do końca bezpiecznych miejscach, tym sytuacja jest gorsza.

Większość tych serwisów wcale nie potrzebuje tych wszystkich informacji. Internetowy sklep z muzyką wcale nie musi wiedzieć, jak się nazywamy i gdzie mieszkamy. Jedyne co powinien znać, to dane związane z przeprowadzoną transakcją – to czy użytkownik o danym identyfikatorze zapłacił za nagranie, które zamówił. W przeciwnym wypadku nasze dane mogą posłużyć nie tylko cyberprzestępcom, ale też sprytnym marketerom, budującym z fragmentów informacji nasz portret jako konsumenta w Sieci.

Nie wszystkim odpowiada taki stan rzeczy, co więcej, nie są to tylko teoretyczne obawy: według serwisu IDtheftcenter.com, w 2009 roku doszło do nieuprawnionego ujawnienia 222 milionów rekordów z baz danych. Wiele z nich zaszło w sektorze bankowym i instytucjach rządowych, które mogą mieć uzasadnione powody do posiadania naszych danych. Jednak ponad połowa z nich wyciekła z prywatnych firm handlowych, które posiadały je tylko dlatego, że nie miały innej możliwości weryfikacji tożsamości klienta.

Rozwiązaniem tych problemów może framework U-Prove, który wydany został właśnie przez Microsoft jako Community Technology Preview. Powstał on jako projekt badawczy znanego kryptografa, dra Stefana Brandsa – i służy do bezpiecznej wymiany informacji między potrzebującymi jej stronami, z zachowaniem daleko idącej wstrzemięźliwości co do tego, co zostaje ujawnione.

U-Prove generuje bezpieczne jednorazowe tokeny ID, które zawierają tylko te informacje, które są potrzebne dla zrealizowania danego zadania. Dzięki silnemu szyfrowaniu tokeny te nie mogą być sfałszowne, ponownie wykorzystane, nie można za ich pomocą wyśledzić użytkownika, ani powiązać ich z innymi wydanymi przez niego tokenami.