Способ анонимной биометрической регистрации человека

Изобретение относится к технике защиты врачебной тайны при ведении обезличенных электронных историй болезни. Изобретение может быть использовано для защиты персональных данных граждан при обеспечении их социальной помощью. Кроме того, изобретение может быть использовано в судебном делопроизводстве при защите свидетелей, а также в системах электронного голосования.

Известен простейший способ регистрации пациента [1] путем занесения в пропуск больного его биометрических данных и фотографии, а также занесения персональных данных (имени, отчества, фамилии, номера пропуска) в электронную историю болезни (п.10 формулы). Такой способ недопустим, например, в случаях регистрации больных социально значимыми заболеваниями (СПИД, венерические болезни), так как не обеспечивает анонимности больного и нарушает требования закона РФ «О персональных данных».

Известен способ биометрической регистрации человека [2], по которому снимают несколько примеров биометрического образа человека (например, два-три рисунка отпечатка пальца), затем формируют биометрический шаблон человека (например, в форме списка координат особых точек рисунка отпечатка пальца). Далее хранят этот список и сравнивают с ним особые точки предъявленного биометрического образа. По этому способу сравнения и по такому способу регистрации организованы практически все современные средства биометрической идентификации. Эта технология вполне может быть использована в биометрических системах полицейского контроля (например, в системе паспортно-визовых документов нового поколения), однако их использование в гражданских биометрических приложениях, обеспечивающих анонимность пользователя, нежелательно.

Формирование биометрического шаблона не обеспечивает анонимности регистрируемого человека, что является принципиальным недостатком большинства биометрических технологий и их систем регистрации биометрических данных. Обладая программной биометрической защитой данных некоторого человека, злоумышленник всегда может извлечь из нее биометрический шаблон и по нему найти самого человека или множество лиц с близкими биометрическими образами. Предположительно, что в будущем организованными преступными сообществами будут созданы (похищены) большие базы биометрических образов, используя которые любой злоумышленник сможет дезавуировать анонимность зарегистрированного в той или иной системе человека. У всех современных производителей биометрических средств с классическими решающими правилами анонимность не может быть обеспечена биометрическими шаблонами:

- рисунка отпечатка пальца;

- радужной оболочки глаза;

- рукописного автографа человека;

- геометрии ладони человека;

- геометрии ушной раковины человека;

- геометрии лица человека;

- ……………………………………………;

выполненными по требованиям международных биометрических стандартов и в том числе с использованием спецификации BioAPI. Все международные биометрические стандарты ISO/IEC JTC1 CS37 создавались без учета высоких требований к анонимности и конфиденциальности биометрических данных, характерных для гражданских приложений. Подкомитет по международной стандартизации ISO/IEC JTC1 CS27, отвечающий за информационную безопасность биометрических приложений, пока не создал соответствующих международных стандартов.

Известен способ анонимной парольной регистрации человека [3], по которому человек (например, при регистрации в операционных системах DOS, Windows или Linux) выбирает себе вымышленное имя (логин) и выбирает себе пароль. Логин является открытой информацией, а пароль является конфиденциальной информацией. Регистрация пользователя заключается в вычислении хэшфункции логина и пароля с последующим запоминанием логина и вычисленной хэшфункции.

Основным недостатком этого способа является то, что короткие пароли легко подбираются злоумышленником, а длинный пароль трудно запомнить регистрируемому человеку. Кроме того, короткий пароль регистрируемый человек может умышленно передать другому человеку.

Этот недостаток исключается способом, рекомендуемым ГОСТ Р 52633-2006 [4, см. п.5.1 и рис.1 стандарта]. По этому способу необходимо создать длинный пароль (код доступа), задать связи нейронной сети, снять несколько примеров биометрического образа человека, обучить нейронную сеть способности преобразовывать биометрический образ регистрируемого человека в длинный пароль (код доступа) [4, смотри п.6 - требования к обучению].

Недостатком способа регистрации является то, что длинный код доступа (секретный ключ) необходимо безопасно транспортировать в территориально распределенной информационной системе, кроме того, отсутствует механизм безопасного и достоверного дезавуирования анонимности зарегистрированного человека. Еще одним недостатком является то, что идентифицировать человека могут только люди (устройства), знающие код доступа проверяемого. Возникает противоречие, по которому, с одной стороны, код доступа (пароль) должны знать многие люди, которым в будущем потребуется идентифицировать человека, а с другой стороны, код доступа (пароль) следует хранить в тайне.

Проблему биометрической идентификации человека множеством других людей решает способ [5]. По этому способу идентификация осуществляется путем сравнения кода на выходе нейросети с кодом строки букв в документе идентифицируемого человека, например с кодом фамилии, имени и отчества проверяемого. Если биометрический образ идентифицируемого человека порождает на выходе нейронной сети его фамилию, имя и отчество, то этот человек действительно является владельцем документа. Способ [5] предполагает регистрацию человека в виде обучения его нейронной сети давать на ее выходах код однозначно, соответствующий хорошо читаемой и понимаемой другими людьми строке символов из документа. При этом идентифицировать человека может любой другой человек, у кого в руках оказывается документ проверяемого.

Основным недостатком способа [5] и его регистрации является то, что они вообще не обеспечивают анонимности идентифицируемого человека.

Задачу обеспечения анонимности решает один из вариантов второго способа регистрации, полностью реализующий требования ГОСТ Р 52633-2006 [6], по которому в территориально распределенной системе осуществляют безопасный транспорт ключей шифрования (ключей идентификации и аутентификации, построенных на процедурах шифрования). По этому способу создают случайный секретный ключ, размещают его в нескольких нейронных сетях разных абонентов связи и пересылают этим абонентам таблицы связей и параметров их личных обученных нейронных сетей. При этом каждый абонент безопасно получает общий секретный ключ шифрования и может извлечь его из своей нейронной сети, предъявив на ее входы параметры своего биометрического образа.

Недостатком способа биометрической регистрации по способу [6] является то, что идентифицировать человека может только тот, кто знает его секретный ключ. Это сильно ограничивает возможности идентификации, которая может быть реализована на регистрации, построенной на основе способа [6]. По способу [6] могут осуществлять взаимную идентификацию только люди, принадлежащие к малочисленной доверенной группе, кому были присланы их личные нейронные сети с общим секретным ключом связи или взаимной идентификации/аутентификации.

Принципиально важным недостатком регистрации для реализации способа [6] является невозможность достоверного дезавуирования анонимности зарегистрированного человека. Если в малочисленной группе доверенных лиц люди не знают друг друга, то они по своей инициативе не могут безопасно дезавуировать свою анонимность.

Технической целью предлагаемого изобретения является решение проблемы безопасной биометрической регистрации людей, сохраняющей высокий уровень конфиденциальности биометрических параметров пользователя и обеспечивающей высокий уровень анонимности человека при условии сохранения возможности дезавуирования анонимности человека по его желанию или в силу требования действующего в России законодательства.

Поставленная цель достигается тем, что при самой регистрации в место одного биометрического образа используют два разных биометрических образа и снимают примеры первого и второго биометрических образов регистрируемого человека без присутствия сторонних людей. Кроме того, вместо одного ключа, как у аналогов и прототипа, используют пару ключей: открытый и личный ключ. Создают пару ключей и обучают две нейронные сети. Первую нейронную сеть обучают воспроизводить на ее выходе открытый ключ регистрируемого человека при предъявлении на ее входы первого биометрического образа этого человека. Вторую нейронную сеть обучают на втором биометрическом образе воспроизводить второй личный ключ регистрируемого человека.

После обучения нейронных сетей примеры использованных при обучении биометрических образов человека уничтожают, кроме того, также уничтожают и личный ключ регистрируемого человека. Таблицы связей первой и второй обученных нейронных сетей и таблицы параметров этих связей хранят в совокупности с открытым ключом регистрируемого человека, кроме того, дополнительно фиксируют время и место регистрации, охватывая все данные электронной цифровой подписью автомата регистации. Дополнительно регистрируемый человек подписывает свой открытый ключ и таблицы ранее обученной нейронной сети своей электронной цифровой подписью. Свою электронную цифровую подпись регистрируемый формирует сам своим личным ключом, который получает через предъявление второй нейронной сети своего второго биометрического образа. Далее переходят ко второй стадии регистрации, осуществляемой под контролем проверяющего человека и отраженной во второй части формулы изобретения. О правильности выполнения первого этапа регистрации судят по верности электронной цифровой подписи под данными регистрационного автомата и регистрируемого человека.

По второй части формулы предложенного способа к месту регистрации заранее доставляют сертификаты открытых ключей лиц или устройств, способных быть гарантами сохранения анонимности регистрируемого человека (сертификаты могут быть доставлены как самим регистрируемым, так и органом регистрации).

Под контролем проверяющего человека регистрируемый человек доказывает свое умение воспроизводить открытый ключ, предъявляя первой обученной нейронной сети свой первый биометрический образ. Проверку регистрируемого осуществляют автоматически, не показывая проверяющему открытый ключ регистрируемого. Далее под контролем проверяющего человека вводят персональные данные регистрируемого, дополняя ими открытый ключ регистрируемого человека, например считывая их с паспорта регистрируемого человека или из иного достоверного источника (документа).

По предложенному способу регистрируемому человеку предоставляют право выбирать себе гаранта обеспечения его анонимности (например, врача, адвоката, нотариуса, доверенный центр). После выбора гаранта осуществляют проверку сертификата его открытого ключа и наличия в сертификате сведений об оказании услуги по сохранению анонимности, предоставляемой гарантом. Проверка подлинности сертификата и открытого ключа в нем осуществляется по открытому ключу центра сертификации, ранее выдавшему сертификат гаранта. В случае подлинности ключа и наличия полномочий использовать его для обеспечения анонимности, осуществляют шифрование на этом открытом ключе гаранта конфиденциальных персональных данных регистрируемого. Далее хранят вместе: шифрограмму, открытый ключ регистрируемого человека, открытый ключ гаранта анонимности, его имя и адрес. Самому гаранту шифрограмма персональных данных передается только в случаях, предусмотренных законодательством.

При больших объемах персональных данных регистрируемого человека он предъявляет второй нейронной сети свой второй биометрический образ и получает на ее выходах свой личный ключ, далее вырабатывает общий секретный ключ гаранта анонимности и регистрируемого. На общем секретном ключе шифруют персональные данные регистрируемого. Общий секретный ключ регистрируемого и гаранта анонимности вырабатывают, используя личный ключ регистрируемого человека и открытый ключ гаранта его анонимности по принятому в асимметричной криптографии правилу Диффи-Хелмана [3]. После шифрования персональных данных регистрируемый человек подписывает шифрограмму своей электронной цифровой подписью. Далее проверяют ЭЦП регистрируемого, и в случае ее верности персональные данные регистрируемого и его личный ключ уничтожают. Далее хранят только открытый ключ зарегистрированного, шифрограмму его персональных данных, открытый ключ, имя и адрес гаранта анонимности. Шифротекст персональных данных зарегистрированного передают гаранту анонимности только в случаях, предусмотренных законодательством.

Поставленная цель по предложенному способу регистрации по п.1 формулы достигается тем, что зарегистрированный человек оказывается способен анонимно доказать свою идентичность, предъявив автомату с первой нейронной сетью свой первый биометрический образ. При этом на выходе первой обученной нейронной сети появится его открытый ключ, что и является доказательством его идентичности. При этом само имя человека оказывается неизвестным, так как его примеры биометрических образов и его персональные данные уничтожены при регистрации. Кроме того, зарегистрированный человек может осуществлять некоторые действия в информационном пространстве, которые никто кроме него не может воспроизвести. Например, зарегистрированный больной сможет подтверждать передачу ему дорогостоящих лекарств, формируя за их получение электронную расписку и подписывая ее своей электронной цифровой подписью, созданной на его личном ключе, полученном на выходах второй нейронной сети после предъявления ей второго биометрического образа.

Положительным техническим эффектом реализации предложенного способа регистрации по п.2 формулы является то, что в случаях, установленных законодательством Российской Федерации, анонимность больного может быть дезавуирована в заранее установленном порядке. Для этой цели органы правопорядка обращаются к выбранному при регистрации пользователем гаранту его анонимности. Органы правопорядка передают гаранту шифротекст персональных данных и открытый ключ анонима. Гарант анонимности убеждается в законности требований органов правопорядка и после этого расшифровывает для них шифротекст, используя свой личный ключ.

Совокупным техническим эффектом является то, что больные социально значимыми заболеваниями получают гарантию их анонимности при лечении. Врачи, лечащие анонимных больных, получают гарантию того, что больной не сможет злоупотребить своей анонимностью и попросить здорового сдать за него анализы. Предположительно, все технологически значимые точки процесса лечения должны быть оснащены оборудованием, способным автоматически высокодостоверно узнавать ранее зарегистрированного больного без риска компрометации его анонимности.

Рассмотрим более подробно пример технической реализации предложенного способа регистрации в медицинском учреждении, ориентированном на оказание медицинской помощи больным социально значимыми заболеваниями (СПИД, венерические болезни). Больные такими заболеваниями, обычно, опасаются доверять сохранение своей анонимности медицинскому персоналу государственной системы здравоохранения, обращаются к частным врачам (иногда не имеющим законченного медицинского образования и лицензии), что увеличивает риск заражения окружающих, появления осложнений из-за плохой медицинской помощи.

По преложенному способу обратившийся в медицинское учреждение больной при регистрации получает (создает генератором случайных чисел) два ключа (открытый и личный ключ). Для обучения первой нейронной сети больной предъявляет несколько примеров своего отпечатка пальца (например, указательного пальца правой руки). Далее запускают автомат обучения нейронной сети, который обучает первую нейронную сеть таким образом, чтобы предъявление указательного пальца регистрируемого человека порождало на выходе первой нейронной сети код открытого ключа регистрируемого человека. Далее проверяют способность человека воспроизводить свой открытый ключ через предъявление первой нейронной сети параметров рисунка отпечатка указательного пальца регистрируемого. В случае совпадения открытого ключа на выходе нейронной сети с действительным открытым ключом сохраняют сам открытый ключ и таблицы описания и связей уже обученной первой нейронной сети.

Кроме того, регистрируемый предъявляет несколько примеров своего рукописного пароля и запускает автомат обучения второй нейронной сети, который обучает вторую нейронную сеть таким образом, чтобы предъявление примеров рукописного пароля регистрируемого порождали на выходе второй нейронной сети код личного ключа регистрируемого человека. После этого фиксируют время и место регистрации, охватывают все данные электронной цифровой подписью автомата регистрации и электронной цифровой подписью регистрируемого. Под своим открытым ключом, таблицами связей и весов этих связей двух обученных нейронных сетей регистрируемый человек формирует свою ЭЦП своим личным ключом, который получает сам через предъявление второй нейронной сети своего второго биометрического образа. После создания первой и второй ЭЦП проверяют вторую электронную цифровую подпись регистрируемого по его открытому ключу, при правильности ЭЦП регистрируемого все примеры биометрических образов человека уничтожают, также уничтожают личный ключ регистрируемого человека. В итоге такой регистрации программное обеспечение системы регистрации не хранит ни примеры первого и второго биометрических образов, ни личный ключ регистрируемого. Сохраняется только безопасная информация в форме таблиц обученных первой и второй нейронных сетей и открытого ключа зарегистрированного человека, которые подписаны ЭЦП автомата регистрации и ЭЦП самого регистрируемого.

Положительным техническим эффектом рассмотренной выше регистрации является то, что зарегистрированный человек может доказать свою идентичность, гарантированно сохраняя свою анонимность. Соответственно потенциальный больной социально значимым заболеванием может, не опасаясь, регистрироваться в медицинском учреждении, например, для сдачи тестовых анализов на наличие у него заболевания.

После проверки принятой у больного биологической пробы получают положительный или отрицательный результат анализа. Пришедший за результатом анализа человек подтверждает, что это именно его анализ, предъявив автомату проверки свой первый биометрический образ. Если при этом на выходе первой нейронной сети появляется открытый ключ заявителя анонима, то его идентификация положительна, и это именно тот, кто ранее сдал биологическую пробу.

В случае отрицательного результата анализа биологической пробы (зарегистрированный здоров) обратившийся за помощью человек может раскрыть свою анонимность и получить справку о своем здоровье на свое подлинное имя.

В случае положительного результата анализа биологической пробы (зарегистрированный болен) обратившийся за помощью человек должен начать анонимное лечение. Ему предлагается анонимно зарегистрировать свои персональные данные, для этой цели он должен выбрать гаранта своей анонимности (врача, адвоката, нотариуса, центр сохранения анонимности). Если гаранты анонимности заранее известны в лечебном учреждении, то там имеется заранее доставленные сертификаты их открытых ключей с пометками о возможности их использования при обеспечении гарантий анонимности.

В этом случае регистрируемый человек выбирает себе гаранта. Далее проверяющий его сотрудник медучреждения убеждается в том, что перед ним находится человек, способный воспроизводить открытый ключ анонима, предъявив на входы нейросети параметры своего первого биометрического образа (отпечатка пальца). Проверка осуществляется автоматически, и проверяющий, по предложенному способу, не может видеть самого открытого ключа проверяющего. Открытый ключ регистрируемого на втором этапе регистрации сохраняют в тайне от окружающих. Проверяющий видит только результат проверки, например зеленый свет светофора на экране компьютера.

Далее проверяющий регистрирует паспортные данные больного (имя, отчество, фамилию, дату рождения, место рождения, адрес проживания, номер паспорта и социальной страховки). Если данных мало, то их шифруют на открытом ключе гаранта анонимности, и шифротекст далее сохраняют, не пересылая гаранту анонимности вместе с другими данными о зарегистрированном. Сами персональные данные уничтожают. После их уничтожения восстановить персональные данные человека из шифротекста может только гарант анонимности с помощью своего личного ключа. Шифротекст передают гаранту анонимности только в случаях, предусмотренных законом, например больной уличен в умышленном заражении других людей. Гарант анонимности перед ее раскрытием должен убедиться в весомости предъявленных гражданину обвинений и законности требований правоохранительных органов.

В случае шифрования значительных объемов персональной информации (объем информации много больше 512 бит) для шифрования используют общий секретный ключ больного и гаранта его анонимности. Персональные данные больного шифруют на общем секретном ключе зарегистрированного человека и его гаранта анонимности. Для выработки общего секретного ключа используют обычную процедуру асимметричной криптографии Диффи-Хелмана [3, см. 13.1 стр.300. Шифрование с использованием открытых ключей], то есть применяют личный ключ зарегистрированного и открытый ключ гаранта анонимности. Для этой цели зарегистрированный предъявляет свой рукописный пароль, получает свой личный ключ, далее получает общий с гарантом анонимности секретный ключ и уже на нем шифрует свои персональные данные. Далее шифротекст данных регистрируемый подписывает своей электронной цифровой подписью, после этого проверяют верность этой электронной цифровой подписи по открытому ключу регистрируемого. В случае верности ЭЦП регистрируемого открытые персональные данные регистрируемого и его личный ключ уничтожают, а шифротекст персональных данных хранят совместно с открытым ключом зарегистрированного больного и открытым ключом его гаранта анонимности, именем и адресом гаранта.

В случаях, предусмотренных законом, при снятии анонимности больного, шифротекст передается гаранту анонимности, который, имея открытый ключ больного и свой личный ключ, способен выработать общий секретный ключ больного и гаранта анонимности и расшифровать персональные данные больного.

Положительным техническим эффектом реализации описанного выше способа является то, что медицинский персонал не имеет возможности скомпрометировать анонимность больного. Только сам больной может ее раскрыть в случае необходимости. Для дезавуирования анонимности больного без его ведома по закону требуется официальное ходатайство правоохранительных органов на получение шифротекста его персональных данных, хранящихся в медучереждении, и добровольное сотрудничество с органами гаранта анонимности.

Вместе с тем, медицинский персонал все же имеет возможность выполнять свои функции, лечить больного, проверять его идентичность, вести обезличенную (анонимную) электронную историю болезни, выписывать рецепты на лекарства.

Больной имеет гарантию сохранения своей анонимности и в то же время может в любой момент подтвердить свою идентичность в аптеке или больнице, в органах социального обеспечения. Более того, больной может формировать свою электронную цифровую подпись под расписками в получении лекарств и другими юридически значимыми документами. Это позволит поднять уровень учетности дорогих лекарств, используемых при лечении социально значимых заболеваний (например, при лечении последних стадий ВИЧ-инфекции). В целом, система обеспечения анонимной биометрической идентификации, выполненная по предложенному способу анонимной регистрации, должна увеличить уровень обеспечения анонимности больных различными типами заболеваний и повысить их уровень доверия к государственным и негосударственным медицинским учреждениям, оснащенным новой технологией.

Следует заметить, что предложенный способ анонимной биометрической регистрации может еще быть использован в правосудии при защите свидетелей, в органах социального обеспечения, в электронных системах голосования. Во всех этих системах необходимо обеспечение анонимности гражданина в совокупности с его надежной идентификацией, исключающей подмену одного человека другим по сговору или вопреки воли подменяемого.

ЛИТЕРАТУРА

1. Способ обслуживания пациентов в автоматизированной системе медицинского обслуживания и страхования "ИСМОС 2100" - заявка на патент РФ №2003106438/09, заявитель Калиновский Георгий Иванович (RU), 117404, Москва, М-405, Варшавское ш. 143, корп.1, кв.110, Э.В.Борисову, опубликовано 2004.09.27.

2. Болл Руд и др. Руководство по биометрии. / Болл Руд, Коннел Джонатан X., Панканти Шарат, Ратха Налини К., Сеньор Эндрю У. // М.: Техносфера, 2007. - 368 с.

3. Смит Ричард Э. Аутентификация: от паролей до открытых ключей. - М: Вильямс, 2002 г., 424 с.

4. ГОСТ Р 52633-2006 «Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации».

5. Патент РФ №2292079, «Способ идентификации человека по его биометрическому образу», приоритет 02.02.2005, заявка №2005102541, заявитель ФГУП «Пензенский научно-исследовательский электротехнический институт», авторы: Ефимов О.В., Иванов А.И., Фунтиков В.А.

6. Патент РФ №2273877, «Способ распределения ключей в большой территориально разнесенной системе», заявка №2004124971, приоритет от 16.08.2004, заявитель ФГУП «Пензенский научно-исследовательский электротехнический институт», авторы Ефимов О.В., Иванов А.И., Фунтиков В.А.

1. Способ анонимной биометрической регистрации человека, состоящий в многократном снятии примеров биометрического образа человека без свидетелей, задании при регистрации личного ключа, задании связей искусственной нейронной сети с последующим обучением искусственной нейронной сети воспроизводить личный ключ при предъявлении обученной искусственной нейронной сети примера биометрического образа человека, уничтожении примеров биометрического образа регистрируемого человека, запоминании таблиц связей и параметров обученной искусственной нейронной сети, отличающийся тем, что при регистрации человека создают открытый ключ, многократно снимают примеры еще одного биометрического образа человека, задают связи еще одной искусственной нейронной сети, далее каждую из искусственных нейронных сетей обучают на примерах соответствующего биометрического образа человека, причем обучение искусственных нейронных сетей ведут таким образом, чтобы первая искусственная нейронная сеть при предъявлении первого биометрического образа выдавала открытый ключ регистрируемого человека, а вторая искусственная нейронная сеть при предъявлении второго биометрического образа выдавала личный ключ регистрируемого человека, после этого запоминают таблицы связей и параметров первой и второй обученных искусственных нейронных сетей в совокупности с открытым ключом регистрируемого человека и дополнительно фиксируют время и место регистрации, подписывают эти данные электронной цифровой подписью автомата регистрации и электронной цифровой подписью регистрируемого, который ее формирует своим личным ключом, который получает сам регистрируемый через предъявление второй нейронной сети своего второго биометрического образа, далее проверяют электронную цифровую подпись регистрируемого, при правильности ее все примеры биометрических образов человека уничтожают, также уничтожают личный ключ регистрируемого человека.

2. Способ по п.1, отличающийся тем, что при регистрации персональных данных человека выполняют проверку способности воспроизведения им открытого ключа на выходе первой искусственной нейронной сети, далее вводят персональные данные регистрируемого, дополняя ими открытый ключ регистрируемого человека, осуществляют шифрование на открытом ключе выбранного регистрируемым человеком гаранта анонимности персональных данных человека либо при больших объемах персональных данных регистрируемый предъявляет свой второй биометрический образ второй нейронной сети для получения на ее выходах своего личного ключа, далее вырабатывают общий секретный ключ регистрируемого и гаранта анонимности на личном ключе регистрируемого и открытом ключе гаранта анонимности и шифруют на этом общем секретном ключе персональные данные регистрируемого, далее регистрируемый подписывает своей электронной цифровой подписью шифрограмму, далее проверяют эту электронную цифровую подпись, при положительном результате проверки электронной цифровой подписи регистрируемого персональные данные регистрируемого и его личный ключ уничтожают, зашифрованные данные хранят в совокупности с открытым ключом регистрируемого человека, именем, адресом и открытым ключом гаранта анонимности, которому шифротекст может быть представлен только в случаях, установленных законом.