id: Гость   вход   регистрация
текущее время 17:59 28/03/2024
Владелец: unknown (создано 15/01/2011 01:05), редакция от 15/01/2011 12:48 (автор: unknown) Печать
Категории: криптография, анонимность, приватность, инфобезопасность, сеть доверия, алгоритмы, протоколы, аутентификация, разграничение доступа
http://www.pgpru.com/Новости/2011/СозданПрототипПротоколаДляПостроенияПриватныхСоциальныхСетей
создать
просмотр
редакции
ссылки

15.01 // Создан прототип протокола для построения приватных социальных сетей


Emiliano De Cristofaro (кафедра компьютерных наук калифорнийского университета, Ирвин), Mark Manulis и Bertram Poettering (Технический университет и центр углублённого изучения безопасности, Дармштадт, Германия) представили новый криптопримитив приватного раскрытия контактов (Private Contact Discovery — PCD), который позволяет двум пользователям обменяться тайными списками своих контактов и получить в результате обмена только информацию о тех контактах, которые совпадают. При отсутствии совпадения никакой информации получить невозможно, также гарантируется защищённость от перебора контактов, который бы хотел устроить противник с подставным списком (создание такого списка считается невозможным даже при подозрении на наличие определённого контакта).


Этот алгоритм авторы назвали криптопримитивом, так как на его основе можно строить различные протоколы. Но он разумеется не является фундаментальным или атомарным примитивом (как хэш-функция, блочный шифр или асимметричный алгоритм) и является скорее промежуточным звеном, строительным блоком протоколов. Поэтому в публикации его также называют и протоколом.


Так как контакты раскрываются приватным образом, то авторы смогли ввести свойство скрытности контактов и доказали его безопасность в предположении о стойкости RSA и с применением модели случайного оракула (ROM).


Возрастающие объёмы электронного взаимодействия и цифрового контента, свободно распространяемого через интернет, служат мотивом создания эффективных техник увеличения приватности. Одна из интересных проблем, возникает когда два пользователя хотят приватно раскрыть свои взаимные контакты: чтобы это сделать они должны узнать только о совместно используемых контактах.


Представим, например раскрытие взаимных дружеских отношений в социальной сети. Онлайновые социальные сети предоставляют друзьям сервисы по совместному использованию на основе общих интересов, активности, использования фотографий и помогают им строить и отображать социальные отношения. Популярные вебсайты социальных сетей, такие как Facebook, Linkedin, MySpace включают миллионы активных пользователей, которые дают им свой доступ повсеместно — например 150 из 500 миллионов пользователей Facebook пользуются доступом со своих мобильных устройств. Другие проекты, например такие как Nokia Awarenet, позволяют своим пользователям находящимся физически на близких друг к другу расстояниях, осуществлять взаимодействие путём своих мобильных телефонов без использования центрального сервера или интернет-соединения.


Одним из первых шагов к построению отношений в социальной сети является проверка на наличие общих друзей. Рассмотрим следующие сценарии: (1) пользователь социальной сети хочет расширить свою сеть и старается установить дружеские отношения с другими пользователями, с которыми у него есть общие друзья; (2) пользователь мобильного телефона хочет взаимодействовать с пользователями, находящимися на физически близком расстоянии (например в том же баре или на той же улице), установив, что у них есть некоторые общие друзья в социальной сети, такой как Facebook. Критическая проблема в этих сценариях — как раскрыть общих друзей методом, сохраняющим приватность.


Наивное решение потребует от пользователей открыть между собой своих друзей. Ясно, что такое решение не сохраняет приватности пользователей, так как полностью раскрывает и их списки. Другое тривиальное решение состоит в установке центрального сервера (и доверии к нему), который бы находил и выдавал списки общих друзей. Однако, центральный сервер не обязательно может считаться доверяемым или может быть вообще недоступным. К тому же, такой сервер будет знать всё не только о друзьях пользователей, но также кто из пользователей был в друзьях, как, когда и где. Например, в вышеприведённом сценарии (2) пользователи могут желать определить своих общих друзей по социальной сети (например Facebook), но могут быть не соединены с интернетом или захотят действовать самостоятельно вне вебсайта социальной сети.


В порядке защиты приватности встают две фундаментальные проблемы. Сперва нужно предотвратить злонамеренного пользователя от манипулирования своим списком друзей, например умышленным заполнением его наиболее вероятными догадками о друзьях из списка атакуемого пользователя с целью максимизировать объём выясняемой о нём информации или для установления подложного контакта с целью навязывания нежелательных для атакуемого пользователя дружеских отношений. Затем, по мере того, как дружеские отношения меняются со временем, нам потребуется эффективный механизм позволяющий прекратить дружбу (механизм отзыва).


В данной работе авторы ввели понятие приватного раскрытия контактов (PCD), новую общую конструкцию управления пользовательской приватностью, пригодную для взаимодействия не только в социальных сетях, но также и в любых других приложениях, использующих списки персональных контактов. Создан криптографический протокол, позволяющий двум пользователям, Алисе и Бобу передать данные о своих контактных листах на вход, а на выходе получить только список совпадающих контактов (если они есть). Протокол предотвращает навязывание нежелательных дружеских статусов за счёт введения дружеской сертификации. Например для включения Кэрол в свой контакт-лист, Алисе нужно будет получить от Кэрол сертификат, доказывающий её дружбу. Затем, когда Алиса будет взаимодействовать с Бобом, не только входящие данные её контакт-листа будут скрыты от Боба, но также факт владения сертификатами друзей, которые не являются между ними общими (и соответственно также в обратном направлении для Алисы со стороны Боба). Этот протокол не требует никакого доверенного сервера, никакой специфической сетевой инфраструктуры и может быть использован как в централизованных, так и в децентрализованных средах.

Непригодность родственных концепций


Проблема приватного раскрытия контактов приводит к некоторому сходству с множеством криптографических конструкций. Авторы рассматривают и обсуждают, почему они непригодны для решения поставленной проблемы.


Приватное пересечение множеств, Private Set Intersection (PSI). PSI-техники позволяют двум сторонам вычислить пересечение своих множеств так, что они не узнают ничего кроме этого пересечения (и размера множеств). Одно из допущений, подразумеваемых в PSI состоит в том, что стороны не манипулируют входящими данными в своих множествах. Следует отметить, что такое допущение приходит на ум не только в связи с наличием "любопытного, но честного" атакующего, но и с произвольно злонамеренным противником. Другими словами, начальные входные данные подразумеваются верными — это нереалистичное допущение в случае рассматриваемого здесь приложения.


Авторизованное приватное пересечение множеств (APSI). Здесь входные данные проверяются уполномоченным центром сертификации (CA), что лишает пользователей приватности перед ним. И хотя возможен вариант, когда центр заверяет лишь пользовательские сертификаты, а дальше пользователи сами выступают в роли CA, здесь есть возможность для злоупотреблений (выдача фальшивых сертификатов). Фактически всё сводится к системе подписей и протокол даёт только выход совпадающих элементов множеств, но не обеспечивает целей приватного раскрытия контактов.


Аутентификация на основе скрытого членства, Affiliation-Hiding Authentication (AHA). Такие протоколы называют также протоколами секретных рукопожатий. Они основаны на использовании групповых сертификатов сторон. Также есть варианты протоколов на основе множественных групповых уполномоченных (GA). Тогда каждый пользователь может быть групповым уполномоченным и выпускать удостоверения дружеской сертификации. Для того, чтобы проверить общие контакты, два пользователя запускают AHA-протокол для своих удостоверений. Но это всё имеет смысл только, если групповые уполномоченные (GA) честны и может использоваться для создания приватных связей внутри доверенного сообщества (доверие внутри доверенной GA-среды, доверие обеспечиваемое внешними средствами). В социальной сети такого изначального доверия нет. В одной из AHA-схем для получения удостоверений от GA, пользователи должны сдать свои секретные ключи. Эти ключи не принадлежат специфической группе и действительны для всех из них. Если Ева сертифицирует Боба как своего друга, то она получит его секретные ключи и сможет представляться Бобом, чтобы протестировать свои предположения о его дружеских отношениях с другими пользователями.


Друзья друзей, Friend-of-Friend (FoF). Фон Арб и другие представили мобильную платформу социальной сети для установления отношений между физически близко находящимися лицами. Основу FoF составляет вышеупомянутая техника PSI, но авторы попытались исправить недостатки её приватности за счёт использования хэширования, симметричного шифрования и билинейных отображений. Проблемы FoF заключаются в том, что симметричное шифрование позволяет злонамеренным пользователям передавать аттестацию другим пользователям, а число операций на затратные билинейные отображения растёт квадратично.


Некриптографические техники. Разные исследователи пытались компенсировать слабые криптографические свойства другими техниками: использованием случайных обходов для раскрытия сообществ в графах больших социальных сетей, динамическую идентификацмю ядра сообществ (множества субъектов, которые совершают наиболее частые и консистентные взаимодействия), создание моделей по идентификации определённых социальных структур по семейным кругам и моделям социальных отношений.


Авторы данной работы построили самодостаточный криптографический протокол (CDS, Contact Discovery Protocol), который может рассматриваться как примитив для построения более развитых протоколов, решающих поставленную задачу. С подробностями его дизайна можно познакомиться в публикации.

Производительность протокола


Исследователи создали тестовую реализацию своего протокола и проверили на одноядерном процессоре Intel XEON, AMD NEO (используется в нетбуках), а также ARMv7 (часто встречается в смартфонах). При использовании уровня симметричной стойкости 80-бит, и асимметричной в размере 1024 бит RSA, протокол выполняется за 1 секунду даже при контакт-листах, содержащих свыше ста друзей, а на смартфонах Nokia N900 за 4 секунды для 70 контактов. Ситуация будет ещё лучше с появлением смартфонов с более мощными процессорами, такими как на уже существующем iPhone 4G. При этом пользователь посылает и отправляет порядка 71KB трафика для выполнения протокола с контакт-листом из 70 строк.

Безопасность протокола


Авторы показывают только ограниченную безопасность протокола. Он безопасен между двумя сторонами (безопасное сокрытие контактов), но при частом выполнении происходит утечка определённых данных стороне, которая может прослушивать все коммуникации (отсутствие несвязываемости). Поэтому выполнение протокола рекомендуется осуществлять внутри уже аутентифицированных и шифрованных каналов. Авторы не указывают, насколько желательно, чтобы эти каналы были ещё и анонимными. Вопрос о том, можно ли сделать протокол несвязываемым сам по себе, сохранив незначительный расход ресурсов на вычисления, авторы оставляют открытым.


Свойство безопасности протокола в рамках двух сторон против раскрытия контактов формулируется в выводах работы буквально следующим образом.


Теорема о безопасности сокрытия контактов: Протокол CDS является CH-стойким при предположении о стойкости RSA с корректными модулями в рамках модели случайного оракула (ROM).

Заключение


Данная работа показывает важность и вносит понятие приватного раскрытия контактов. Для её решения предложено эффективное и доказуемо безопасное решение. В процессе создания протокола авторы столкнулись с трудностями решения проблем произвольного расширения контакт-листов и применили RSA подписи с хэшированием полной области совместно с ранее известным примитивом IHME. Была показана практическая возможность разворачивания протокола в реальных условиях на мобильных устройствах.


Приватное раскрытие контактов — это инструмент для множества приложений совместной работы, включая социальные сети. Поскольку в данной работе предпринята только первая попытка введения PCD, многое ещё осталось неисследованным. В первую очередь, авторы предполагают расширить свои исследования в области приватного раскрытия сообществ: например два пользователя с близко находящимися смартфонами могут приватным образом узнавать, не принадлежат ли они к одному социальному сообществу. Пользователи могут получать цифровые удостоверения от управляющих сообществом и исполнять схему раскрытия контактов для приватного определения совместного членства.


Также авторы оставляют в своих планах решения проблемы приватного раскрытия контактов i-той степени и клик. Пока что это считается невозможным без доверенной третьей стороны.


Источник: Cryptology ePrint Archive


 
Несколько комментариев (7) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3