id: Гость   вход   регистрация
текущее время 12:37 07/12/2019
Владелец: unknown (создано 17/05/2010 11:42), редакция от 10/06/2010 21:18 (автор: unknown) Печать
Категории: анонимность
создать
просмотр
редакции
ссылки

1.1 Терминология


До количественного определения анонимности, сначала требовалось множество рабочих определений анонимности и других связанных концепцмй, таких как несвязываемость (unlinkability) или ненаблюдаемость (unobservability).


В [157] Пфитцман и Хансен1 предложили множество рабочих определений анонимности, несвязываемости, ненаблюдаемости и псевдонимности. Эти определения впоследствии были адаптированы в большинстве литературы по анонимности. Их авторы продолжали получать регулярные обновления, основываясь на подтверждающих материалах, возвращаемых им сообществом2. Есть множество других публикаций, излагающих классификации коммуникационной анонимности, какие-то более ранние, какие-то более поздние, многие использовали некоторый формальный язык с соответствующей логикой или формальными методами анализа [100, 108, 159, 166, 185], или возникшие под влиянием формализации, основанной на неразличимости и терминологии Пфитцмана и Хансена, также как и на основании друга друга. Нижеприведённые цитаты по вопросам терминологии восходят к Пфитцману и Хансену, если не отмечено иное. Мы не делали попыток представить эти идеи в виде формализованного языка, однако разумеется мы старались сохранить строгость определений.


Анонимность. Для предоставления субъекту анонимности всегда необходимо наличие соотвествующего множества субъектов, обладающих теми же атрибутами. Таким образом, анонимность определяется как состояние неидентифицируемости во множестве субъектов, множестве анонимности.


Множество анонимности — это множество всех возможных субъектов. С учётом правил действий субъектов, множество анонимности складывается из субъектов, способных совершить действие. С учётом адресов, множество анонимности состоит из субъектов, которым могут быть присвоены адреса. Два анонимных множества могут быть разъединены, представлять собой одно и тоже или перекрываться. Множества анонимности могут изменяться с течением времени.


Согласно определению анонимности по Пфитцману-Хансену, субъекты, которые могут иметь отношение к анонимным транзакциям, образуют анонимное множество для этой отдельной транзакции. Субъекты осуществляют транзакцию анонимно если они не могут быть адекватно отделены (враждебной стороной) от других субъектов. Это определение анонимности включает вероятностную информацию, часто получаемую атакующей стороной, пытающейся идентифицировать анонимных субъектов.


Несвязываемость. [ISO15408 1999] определяет несвязываемость следующим образом:

"[Несвязываемость]" гарантирует, что пользователь может осуществлять многократное использование ресурсов или сервисов без возможности со стороны других связать эти акты использования воедино. [...] Несвязываемость требует для пользователей и/или субъектов, чтобы они не могли быть определены, как какой-то один и тот же пользователь, вызывающий определённые специфические операции в системе."

Мы можем провести различие между "абсолютной несвязываемостью" (как это было дано выше в определени от ISO, т.е. "невозможности установить связи между использованием") и "относительной несвязываемостью" (т.е. "неизменяемостью знаний между использованиями"), где "относительная несвязываемость" может быть определена как следующее:


Несвязываемость двух или более элементов интереса (Items Of Interest — IOI, т.е. субъектов, сообщений, событий, действий, ...) означает, что внутри системы (охватывающей эти и возможно другие элементы), с точки зрения атакующего, эти элементы интереса не более и не менее связаны между собой после проведения наблюдений, чем они были бы связаны с учётом априорных знаний.


Это означат, что вероятность элементов быть связанными с точки зрения атакующего остаётся такой же как до (априорное знание), так и после проведения наблюдений атакующим (апостериорное знание атакующего). Грубо говоря, обеспечение относительной несвязываемости элементов подразумевает, что атакующий неспособен увеличить свои знания о связях этих элементов путём наблюдения системы.


Ненаблюдаемость. В отличие от анонимности и несвязываемости, где защищены не IOI, а только отношения ID с другими IOI, с точки зрения ненаблюдаемости также защищаются и IOI. Ненаблюдаемость — это состояние элементов интереса (items of interest — IOIs), которые являются полностью неразличимыми от любых IOI (того же типа)


Это значит, что сообщения неотличимы от случайного шума. Также как мы имеем анонимные множества субъектов в отношении анонимности, мы имеем ненаблюдаемые множества субъектов в отношении ненаблюдаемости. Ненаблюдаемость отправителя следовательно означает, что невозможно различить, осуществляет ли отправку кто-либо из отправителей в ненаблюдаемом множестве. Ненаблюдаемость получателя следовательно означает, что невозможно различить, является ли кто-либо из получателей в ненаблюдаемом множестве на самом деле принимающим данные. Ненаблюдаемость отношений следовательно означает, что невозможно установить, посылает ли кто-то из множества возможных отправителей и принимает ли кто-то из множества возможных получателей. Другими словами, невозможно определить при рассмотрении событий внутри множества с ненаблюдаемостью отношений, в отношении любой возможной пары отправитель-получатель, существует ли обмен сообщениями или какие-нибудь отношения.


Псевдонимность. Псевдонимы — это идентификаторы субъектов. Мы можем обобщить псевдонимы на идентификаторы множеств субъектов. Субъект, к которому относится псевдоним, является его владельцем.


Быть псевдонимным — это находится в состоянии использования псевдонима как ID.


Мы подразумеваем, что каждый псевдоним относится в точности к одному владельцу, инвариантен по времени и не передаваем между субъектами. Специфические свойства псевдонима могут выходить за пределы этого набора: групповой псевдоним относится к множеству владельцев; передаваемый псевдоним может быть передан от одного владельца к другому субъекту, который станет его владельцем. Такие групповые псевдонимы могут порождать анонимные множества: используя информацию, предоставляемую только псевдонимом, атакующий не может определить, осуществлено ли действие отдельной персоной или множеством [185].


Определяя процесс подготовки к использованию псевдонимов, например путём установки определённых правил по тому, как идентифицировать пользователей, приводит к более общему определению псевдонимности:


Псевдонимность — это использование псевдонимов как ID


Преимуществом псевдонимных технологий является возможность ведения учёта злоупотреблений, который могут осуществляться. Также постоянные псевдонимы позволяют своим владельцам создавать псевдонимную репутацию с течением времени.



1 На момент публикации [157] Пфитцмана звали Кённтоп.
2 http://dud.inf.tu-dresden.de/Anon\_Terminology.shtml


Назад | Оглавление | Дальше


 
Несколько комментариев (6) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3