id: Гость   вход   регистрация
текущее время 00:02 29/03/2024
Владелец: unknown (создано 17/05/2010 11:42), редакция от 10/06/2010 21:18 (автор: unknown) Печать
Категории: анонимность
создать
просмотр
редакции
ссылки

1.1 Терминология


До количественного определения анонимности, сначала требовалось множество рабочих определений анонимности и других связанных концепцмй, таких как несвязываемость (unlinkability) или ненаблюдаемость (unobservability).


В [157] Пфитцман и Хансен1 предложили множество рабочих определений анонимности, несвязываемости, ненаблюдаемости и псевдонимности. Эти определения впоследствии были адаптированы в большинстве литературы по анонимности. Их авторы продолжали получать регулярные обновления, основываясь на подтверждающих материалах, возвращаемых им сообществом2. Есть множество других публикаций, излагающих классификации коммуникационной анонимности, какие-то более ранние, какие-то более поздние, многие использовали некоторый формальный язык с соответствующей логикой или формальными методами анализа [100, 108, 159, 166, 185], или возникшие под влиянием формализации, основанной на неразличимости и терминологии Пфитцмана и Хансена, также как и на основании друга друга. Нижеприведённые цитаты по вопросам терминологии восходят к Пфитцману и Хансену, если не отмечено иное. Мы не делали попыток представить эти идеи в виде формализованного языка, однако разумеется мы старались сохранить строгость определений.


Анонимность. Для предоставления субъекту анонимности всегда необходимо наличие соотвествующего множества субъектов, обладающих теми же атрибутами. Таким образом, анонимность определяется как состояние неидентифицируемости во множестве субъектов, множестве анонимности.


Множество анонимности — это множество всех возможных субъектов. С учётом правил действий субъектов, множество анонимности складывается из субъектов, способных совершить действие. С учётом адресов, множество анонимности состоит из субъектов, которым могут быть присвоены адреса. Два анонимных множества могут быть разъединены, представлять собой одно и тоже или перекрываться. Множества анонимности могут изменяться с течением времени.


Согласно определению анонимности по Пфитцману-Хансену, субъекты, которые могут иметь отношение к анонимным транзакциям, образуют анонимное множество для этой отдельной транзакции. Субъекты осуществляют транзакцию анонимно если они не могут быть адекватно отделены (враждебной стороной) от других субъектов. Это определение анонимности включает вероятностную информацию, часто получаемую атакующей стороной, пытающейся идентифицировать анонимных субъектов.


Несвязываемость. [ISO15408 1999] определяет несвязываемость следующим образом:

"[Несвязываемость]" гарантирует, что пользователь может осуществлять многократное использование ресурсов или сервисов без возможности со стороны других связать эти акты использования воедино. [...] Несвязываемость требует для пользователей и/или субъектов, чтобы они не могли быть определены, как какой-то один и тот же пользователь, вызывающий определённые специфические операции в системе."

Мы можем провести различие между "абсолютной несвязываемостью" (как это было дано выше в определени от ISO, т.е. "невозможности установить связи между использованием") и "относительной несвязываемостью" (т.е. "неизменяемостью знаний между использованиями"), где "относительная несвязываемость" может быть определена как следующее:


Несвязываемость двух или более элементов интереса (Items Of Interest — IOI, т.е. субъектов, сообщений, событий, действий, ...) означает, что внутри системы (охватывающей эти и возможно другие элементы), с точки зрения атакующего, эти элементы интереса не более и не менее связаны между собой после проведения наблюдений, чем они были бы связаны с учётом априорных знаний.


Это означат, что вероятность элементов быть связанными с точки зрения атакующего остаётся такой же как до (априорное знание), так и после проведения наблюдений атакующим (апостериорное знание атакующего). Грубо говоря, обеспечение относительной несвязываемости элементов подразумевает, что атакующий неспособен увеличить свои знания о связях этих элементов путём наблюдения системы.


Ненаблюдаемость. В отличие от анонимности и несвязываемости, где защищены не IOI, а только отношения ID с другими IOI, с точки зрения ненаблюдаемости также защищаются и IOI. Ненаблюдаемость — это состояние элементов интереса (items of interest — IOIs), которые являются полностью неразличимыми от любых IOI (того же типа)


Это значит, что сообщения неотличимы от случайного шума. Также как мы имеем анонимные множества субъектов в отношении анонимности, мы имеем ненаблюдаемые множества субъектов в отношении ненаблюдаемости. Ненаблюдаемость отправителя следовательно означает, что невозможно различить, осуществляет ли отправку кто-либо из отправителей в ненаблюдаемом множестве. Ненаблюдаемость получателя следовательно означает, что невозможно различить, является ли кто-либо из получателей в ненаблюдаемом множестве на самом деле принимающим данные. Ненаблюдаемость отношений следовательно означает, что невозможно установить, посылает ли кто-то из множества возможных отправителей и принимает ли кто-то из множества возможных получателей. Другими словами, невозможно определить при рассмотрении событий внутри множества с ненаблюдаемостью отношений, в отношении любой возможной пары отправитель-получатель, существует ли обмен сообщениями или какие-нибудь отношения.


Псевдонимность. Псевдонимы — это идентификаторы субъектов. Мы можем обобщить псевдонимы на идентификаторы множеств субъектов. Субъект, к которому относится псевдоним, является его владельцем.


Быть псевдонимным — это находится в состоянии использования псевдонима как ID.


Мы подразумеваем, что каждый псевдоним относится в точности к одному владельцу, инвариантен по времени и не передаваем между субъектами. Специфические свойства псевдонима могут выходить за пределы этого набора: групповой псевдоним относится к множеству владельцев; передаваемый псевдоним может быть передан от одного владельца к другому субъекту, который станет его владельцем. Такие групповые псевдонимы могут порождать анонимные множества: используя информацию, предоставляемую только псевдонимом, атакующий не может определить, осуществлено ли действие отдельной персоной или множеством [185].


Определяя процесс подготовки к использованию псевдонимов, например путём установки определённых правил по тому, как идентифицировать пользователей, приводит к более общему определению псевдонимности:


Псевдонимность — это использование псевдонимов как ID


Преимуществом псевдонимных технологий является возможность ведения учёта злоупотреблений, который могут осуществляться. Также постоянные псевдонимы позволяют своим владельцам создавать псевдонимную репутацию с течением времени.



1 На момент публикации [157] Пфитцмана звали Кённтоп.
2 http://dud.inf.tu-dresden.de/Anon\_Terminology.shtml


Назад | Оглавление | Дальше


 
— Гость (11/06/2010 11:51)   <#>
Для предоставления субъекту анонимности всегда необходимо наличие соотвествующего множества субъектов, обладающих теми же атрибутами.
Не всегда. Субъект может быть единственным в своём роде, но при этом выражаться разными и неизвестными заранее способами.
Анонимность – это просто когда нельзя установить автора, а наличие множества ему подобных тут совсем не обязательно.
— unknown (11/06/2010 12:45, исправлен 11/06/2010 12:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Есть N авторов и M работ. Если все N-1 авторов раскрыли свои M-x работ (то есть эти авторы больше не принадлежат анонимному множеству), то там остался единственный элемент с оставшимися работами, которые никто кроме него написать не мог.


Рассматриваются ведь только конечные множества. За определённый прошедший период времени все работы, высказывания, способы выражения посчитаны. И вдобавок это всё в рамках коммуникации. Автор не в стол пишет.

— Гость (11/06/2010 15:18)   <#>
Чтобы не быть найденым, можно "раствориться в толпе". Именно это подразумевает определение анонимности в статье. Но это не единственный способ. Ещё можно находиться вне области поиска (вне понятийных рамок) ищущих. А вот это в определении упущено. И поэтому если в рамках данной модели будет доказана (при каких-то условиях) невозможность анонимности, то ещё не всё потеряно.

Есть N авторов и M работ.
Есть то они, может, и есть, да кто ж их нам даст? Неконструктивное это множество!

Вот возьмите "круги на полях". На некоторых из них колосья согнуты невоспроизводимым любителями пошутить способом. Что можно сказать о множестве авторов этих анонимных посланий?

Или вот "дух дышит, где хочет, и голос его слышишь, а откуда приходит и куда уходит не знаешь" – тут какое множество?

Или кто убил Лору Палмер?

Это я к тому, что понятие "анонимность" не требуют обязательного описания множества возможных авторов. Иногда такое описание дать затруднительно, что отнюдь не мешает говорить об анонимности.

Рассматриваются ведь только конечные множества.
Извините за банальность, но достаточно большое конечное множество при ограниченных ресурсах в вычислительном отношении неотличимо от бесконечного.

За определённый прошедший период времени все работы, высказывания, способы выражения посчитаны
Вы же и сами понимеете, что в реальном, не мире это далеко не так. Вот например, недавно обнаружилось, что скаладки одежды на некоторых иконах образуют читаемые тексты. И почему надо думать, что подобного не обнаружится в дальнейшем? Стеганография, однако!

А вы никогда не задумывались, что любой фрагмент того, что данно нам в ощущении, может быть воспринят (типа XOR) как сообщение? И если для кого-то облака образуют осмысленные фигуры, как их сосчитать?

А вообще спасибо за замечательную статью!
— Гость (11/06/2010 15:33)   <#>
s/в реальном, не мире/в реальном мире/
— unknown (11/06/2010 16:40, исправлен 11/06/2010 17:13)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Передача стегоконтейнеров сама по себе не обеспечивает анонимности, а является ортогональным способом обеспечения безопасности.


Формализовать стеганографию так, чтобы её можно было использовать, ещё сложнее. Если кто-то передаёт каждый день "безобидно выглядящие" фотки своего любимого кота на почтовый ящик ЦРУ, то это не анонимность. Так как в обычных сетевых коммуникационных системах (интернет) нет широковещательного канала, то можно отследить факт передачи сообщения от отправителя к получателю или пускай даже большой (но конечной и с каждым сеансом отсеивающей непостоянных участников) группе и сделать на основании этого некоторые предположения о связях субъектов, даже если само сообщение выглядит безобидно.


Обсуждение стего в рамках этой публикации немного оффтопик, хотя в статье упоминается одной строкой. Если будут столь же ценные материалы, дающие обширные ответы по вопросам стего, то они скорее всего появятся на ресурсе. Пока же можно только сказать, что скепсис специалистов по поводу стего обоснован.


XOR чего с чем? Как бы такие методы связи не оказались нестойкими против атак галоперидолом :)


Это получается метафорическое сочетание стего с широковещательным каналом с заведомо неотслеживаемым и отправителем и получателем. Нехилый такой ресурс.


Если нет таких атак на раскрытие, значит есть множество анонимности, вполне конструктивное для построения протокола. А иначе получается отход от формализации известного в пользу каких-то мистерий с неизвестным.
Теория строится на сильном условии, что система анонимности должна быть стойкой, даже если противнику известно множество анонимности и оно может быть формализовано.


Security through obscurity? Да, через неясность можно разрушить любую формализацию. Но это не может быть основой системы или протокола и потому не может служить критерием проектирования.

Извините за банальность, но достаточно большое конечное множество при ограниченных ресурсах в вычислительном отношении неотличимо от бесконечного.

Авторами всех проектируемых систем это учитывается. Поэтому концептуальные изъяны сети Tor покрываются ростом ёё популярности.


Спасибо за проявленный интерес!

— Гость (11/06/2010 19:09)   <#>
Или кто убил Лору Палмер?
Отец.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3