1.2 Показатели меры анонимности
Большинство атак на анонимные коммуникации предоставляет противнику вероятностную информацию по поводу идентичности субъектов, осуществляющих коммуникацию друг с другом. Это причина того, почему информационно-теоретические показатели меры [57, 172] стали широко приняты для измерений анонимности, предоставляемой различными вариантами проектов (анонимных систем).
Но до того, как были предложены информационно-теоретичекие системы измерений, были некоторые попытки подсчёта анонимности в коммуникационных системах.
Райтер и Рубин определили степень анонимности как "неформальный континуум" от "абсолютной приватности" до "доказанного раскрытия" [166]. Позднее авторы использовали "степень" для отсылки к непостоянному численному значению. Райтер и Рубин однако, не получили какой-либо полезной гибкости в таком представлении.
Например, допустим для удобства, что нас беспокоит анонимность отправителя. Если степень считается например 1 – p, где p — это вероятность того, что атакующий выберет потенциального отправителя, пользователи будут более анонимны если они окажутся (по отношению к определённому противнику) в состоянии меньшей вероятности отправлять сообщения. Этот показатель очень интуитивен, но ограничен в своей способности раскрывать информацию, доступную противнику. Рассмотрим две системы, в каждой из которых есть сотня пользователей. В первой системе все пользователи, ui представляются (противнику), как отправители с вероятностью 0.01. Во второй системе u1, Алиса, также имеет вероятность 0.01, чтобы быть отправителем, а u2, Боб имеет вероятность 0.598 быть отправителем, а все остальные имеют вероятность 0.004 быть отправителем. В первой системе как Алиса так и Боб, оба находятся "вне подозрений" в соответствии с неформальным континуумом Райтера-Рубина, поскольку никто из них не имеет больше вероятности быть отправителем, чем другие. Во второй системе Боб является только "возможно невиновным", поскольку здесь есть нетривиальная вероятность, что отправителем является кто-то ещё. Все остальные, включая Алису, являются по крайней мере "вероятно невиновными", поскольку каждый из них не имеет большей вероятности послать сообщение, чем его не посылать.
Отметим, что даже если вероятность Алисы отправлять является одинаковой в обеих системах, то во второй из них она больше не находится вне подозрений из-за того, что она имеет большую вероятность отправлять по сравнению с другими 98 пользователями системы. Это верно, независимо от того, находится ли Боб под большим подозрением, чем она или нет. Чтобы отметить этот момент рассмотрим другую систему, в которой противник имеет лишь незначительно меньший объём подозрений в отношении одной персоны. Скажем u2, Боб на 0.00001 менее вероятный отправитель, чем в первой системе. То есть его вероятность быть отправителем 0.00999, а всех остальных ≈0.0101. Это значит, что никто больше не находится вне подозрений, только Боб. Они все всего-лишь вероятно виновны в соответствии с неформальным континуумом Райтера-Рубина. Этот континуум был малой частью публикации, в которой описывается дизайн Crowds, который мы обсудим в главе 2.4. Нет как таковой необходимости рассматривать все возможные аспекты анонимности произвольных систем.
Бертольд и др. определили степень анонимности как A = log2(N), где N — число пользователей системы [17]. Этот показатель зависит только от числа пользователей системы и таким образом не показывает отличий в анонимности в разных системах. Полное число пользователей N может быть даже и неизвестно. Кроме того, противник может иметь способность собирать вероятностную информацию о множестве потенциальных отправителей, которая не включена в учитываемые данные этого показателя. Возможно иметь разные уровни анонимности и даже условное определение анонимности без обращения к вероятностям. Например, одно из свойств, описанных Сайверсоном и Стабблбайном в [185], является то, что (≤ m)-подозреваемых подразумевает (≥ n)-анонимных, где n ≤ m. Это значит, что если даже противник сужает (область поиска) до по крайней мере m подозреваемых, то он не может уменьшить её ещё, менее чем до n возможных отправителей (для анонимности отправителей). Это свойство может показаться странным, до тех пор пока мы не рассмотрим системы, которые не способны ему соответствовать, например противник в любое время может сужать область поиска подозреваемых до определённого числа, он может автоматически понизить этот уровень значительно больше. Как простой пример, анонимная система может быть уязвима к полному перебору противником для поиска множества меньше определённого размера.
Информационно-теоретические показатели меры анонимности были независимо предложены в двух публикациях, представленных на Втором Симпозиуме по развитию технологий приватности. Основные принципы обеих мер были одинаковы. Показатель анонимности, предложенный Сержантовым и Дэйнезисом [172], использовал энтропию, как меру эффективной анонимности размера множества. Показатель, предложенный Диаз и др. в [57] нормализовывал энтропию для того, чтобы достичь расположения степени анонимности в диапазоне 0 … 1.
Количественное измерение анонимности зависит от рассматриваемого противника. Противник имеет определённые возможности и разворачивает атаки в целях добычи информации и поиска связей между субъектами и элементами интереса. Большинство этих атак приводят к распределению вероятностей, которые назначаются субъектам с определённой вероятностью или связываются с элементами интереса. В этой связи ясная и детальная формулировка модели атаки рассматривает требуемые шаги в измерении анонимности, предоставляемой против атакующего.
Информационно-теоретическое представление энтропии [175] предоставляет меру неопределённости случайной величины. Пусть X будет дискретной случайной величиной, с функцией вероятности pi = Pr(X = i), где i представляет собой каждое возможное значение, которое X может принять с вероятностью pi>0. В таком случае каждое i соответствует субъекту множества анонимности, то есть pi — это вероятность субъекта i быть связанным с элементом интересов.
Таким образом, энтропия описывает информацию (измеренную в битах), содержащуюся в вероятностном распределении, которое описывает связь между множеством субъектов (анонимным множеством) и элементами интересов. В [172] энтропию предлагается рассматривать как меру эффективности размера множества анонимности. Если энтропия нормализована по максимуму, который может обеспечить система (если она совершенна и не даёт утечки информации) для заданного числа пользователей, мы получаем степень анонимности [57], которая даёт меру производительности предоставляемой анонимности.
Враги анонимности часто имеют доступ к предшествовавшей или контекстуальной информации (например после разворачивания атак на раскрытие, описанных в следующем разделе). Хотя интуитивно кажется, что рассмотрение дополнительных источников информации (в дополнение к той, что утекает через анонимную систему) должно во всех случаях снижать уровень анонимности, были представлены обратные примеры в [58], где было показано, что это не так, поскольку анонимность связана с энтропией уcловного распределения (то есть неопределённостью для противника в ходе данного наблюдения), но не условной энтропией по Шеннону [175] (которая показывает среднюю потерю анонимности в ходе всех возможных наблюдений и требует знания вероятностного распределения всех возможных наблюдений). Использование байесовых выводов для комбинирования наблюдения трафика с другими источниками информации было предложено в [59], где также изучены эффекты неполной или ошибочной информации.
Комбинаторные методы измерений анонимности были предложены Эдманом и др. в [72] и развиты в [84]. Модель противника, включающая комбинаторные методики, интересна в плане деанонимизации всех отношений между отправителем и получателем, в отличии от рассмотрения множества потенциальных партнёров по коммуникации целевого пользователя.
Назад | Оглавление | Дальше