1.2 Показатели меры анонимности
Большинство атак на анонимные коммуникации предоставляет противнику вероятностную информацию по поводу идентичности субъектов, осуществляющих коммуникацию друг с другом. Это причина того, почему информационно-теоретические показатели меры [57, 172] стали широко приняты для измерений анонимности, предоставляемой различными вариантами проектов (анонимных систем).
Но до того, как были предложены информационно-теоретичекие системы измерений, были некоторые попытки подсчёта анонимности в коммуникационных системах.
Райтер и Рубин определили степень анонимности как "неформальный континуум" от "абсолютной приватности" до "доказанного раскрытия" [166]. Позднее авторы использовали "степень" для отсылки к непостоянному численному значению. Райтер и Рубин однако, не получили какой-либо полезной гибкости в таком представлении.
Например, допустим для удобства, что нас беспокоит анонимность отправителя. Если степень считается например 1 – p, где p — это вероятность того, что атакующий выберет потенциального отправителя, пользователи будут более анонимны если они окажутся (по отношению к определённому противнику) в состоянии меньшей вероятности отправлять сообщения. Этот показатель очень интуитивен, но ограничен в своей способности раскрывать информацию, доступную противнику. Рассмотрим две системы, в каждой из которых есть сотня пользователей. В первой системе все пользователи, ui представляются (противнику), как отправители с вероятностью 0.01. Во второй системе u1, Алиса, также имеет вероятность 0.01, чтобы быть отправителем, а u2, Боб имеет вероятность 0.598 быть отправителем, а все остальные имеют вероятность 0.004 быть отправителем. В первой системе как Алиса так и Боб, оба находятся "вне подозрений" в соответствии с неформальным континуумом Райтера-Рубина, поскольку никто из них не имеет больше вероятности быть отправителем, чем другие. Во второй системе Боб является только "возможно невиновным", поскольку здесь есть нетривиальная вероятность, что отправителем является кто-то ещё. Все остальные, включая Алису, являются по крайней мере "вероятно невиновными", поскольку каждый из них не имеет большей вероятности послать сообщение, чем его не посылать.
Отметим, что даже если вероятность Алисы отправлять является одинаковой в обеих системах, то во второй из них она больше не находится вне подозрений из-за того, что она имеет большую вероятность отправлять по сравнению с другими 98 пользователями системы. Это верно, независимо от того, находится ли Боб под большим подозрением, чем она или нет. Чтобы отметить этот момент рассмотрим другую систему, в которой противник имеет лишь незначительно меньший объём подозрений в отношении одной персоны. Скажем u2, Боб на 0.00001 менее вероятный отправитель, чем в первой системе. То есть его вероятность быть отправителем 0.00999, а всех остальных ≈0.0101. Это значит, что никто больше не находится вне подозрений, только Боб. Они все всего-лишь вероятно виновны в соответствии с неформальным континуумом Райтера-Рубина. Этот континуум был малой частью публикации, в которой описывается дизайн Crowds, который мы обсудим в главе 2.4. Нет как таковой необходимости рассматривать все возможные аспекты анонимности произвольных систем.
Бертольд и др. определили степень анонимности как A = log2(N), где N — число пользователей системы [17]. Этот показатель зависит только от числа пользователей системы и таким образом не показывает отличий в анонимности в разных системах. Полное число пользователей N может быть даже и неизвестно. Кроме того, противник может иметь способность собирать вероятностную информацию о множестве потенциальных отправителей, которая не включена в учитываемые данные этого показателя. Возможно иметь разные уровни анонимности и даже условное определение анонимности без обращения к вероятностям. Например, одно из свойств, описанных Сайверсоном и Стабблбайном в [185], является то, что (≤ m)-подозреваемых подразумевает (≥ n)-анонимных, где n ≤ m. Это значит, что если даже противник сужает (область поиска) до по крайней мере m подозреваемых, то он не может уменьшить её ещё, менее чем до n возможных отправителей (для анонимности отправителей). Это свойство может показаться странным, до тех пор пока мы не рассмотрим системы, которые не способны ему соответствовать, например противник в любое время может сужать область поиска подозреваемых до определённого числа, он может автоматически понизить этот уровень значительно больше. Как простой пример, анонимная система может быть уязвима к полному перебору противником для поиска множества меньше определённого размера.
Информационно-теоретические показатели меры анонимности были независимо предложены в двух публикациях, представленных на Втором Симпозиуме по развитию технологий приватности. Основные принципы обеих мер были одинаковы. Показатель анонимности, предложенный Сержантовым и Дэйнезисом [172], использовал энтропию, как меру эффективной анонимности размера множества. Показатель, предложенный Диаз и др. в [57] нормализовывал энтропию для того, чтобы достичь расположения степени анонимности в диапазоне 0 … 1.
Количественное измерение анонимности зависит от рассматриваемого противника. Противник имеет определённые возможности и разворачивает атаки в целях добычи информации и поиска связей между субъектами и элементами интереса. Большинство этих атак приводят к распределению вероятностей, которые назначаются субъектам с определённой вероятностью или связываются с элементами интереса. В этой связи ясная и детальная формулировка модели атаки рассматривает требуемые шаги в измерении анонимности, предоставляемой против атакующего.
Информационно-теоретическое представление энтропии [175] предоставляет меру неопределённости случайной величины. Пусть X будет дискретной случайной величиной, с функцией вероятности pi = Pr(X = i), где i представляет собой каждое возможное значение, которое X может принять с вероятностью pi>0. В таком случае каждое i соответствует субъекту множества анонимности, то есть pi — это вероятность субъекта i быть связанным с элементом интересов.
Таким образом, энтропия описывает информацию (измеренную в битах), содержащуюся в вероятностном распределении, которое описывает связь между множеством субъектов (анонимным множеством) и элементами интересов. В [172] энтропию предлагается рассматривать как меру эффективности размера множества анонимности. Если энтропия нормализована по максимуму, который может обеспечить система (если она совершенна и не даёт утечки информации) для заданного числа пользователей, мы получаем степень анонимности [57], которая даёт меру производительности предоставляемой анонимности.
Враги анонимности часто имеют доступ к предшествовавшей или контекстуальной информации (например после разворачивания атак на раскрытие, описанных в следующем разделе). Хотя интуитивно кажется, что рассмотрение дополнительных источников информации (в дополнение к той, что утекает через анонимную систему) должно во всех случаях снижать уровень анонимности, были представлены обратные примеры в [58], где было показано, что это не так, поскольку анонимность связана с энтропией уcловного распределения (то есть неопределённостью для противника в ходе данного наблюдения), но не условной энтропией по Шеннону [175] (которая показывает среднюю потерю анонимности в ходе всех возможных наблюдений и требует знания вероятностного распределения всех возможных наблюдений). Использование байесовых выводов для комбинирования наблюдения трафика с другими источниками информации было предложено в [59], где также изучены эффекты неполной или ошибочной информации.
Комбинаторные методы измерений анонимности были предложены Эдманом и др. в [72] и развиты в [84]. Модель противника, включающая комбинаторные методики, интересна в плане деанонимизации всех отношений между отправителем и получателем, в отличии от рассмотрения множества потенциальных партнёров по коммуникации целевого пользователя.
Назад | Оглавление | Дальше
то во второй из них она больше находится под подозрением из-за того, что она имеет большую вероятность отправлять по сравнению с другими 98 пользователями системы.
комментариев: 9796 документов: 488 редакций: 5664
М.б. имеется ввиду, что не находится под более высокой степенью подозрения по сравнению с другими в общем континууме, так как Боба всё равно подозревают больше всех? И этих всех много, а она там со своей слегка завышенной вероятностью всего одна.
переводится как "она уже вне подозрений"...
Тогда смысл всей фразы не очевиден (и даже противоречив): Она уже не находится под подозрением, т.к. она более вероятный отправитель чем 98 пользователей.
Я предлагаю такой перевод:
Отметим, что даже если вероятность Алисы быть отправителем является одинаковой в обеих системах, то во второй из них она уже не находится под подозрением, даже не смотря на то, что она вероятность быть отправителем у неё выше по сравнению с другими 98 пользователями системы.
Не понимаю...
комментариев: 9796 документов: 488 редакций: 5664
Кстати, да. Из следующего же примера такое толкование отпадает.
В момент перевода почему-то всё казалось ясным, но тут теперь требуется разбор и возможно фикс. Может даже оригинальную работу Райтера-Рубина почитать.
Ну буквально так. Лучше поменять на такой вариант (только с грамматическим фиксом "несмотря") и подумать, почему именно это хотели донести авторы.
т.е. перед редакцией нужно еще подумать, что именно это хотели донести авторы.
комментариев: 9796 документов: 488 редакций: 5664
"Возможно невиновный" и "вероятно невиновный". Изначально по-ошибке оба раза было как "возможно".
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Короче, надо руководствоваться основным правилом переводчика — "так в тексте", у авторов конечно тоже бывают опечатки, но о такой возможности следует думать в последнюю очередь. Плюс тут очень сжатый обзор с отсылкой особо интересующихся подробностями к исходным работам.
Пока вернул обратно, всем спасибо за внимательность, на досуге будет время подумать.
комментариев: 9796 документов: 488 редакций: 5664
Первая система:
Alice + Bob + Others = 0.01 + 0.01 + 0.01•98 = 0.01 + 0.01 + 0.98 = 1
Все в равной степени под подозрением.
Вторая система:
Alice + Bob + Others = 0.01+0.598+0.004•98 = 0.01+0.598+0.392 = 1
Боб "возможно невиновен", только потому что всегда остаётся вероятность, что сообщение может отправить кто-то ещё.
Алиса и все остальные "вероятно невиновны", потому что для каждого вероятность отправить сообщение меньше, чем не отправить. Несмотря на то, что вероятность Алисы быть отправителем такая же, как и в первой системе, она не находится под подозрением только потому, что у неё в четыре раза выше вероятность отправлять по сравнению с остальными. Очевидно из-за Боба.
Дальше идёт странная фраза, что это верно, даже если Боб и не находится под большим подозрением, чем она.
И идёт пример, который якобы сбивает с толку. Потому что там написано "противник имеет незначительно больший объём подозрений только в отношении одной персоны". Цифра ≈0.0101 дана как приближённая. (Вставил знак ≈ в перевод, как в оригинале).
Alice + Bob + Others = (≈0.0101) + 0.00999 + (≈0.0101)•98 = (≈0.0101) + 0.00999 + 0.9898 =(≈1.00989)
Почему-то никто из остальных не под подозрением, только Боб. Они все вероятно невиновны.
А теперь просто смотрим в определение и видим, что "под подозрением" — это более сильная степень анонимности, чем "вероятно невиновны". А поскольку анонимность — это (1 – p) — просто обратное значение к вероятности отправлять, то написаны очевидные вещи.
Собственно работа "Crowds: Anonymity for Web Transactions"
Michael K. Reiter
and
Aviel D. Rubin
AT&T Labs-Research
Континуум Райтера-Рубина:
Райтер и Рубин выделяют в нём три значимые точки от сильной к слабой и дают им определения:
Из этого следует, что континуум Райтера-Рубина чрезмерно чувствителен к выбору параметров системы и непрактичен, малейшая ошибка в оценке "вероятности отправлять" перемещает подозреваемого/анонимного из одной соседней части шкалы в другую. То есть авторы обзора показывают, что нужно идеально точно рассчитать вероятность для всех и каждого пользователя, что нереалистично: в реальной системе шкала будет сильно плавающей или вобще труднопределимой. А зная "вероятность отправлять" только одного пользователя или подгруппы во многих случаях вообще нельзя сделать никаких существенных выводов.
комментариев: 11558 документов: 1036 редакций: 4118
"Вне подозрений".
комментариев: 9796 документов: 488 редакций: 5664
Так вот он какой, эпический фэйл:
В первой системе как Алиса так и Боб "вне подозрений".
Во второй она больше не находится вне подозрений, поскольку она более вероятно, чем другие 98 пользователей является отправителем.
Это значит, что никто не находится больше вне подозрений, только Боб.
P.S. Пофиксил предыдущий коммент и перевод.