id: Гость   вход   регистрация
текущее время 23:50 07/02/2023
Владелец: unknown (создано 19/05/2010 12:53), редакция от 28/06/2010 17:03 (автор: unknown) Печать
Категории: анонимность
https://www.pgpru.com/Библиотека/Статьи/SAC/12Показателимерыанонимности
создать
просмотр
редакции
ссылки

1.2 Показатели меры анонимности


Большинство атак на анонимные коммуникации предоставляет противнику вероятностную информацию по поводу идентичности субъектов, осуществляющих коммуникацию друг с другом. Это причина того, почему информационно-теоретические показатели меры [57, 172] стали широко приняты для измерений анонимности, предоставляемой различными вариантами проектов (анонимных систем).


Но до того, как были предложены информационно-теоретичекие системы измерений, были некоторые попытки подсчёта анонимности в коммуникационных системах.


Райтер и Рубин определили степень анонимности как "неформальный континуум" от "абсолютной приватности" до "доказанного раскрытия" [166]. Позднее авторы использовали "степень" для отсылки к непостоянному численному значению. Райтер и Рубин однако, не получили какой-либо полезной гибкости в таком представлении.


Например, допустим для удобства, что нас беспокоит анонимность отправителя. Если степень считается например 1 – p, где p — это вероятность того, что атакующий выберет потенциального отправителя, пользователи будут более анонимны если они окажутся (по отношению к определённому противнику) в состоянии меньшей вероятности отправлять сообщения. Этот показатель очень интуитивен, но ограничен в своей способности раскрывать информацию, доступную противнику. Рассмотрим две системы, в каждой из которых есть сотня пользователей. В первой системе все пользователи, ui представляются (противнику), как отправители с вероятностью 0.01. Во второй системе u1, Алиса, также имеет вероятность 0.01, чтобы быть отправителем, а u2, Боб имеет вероятность 0.598 быть отправителем, а все остальные имеют вероятность 0.004 быть отправителем. В первой системе как Алиса так и Боб, оба находятся "вне подозрений" в соответствии с неформальным континуумом Райтера-Рубина, поскольку никто из них не имеет больше вероятности быть отправителем, чем другие. Во второй системе Боб является только "возможно невиновным", поскольку здесь есть нетривиальная вероятность, что отправителем является кто-то ещё. Все остальные, включая Алису, являются по крайней мере "вероятно невиновными", поскольку каждый из них не имеет большей вероятности послать сообщение, чем его не посылать.


Отметим, что даже если вероятность Алисы отправлять является одинаковой в обеих системах, то во второй из них она больше не находится вне подозрений из-за того, что она имеет большую вероятность отправлять по сравнению с другими 98 пользователями системы. Это верно, независимо от того, находится ли Боб под большим подозрением, чем она или нет. Чтобы отметить этот момент рассмотрим другую систему, в которой противник имеет лишь незначительно меньший объём подозрений в отношении одной персоны. Скажем u2, Боб на 0.00001 менее вероятный отправитель, чем в первой системе. То есть его вероятность быть отправителем 0.00999, а всех остальных ≈0.0101. Это значит, что никто больше не находится вне подозрений, только Боб. Они все всего-лишь вероятно виновны в соответствии с неформальным континуумом Райтера-Рубина. Этот континуум был малой частью публикации, в которой описывается дизайн Crowds, который мы обсудим в главе 2.4. Нет как таковой необходимости рассматривать все возможные аспекты анонимности произвольных систем.


Бертольд и др. определили степень анонимности как A = log2(N), где N — число пользователей системы [17]. Этот показатель зависит только от числа пользователей системы и таким образом не показывает отличий в анонимности в разных системах. Полное число пользователей N может быть даже и неизвестно. Кроме того, противник может иметь способность собирать вероятностную информацию о множестве потенциальных отправителей, которая не включена в учитываемые данные этого показателя. Возможно иметь разные уровни анонимности и даже условное определение анонимности без обращения к вероятностям. Например, одно из свойств, описанных Сайверсоном и Стабблбайном в [185], является то, что (≤ m)-подозреваемых подразумевает (≥ n)-анонимных, где n ≤ m. Это значит, что если даже противник сужает (область поиска) до по крайней мере m подозреваемых, то он не может уменьшить её ещё, менее чем до n возможных отправителей (для анонимности отправителей). Это свойство может показаться странным, до тех пор пока мы не рассмотрим системы, которые не способны ему соответствовать, например противник в любое время может сужать область поиска подозреваемых до определённого числа, он может автоматически понизить этот уровень значительно больше. Как простой пример, анонимная система может быть уязвима к полному перебору противником для поиска множества меньше определённого размера.


Информационно-теоретические показатели меры анонимности были независимо предложены в двух публикациях, представленных на Втором Симпозиуме по развитию технологий приватности. Основные принципы обеих мер были одинаковы. Показатель анонимности, предложенный Сержантовым и Дэйнезисом [172], использовал энтропию, как меру эффективной анонимности размера множества. Показатель, предложенный Диаз и др. в [57] нормализовывал энтропию для того, чтобы достичь расположения степени анонимности в диапазоне 0 1.


Количественное измерение анонимности зависит от рассматриваемого противника. Противник имеет определённые возможности и разворачивает атаки в целях добычи информации и поиска связей между субъектами и элементами интереса. Большинство этих атак приводят к распределению вероятностей, которые назначаются субъектам с определённой вероятностью или связываются с элементами интереса. В этой связи ясная и детальная формулировка модели атаки рассматривает требуемые шаги в измерении анонимности, предоставляемой против атакующего.


Информационно-теоретическое представление энтропии [175] предоставляет меру неопределённости случайной величины. Пусть X будет дискретной случайной величиной, с функцией вероятности pi = Pr(X = i), где i представляет собой каждое возможное значение, которое X может принять с вероятностью pi>0. В таком случае каждое i соответствует субъекту множества анонимности, то есть pi — это вероятность субъекта i быть связанным с элементом интересов.


Таким образом, энтропия описывает информацию (измеренную в битах), содержащуюся в вероятностном распределении, которое описывает связь между множеством субъектов (анонимным множеством) и элементами интересов. В [172] энтропию предлагается рассматривать как меру эффективности размера множества анонимности. Если энтропия нормализована по максимуму, который может обеспечить система (если она совершенна и не даёт утечки информации) для заданного числа пользователей, мы получаем степень анонимности [57], которая даёт меру производительности предоставляемой анонимности.


Враги анонимности часто имеют доступ к предшествовавшей или контекстуальной информации (например после разворачивания атак на раскрытие, описанных в следующем разделе). Хотя интуитивно кажется, что рассмотрение дополнительных источников информации (в дополнение к той, что утекает через анонимную систему) должно во всех случаях снижать уровень анонимности, были представлены обратные примеры в [58], где было показано, что это не так, поскольку анонимность связана с энтропией уcловного распределения (то есть неопределённостью для противника в ходе данного наблюдения), но не условной энтропией по Шеннону [175] (которая показывает среднюю потерю анонимности в ходе всех возможных наблюдений и требует знания вероятностного распределения всех возможных наблюдений). Использование байесовых выводов для комбинирования наблюдения трафика с другими источниками информации было предложено в [59], где также изучены эффекты неполной или ошибочной информации.


Комбинаторные методы измерений анонимности были предложены Эдманом и др. в [72] и развиты в [84]. Модель противника, включающая комбинаторные методики, интересна в плане деанонимизации всех отношений между отправителем и получателем, в отличии от рассмотрения множества потенциальных партнёров по коммуникации целевого пользователя.


Назад | Оглавление | Дальше


 
— Гость (24/06/2010 17:42)   <#>
Вроде опечатка
Отметим, что даже если вероятность Алисы отправлять является одинаковой в обеих системах, то во второй из них она больше не находится под подозрением из-за того, что она имеет большую вероятность отправлять по сравнению с другими 98 пользователями системы.
то во второй из них она больше находится под подозрением из-за того, что она имеет большую вероятность отправлять по сравнению с другими 98 пользователями системы.
— unknown (24/06/2010 20:50, исправлен 24/06/2010 20:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Note that even though Alice's probability of sending is the same in the two
systems, in the second one she is no longer beyond suspicion because she is
more likely than the other 98 users to be the sender.

М.б. имеется ввиду, что не находится под более высокой степенью подозрения по сравнению с другими в общем континууме, так как Боба всё равно подозревают больше всех? И этих всех много, а она там со своей слегка завышенной вероятностью всего одна.

— Гость (25/06/2010 14:21)   <#>
Дейстивтельно
she is no longer beyond suspicion
переводится как "она уже вне подозрений"...
Тогда смысл всей фразы не очевиден (и даже противоречив): Она уже не находится под подозрением, т.к. она более вероятный отправитель чем 98 пользователей.


Я предлагаю такой перевод:
Отметим, что даже если вероятность Алисы быть отправителем является одинаковой в обеих системах, то во второй из них она уже не находится под подозрением, даже не смотря на то, что она вероятность быть отправителем у неё выше по сравнению с другими 98 пользователями системы.
— Гость (25/06/2010 14:22)   <#>
Отметим, что даже если вероятность Алисы быть отправителем является одинаковой в обеих системах, то во второй из них она уже не находится под подозрением, даже не смотря на то, что вероятность быть отправителем у неё выше чем у других 98 пользователей системы.
— Гость (25/06/2010 16:34)   <#>
М.б. имеется ввиду, что не находится под более высокой степенью подозрения по сравнению с другими в общем континууме, так как Боба всё равно подозревают больше всех?
а потом идет вот такое
Это верно, независимо от того, находится ли Боб под большим подозрением, чем она или нет.

Не понимаю...
— unknown (25/06/2010 16:45, исправлен 25/06/2010 16:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Это верно, независимо от того, находится ли Боб под большим подозрением, чем она или нет.

Не понимаю...

Кстати, да. Из следующего же примера такое толкование отпадает.

This is true whether or not Bob happens to be even more suspicious than she is.

В момент перевода почему-то всё казалось ясным, но тут теперь требуется разбор и возможно фикс. Может даже оригинальную работу Райтера-Рубина почитать.

Я предлагаю такой перевод:
Отметим, что даже если вероятность Алисы быть отправителем является одинаковой в обеих системах, то во второй из них она уже не находится под подозрением, даже не смотря на то, что она вероятность быть отправителем у неё выше по сравнению с другими 98 пользователями системы.

Ну буквально так. Лучше поменять на такой вариант (только с грамматическим фиксом "несмотря") и подумать, почему именно это хотели донести авторы.

— Гость (25/06/2010 17:05)   <#>
Ответ кроется где-то в формуле "1 – p". Так что у кого вероятность больше у того (1-p) меньше.. и тогда менять перевод преддложения на мой вариант значит сказать совершенно обратное
т.е. перед редакцией нужно еще подумать, что именно это хотели донести авторы.
— unknown (25/06/2010 17:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Так, поправил ещё
In the second system, Bob has only
"possible innocence" because there is a nontrivial probability that someone else is the sender. Everyone else, including Alice, has at least "probable innocence" because each is no more likely to have sent the message than to not have sent the message.


"Возможно невиновный" и "вероятно невиновный". Изначально по-ошибке оба раза было как "возможно".
— unknown (25/06/2010 17:20)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Завершающий пример тогда непонятен. Противник имеет незначительно меньший объём подозрений в отношении одной персоны и тут же только его и подозревает:

This is true whether or not Bob happens to be even more suspicious than she is. To underscore this point, consider another system in which the adversary is just a miniscule amount less suspicious of one person. Say u2, Bob, is .00001 less likely to be the sender than in the first system. So, his probability of being the sender is .00999, and everyone else's is .0101. This means that none of the others is beyond suspicion anymore, just Bob. They're all merely probably innocent on the Reiter-Rubin informal continuum.
— Гость (25/06/2010 17:40)   <#>
Я думаю с правкой поторопились. такое толкование может оказаться вообще противоположенным оригиналу.
— unknown (25/06/2010 17:48, исправлен 25/06/2010 17:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Короче, надо руководствоваться основным правилом переводчика — "так в тексте", у авторов конечно тоже бывают опечатки, но о такой возможности следует думать в последнюю очередь. Плюс тут очень сжатый обзор с отсылкой особо интересующихся подробностями к исходным работам.


Пока вернул обратно, всем спасибо за внимательность, на досуге будет время подумать.

— Гость (25/06/2010 18:02)   <#>
всем спасибо за внимательность,
unknown, не ужели не разъясните сути?
— unknown (28/06/2010 11:04, исправлен 28/06/2010 16:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Первая система:


Alice + Bob + Others = 0.01 + 0.01 + 0.01•98 = 0.01 + 0.01 + 0.98 = 1


Все в равной степени под подозрением.


Вторая система:


Alice + Bob + Others = 0.01+0.598+0.004•98 = 0.01+0.598+0.392 = 1
Боб "возможно невиновен", только потому что всегда остаётся вероятность, что сообщение может отправить кто-то ещё.
Алиса и все остальные "вероятно невиновны", потому что для каждого вероятность отправить сообщение меньше, чем не отправить. Несмотря на то, что вероятность Алисы быть отправителем такая же, как и в первой системе, она не находится под подозрением только потому, что у неё в четыре раза выше вероятность отправлять по сравнению с остальными. Очевидно из-за Боба.


Дальше идёт странная фраза, что это верно, даже если Боб и не находится под большим подозрением, чем она.
И идёт пример, который якобы сбивает с толку. Потому что там написано "противник имеет незначительно больший объём подозрений только в отношении одной персоны". Цифра ≈0.0101 дана как приближённая. (Вставил знак ≈ в перевод, как в оригинале).


Alice + Bob + Others = (≈0.0101) + 0.00999 + (≈0.0101)•98 = (≈0.0101) + 0.00999 + 0.9898 =(≈1.00989)


Почему-то никто из остальных не под подозрением, только Боб. Они все вероятно невиновны.


А теперь просто смотрим в определение и видим, что "под подозрением" — это более сильная степень анонимности, чем "вероятно невиновны". А поскольку анонимность — это (1 – p) — просто обратное значение к вероятности отправлять, то написаны очевидные вещи.


Собственно работа "Crowds: Anonymity for Web Transactions"
Michael K. Reiter
and
Aviel D. Rubin
AT&T Labs-Research


Континуум Райтера-Рубина:


absolute privacy > beyond suspicion > probable innocence > possible innocence > exposed > provably exposed
Абсолютная приватность > под подозрением (вне подозрений) fixed > вероятно невиновен > возможно невиновен > разоблачён > доказанно разоблачён

Райтер и Рубин выделяют в нём три значимые точки от сильной к слабой и дают им определения:


* под подозрением (вне подозрений) fixed: Анонимность отправителя находится под подозрением вне подозрений fixed, если хотя атакующий и может видеть доказательство отправки сообщения, отправитель предстаёт не более вероятным истинным автором сообщения, чем другой потенциальный пользователь системы.
* Вероятно невиновный (Probable innocence): Отправитель вероятно невиновен, если с точки зрения атакующего, для него вероятность быть истинным автором не больше, чем не быть. Это слабее, чем быть в состоянии под подозрением вне подозрений fixed, так как атакующий может иметь основания считать, что отправитель более вероятно отвечает за отправку, чем другой потенциальный отправитель, но всё ещё предстаёт по крайней мере возможным, что отправитель не несёт ответственности.
* Возможно невиновный (Possible innocence): Отправитель возможно невиновен, если с точки зрения атакующего, есть нетривиальная вроятность, что отправителем является кто-то ещё

Из этого следует, что континуум Райтера-Рубина чрезмерно чувствителен к выбору параметров системы и непрактичен, малейшая ошибка в оценке "вероятности отправлять" перемещает подозреваемого/анонимного из одной соседней части шкалы в другую. То есть авторы обзора показывают, что нужно идеально точно рассчитать вероятность для всех и каждого пользователя, что нереалистично: в реальной системе шкала будет сильно плавающей или вобще труднопределимой. А зная "вероятность отправлять" только одного пользователя или подгруппы во многих случаях вообще нельзя сделать никаких существенных выводов.

— SATtva (28/06/2010 14:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116
Под подозрением (Beyond suspicion)

"Вне подозрений".
— unknown (28/06/2010 15:39, исправлен 28/06/2010 15:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
she is no longer beyond suspicion

переводится как "она уже вне подозрений"...

Так вот он какой, эпический фэйл:


В первой системе как Алиса так и Боб "вне подозрений".


Во второй она больше не находится вне подозрений, поскольку она более вероятно, чем другие 98 пользователей является отправителем.


Это значит, что никто не находится больше вне подозрений, только Боб.


P.S. Пофиксил предыдущий коммент и перевод.

Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3