openPGP в России

09.02 // Криптографическое решение проблемы приватности пользовательских профайлов

Исследователи Феликс Гюнтер^[link1], Марк Манулис^[link2] и Тьорстен Штруфе^[link3], представляющие Дармштадтский университет технологий — Технический университет^[link4] и Центр углублённого изучения проблем безопасности^[link5] провели исследование возможности защиты приватности, безопасности и анонимности пользователей при публикации своих приватных данных на различного рода ресурсах, таких как социальные сети.

Существующие решения, в особенности для децентрализованных сетей, часто не решают эту проблему или приводят к значительному избытку данных, необходимых для хранения. В своём исследовании авторы представили криптографические методы решения проблемы приватного управления профайлами, которые можно использовать в качестве строительных блоков для протоколов, посредством которых пользователи могут поддерживать свои профайлы, публиковать и получать данные и авторизовать других пользователей к получению различных частей данных из своих профайлов. Для этого были предложены:

1. Формализация конфиденциальности и несвязываемости как двух целей безопасности и приватности данных, содержащихся в профайлах пользователей, которые авторизованы на получение этих данных.
2. Спецификация, анализ и сравнение двух схем приватного управления профайлами, основанных на различных техниках шифрования.

Публикация персональных профайлов и другие средства предоставления доступа к приватной информации возрастают во всё большем объёме на веб-ресурсах. Онлайновые социальные сети (OSN) на сегодняшний день — возможно один самых массово предпочитаемых для этого способов. Только Facebook утверждает, что имеет базу свыше 500 миллионов пользователей, превосходя Google и на текущий момент переживает пик посещаемости среди веб-ресурсов с января 2010 года. Его пользователи в среднем распространяют 90% персонального контента в месяц, в основном состоящего из персональной идентифицирующей информации. Защита этих данных от неавторизованного доступа имеет крайне важное значение, так как пользователи хранят в своих OSN-профайлах приватные и чувствительные данные.

Конфиденциальность опубликованных данных подразумевает, что к ним может быть получен совместный доступ только среди выбранной группы пользователей, что само по себе важно для централизованных сервисов. Но ещё более неотложным является предоставление децентрализованных OSN, которые предлагались и ранее (в работе приведены соотвествующие ссылки) как попытка уйти от централизованного контроля и всемогущего доступа со стороны коммерческих поставщиков сервисов. Несвязываемость — это более тонкое требование, защищающее пользователя от идентификации при взаимодействии с определёнными частями опубликованных данных (или при доступе к ним). Это свойство часто отсутствует и лишь немногие общие решения дают возможность достичь этой цели.

Несмотря на внушительное количество ранее опубликованных решений этих проблем, ни одного приемлемого определения безопасного и приватного управления пользовательским профайлом так и не было сформулировано даже с криптографической точки зрения.

В данной работе такое решение предложено в рамках строго определённой модели и доказуемо безопасных решений, как для гарантий конфиденциальности данных, которые пользователи сами публикуют в своих социальных профайлах, так и для приватности других пользователей, которым открыт доступ к этим данным. Для этого сперва было необходимо формально сформулировать понятия приватности и конфиденциальности в соответствующем контексте. Другое фундаментальное решение, предложенное авторами — схема управления профайлами (PMS). Эта схема определяет способность пользователей (владельцев профайлов) публиковать и удалять данные, также как и их возможность предоставлять, модифицировать и отзывать права доступа для опубликованных данных. По крайней мере, PMS может быть использована как строительный блок для приложений более высокого уровня или других средств, с помощью которых заинтересованные стороны смогут выполнять задачи такого рода.

После спецификации модели, авторы описывают два доказуемо безопасных решения, основанных на различных техниках: первое решение (PMS-SK) комбинирует симметричное шифрование на совместно используемых ключах, которые распространены среди авторизованных пользователей. Второе решение (PMS-BE) включает в себя техники широковещательного шифрования. Оба решения имеют свои преимущества и недостатки как с точки зрения производительности, так и уровня предоставляемой приватности. В частности, PMS-SK предоставляет конфиденциальность и совершенную несвязываемость, но приводит к накладным расходам на ключи, которые растут линейно в зависимости от количества атрибутов, к которым пользователь предоставляет доступ и которые он решил сохранить. PMS-BE уменьшает перерасход ключей до постоянного значения ценой меньшей приватности, выражаемой требованиями анонимности, которое авторы также моделируют и формально связывают с более сложным понятием несвязываемости. Оптимизации и компромиссы при гарантии безопасности авторы также рассматривают и учитывают.

Авторы рассматривают угрозы приватности в социальных сетях из предыдущих работ, а также применяемые решения защиты. Интересно ознакомиться с предложенными ранее криптографическими решениями. Лукас и др. предложили приложение flyByNight для шифрования данных в FaceBook. Тутунчан опубликовал систему Lockr, которая может использоваться для шифрования данных как в централизованных, так и в децентрализованных социальных сетях. Но ни одно из этих решений не выдерживает определённых атак на приватность и/или безопасность: flyByNight полагается на сервер FaceBook как на промежуточный (middleman) и таким образом позволяет ему производить инъекции злонамеренного кода. В Lockr злонамеренные пользователи могут изобличать отношения между ключами или метаданными для контроля доступа, компрометируя свойства приватности системы. Другое криптографическое решение — это Scramble! — плагин для Firefox, использующий стандарт OpenPGP для шифрования данных, основываясь на инфраструктуре открытых ключей. Помимо этого Scramble! пытается предоставить анонимность получателю за счёт удаления публично доступных идентификаторов в шифртексте и используя хранение данных на отдельных серверах, на которые указывают короткие веб-ссылки, что уменьшает объём шифртекста. Несмотря на это, такое решение приводит к линейно растущим дополнительным расходам на хранение данных и полагается на OpenPGP, что делает его уязвимым к атакам, описанным Бартом и др.

Часть решений опирается на более тонкие методы контроля доступа. Например Граффи и др. предложили метод основанный на симметричном шифровании профайлов с независимыми совместно используемыми ключами, однако фактически не дали формальной спецификации или анализа желаемых свойств безопасности и приватности. Социальная сеть "Persona", представленная Бэйденом и др. использует т.н. ciphertext-policy attribute-based encryption (CP-ABE) — политику шифрования атрибутов (например, доступ и расшифрование данных возможно при вычислении логической операции "И" над множествами "сосед" и "футбольный фанат"). Схожая система, EASiER использует CP-ABE совместно с полудоверенным прокси для обновления ключей и отзыва событий. Обе эти системы, основанные на конфиденциальности атрибутов, однако не обеспечивают гарантий приватности в достаточном объёме.

Недавно Жу и др. предложили фреймворк для совместного сотрудничества в социальных сетях, основанный на новой конвергентной криптосистеме для групповых работ. Их система больше ориентирована на защиту данных внутри сообществ, чем для отдельных пользовательских профайлов. Ещё более общее решение было сконструировано Бартом и др. для распространения шифрованного контента с сохранением приватности с использованием широковещательного шифрования с открытым ключом. Это представляет интерес в сокрытии получателей контента и может быть использовано совместно с предложенным в данной работе протоколом PMS-SK — для приватного распространения совместно используемых ключей шифрования при дополнительных накладных расходах на хранение данных, растущих линейно от числа получателей (и в других случаях от количества распространяемых шифртекстов).

В рассматриваемой в данной новости работе авторы приводят формальные определения и изучают свойства профайла, операций с ним (инициализации, публикации, получения, удаления, модификации доступа), модель действий противника, требований безопасности и приватности и отношения их с понятиями несвязываемости и анонимности, анализ сложности протоколов, их устойчивость к атакам с подобранным и адаптивно подобранным шифртекстом.

Авторы рассматривают возможность практического разворачивания своих протоколов PMS-SK и PMS-BE поверх популярных сетей на примере Facebook, Twitter и Flickr. В зависимости от числа контактов (которое может доходить до сотен) и числа атрибутов доступа (которые могут доходить до тысяч), количество расходов на избыточные данные балансирует от нескольких килобайт до 1 мегабайта (и лишь в редких случаях до 15 мегабайт), что позволяет (при наличии соответствующих программных приложений) разворачивать приватные социальные сети поверх существующих сервисов не только с декстопных компьютеров, но даже и со смартфонов.

---

Материалы данного исследования были допущены к презентации и публикации на пятнадцатой международной конференции по финансовой криптографии и безопасности данных FC 2011^[link6], в рамках международного симпозиума по практическому использованию и стандартизации криптографических протоколов RLCPS^[link7].

Исследование проведено на гранты DAAD PPP^[link8] — службы академических обменов Германии и BMBF^[link9] — Федерального министерства образования и науки Германии.

Источник: Cryptology ePrint Archive^[link10]