Technologie anonimowości w komunikacji elektronicznej

Podobne dokumenty
Wręczenie Nagrody im. Witolda Lipskiego

System anonimowej i poufnej poczty elektronicznej. Jakub Piotrowski

Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Kryptografia kwantowa. Marta Michalska

Systemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność

Sieci komputerowe. Wykład 11: Kodowanie i szyfrowanie. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

2 Kryptografia: algorytmy symetryczne

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Model OSI. mgr inż. Krzysztof Szałajko

Parametry systemów klucza publicznego

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

RSA. R.L.Rivest A. Shamir L. Adleman. Twórcy algorytmu RSA

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Bezpieczeństwo systemów komputerowych. Podpis cyfrowy. Podpisy cyfrowe i inne protokoły pośrednie

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 1

WLAN 2: tryb infrastruktury

Kodowanie i kompresja Tomasz Jurdziński Studia Wieczorowe Wykład Kody liniowe - kodowanie w oparciu o macierz parzystości

Informatyka kwantowa. Zaproszenie do fizyki. Zakład Optyki Nieliniowej. wykład z cyklu. Ryszard Tanaś. mailto:tanas@kielich.amu.edu.

Ataki na RSA. Andrzej Chmielowiec. Centrum Modelowania Matematycznego Sigma. Ataki na RSA p. 1

Elektroniczna Demokracja e-voting

Metody Rozmyte i Algorytmy Ewolucyjne

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 8

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Authenticated Encryption

Algorytmy asymetryczne

SSL (Secure Socket Layer)

0 + 0 = 0, = 1, = 1, = 0.

teoria informacji Kanały komunikacyjne, kody korygujące Mariusz Różycki 25 sierpnia 2015

Kodowanie i kompresja Streszczenie Studia dzienne Wykład 9,

WSIZ Copernicus we Wrocławiu

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Matematyka dyskretna. Wykład 11: Kryptografia z kluczem publicznym. Gniewomir Sarbicki

WYKŁAD 3. Witold Bednorz, Paweł Wolff. Rachunek Prawdopodobieństwa, WNE, Uniwersytet Warszawski. 1 Instytut Matematyki

Instytut Informatyki Uniwersytet Wrocławski. Dane w sieciach. (i inne historie) Marcin Bieńkowski

Szczegółowy opis przedmiotu zamówienia:

Kodowanie informacji

Analiza i Przetwarzanie Obrazów. Szyfrowanie Obrazów. Autor : Mateusz Nawrot

Szyfrowanie RSA (Podróż do krainy kryptografii)

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Wprowadzenie ciag dalszy

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

Uproszczony opis obsługi ruchu w węźle IP. Trasa routingu. Warunek:

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

Przesyłania danych przez protokół TCP/IP

Zarys algorytmów kryptograficznych

Sieci komputerowe. Wykład 11: Podstawy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 15, Kryptografia: algorytmy asymetryczne (RSA)

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Metody teorii gier. ALP520 - Wykład z Algorytmów Probabilistycznych p.2

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Teoria systemów uczacych się i wymiar Vapnika-Chervonenkisa

Wykład VII. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Bezpieczna poczta i PGP

5. Model komunikujących się procesów, komunikaty

Entropia to wielkość określająca liczbę bitów informacji zawartej w danej wiadomości lub źródle. Spełnia ona trzy naturalne warunki: I(s) jest

Kody Tunstalla. Kodowanie arytmetyczne

Metody probabilistyczne

3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S FAX SYSTEM

Niezawodność i diagnostyka systemów cyfrowych projekt 2015

Podstawy bezpieczeństwa w sieciach bezprzewodowych

urządzenia: awaria układów ochronnych, spowodowanie awarii oprogramowania

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Rozkłady prawdopodobieństwa

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Sieci komputerowe. Dr inż. Robert Banasiak. Sieci Komputerowe 2010/2011 Studia niestacjonarne

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Kilka słów o teorii kodów i kryptografii. głównie na podstawie prostych zagadek :)

bity kwantowe zastosowania stanów splątanych

Protokoły sieciowe - TCP/IP

Układy stochastyczne

Sieci Komputerowe Mechanizmy kontroli błędów w sieciach

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.

Przepustowość kanału, odczytywanie wiadomości z kanału, poprawa wydajności kanału.

WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Telefonia Internetowa VoIP

Problemy z bezpieczeństwem w sieci lokalnej

Krótka wycieczka do wnętrza komputera

Procesy stochastyczne

Spacery losowe generowanie realizacji procesu losowego

Obliczenia inspirowane Naturą

Kwantowe przelewy bankowe foton na usługach biznesu

Kryptografia-0. przykład ze starożytności: około 489 r. p.n.e. niewidzialny atrament (pisze o nim Pliniusz Starszy I wiek n.e.)

Zastosowania informatyki w gospodarce Wykład 5

VIII Festiwal Nauki i Sztuki. Wydziale Fizyki UAM

Przewodnik użytkownika

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Algorytmy MCMC i ich zastosowania statystyczne

bity kwantowe zastosowania stanów splątanych

DOKUMENTACJA TECHNICZNA SMS API MT

Kody splotowe. Zastosowanie

Rachunek prawdopodobieństwa Rozdział 4. Zmienne losowe

Transkrypt:

Technologie anonimowości w komunikacji elektronicznej Zjazd PTM 2004

Prywatność komunikacji szyfrowanie danych podpisy cyfrowe...

Prywatność komunikacji szyfrowanie danych podpisy cyfrowe... ale problemy z ukryciem komunikacji

Systemy komunikacji elektronicznej sieci TCP/IP wiadomości dzielone na pakiety, pakiety przesyłane w sposób niekontrolowalny przez nadawcę wiele serwerów po drodze ma pełny dostęp do wiadomości droga nieznana adres docelowy MUSI być widoczny, adres nadawcy może być sfałszowany

Potrzeba anonimowości komunikacji kontakty business to business (rozmowy w sprawie budowy fabryki samochodów...)

Potrzeba anonimowości komunikacji kontakty business to business (rozmowy w sprawie budowy fabryki samochodów...) ochrona konsumenta (spam reklamowy)

Potrzeba anonimowości komunikacji kontakty business to business (rozmowy w sprawie budowy fabryki samochodów...) ochrona konsumenta (spam reklamowy) ochrona prywatności ( Big Brother )

Potrzeba anonimowości komunikacji kontakty business to business (rozmowy w sprawie budowy fabryki samochodów...) ochrona konsumenta (spam reklamowy) ochrona prywatności ( Big Brother ) wybory elektroniczne

Potrzeba anonimowości komunikacji kontakty business to business (rozmowy w sprawie budowy fabryki samochodów...) ochrona konsumenta (spam reklamowy) ochrona prywatności ( Big Brother ) wybory elektroniczne bezpieczeństwo ekonomiczne i polityczne kraju Dzięki komunikacji elektronicznej białe szpiegostwo jest tanie, nie trzeba wysyłać szpiegów,...

Co może adwersarz GSM, GPRS, podsłuchiwanie transmisji wraz z zawartości a! z linii przesyłowych dostawcy

Co może adwersarz GSM, GPRS, podsłuchiwanie transmisji wraz z zawartościa! z linii przesyłowych dostawcy na poziomie komunikacji (stacja bazowa- telefon) trudne, wymaga specjalistycznego sprzętu, wysiłku,...

Co może adwersarz GSM, GPRS, UMTS podsłuchiwanie transmisji wraz z zawartościa! z linii przesyłowych dostawcy na poziomie komunikacji (stacja bazowa- telefon) trudne, wymaga specjalistycznego sprzętu, wysiłku,... solidny system pod względem bezpieczeństwa

Co może adwersarz GSM, GPRS, UMTS Internet podsłuchiwanie transmisji wraz z zawartościa! z linii przesyłowych dostawcy na poziomie komunikacji (stacja bazowa- telefon) trudne, wymaga specjalistycznego sprzętu, wysiłku,... solidny system pod względem bezpieczeństwa cały ruch przechodzacy przez węzły współpracujace z adwersarzem, adresów, numerów sekwencyjnych,... nie daje się szyfrować potrzebne dodatkowe mechanizmy tunelowanie, IPSec,...

Czy należy ufać? Enigma sprzedawana przez aliantów po wojnie zaprzyjaźnionym krajom III świata historia Crypto AG fundamentalne błędy w procedurze transportu klucza, IBM 4758

Wymagania wobec protokołów anonimowej komunikacji ograniczony wzrost ruchu w sieci skalowalność dowodliwa anonimowość

Najprostszy protokół: all-to-all każdy wysyła zaszyfrowana wiadomość tak aby wszyscy mogli ja odebrać tylko adresat może ja odczytać

Najprostszy protokół: all-to-all każdy wysyła zaszyfrowana wiadomość tak aby wszyscy mogli ja odebrać tylko adresat może ja odczytać idealna anonimowość możliwość implementacji np. w lokalnej sieci (np. w oparciu o Ethernet, token ring) ale zupełnie nierealistyczne rozwiazanie w skali globalnej

Idea Mix-ów Chauma Mix to rodzaj specjalnego serwera: pewna liczba wiadomości wchodzi równocześnie do Mix-a każda wiadomość jest przekodowywana wiadomości sa permutowane losowo i wychodza z Mix-a

Idea Mix-ów Chauma Mix to rodzaj specjalnego serwera: pewna liczba wiadomości wchodzi równocześnie do Mix-a każda wiadomość jest przekodowywana wiadomości sa permutowane losowo i wychodza z Mix-a Podstawowa własność: przy odpowiednim kodowaniu kryptograficznym nie można powiazać ze soba kodów na wejściu i wyjściu z Mix-a

Idea Mix-ów Chauma Mix to rodzaj specjalnego serwera: pewna liczba wiadomości wchodzi równocześnie do Mix-a każda wiadomość jest przekodowywana wiadomości sa permutowane losowo i wychodza z Mix-a Podstawowa własność: przy odpowiednim kodowaniu kryptograficznym nie można powiazać ze soba kodów na wejściu i wyjściu z Mix-a (przy ograniczonych zasobach obliczeniowych obecnie 2 80 operacji jest niewykonalne i to się zbytnio nie zmieni!)

Sieci Mix-ów kaskada mixów każdy mix jest administrowany przez kogo innego (zastosowanie: wybory elektroniczne, schemat Chauma)

Sieci Mix-ów kaskada mixów każdy mix jest administrowany przez kogo innego (zastosowanie: wybory elektroniczne, schemat Chauma) przetwarzanie równoległe małe mix-y permutuja małe zbiory wiadomości, wymieniajac sie wynikami, znów permutuja,...

Sieci Mix-ów kaskada mixów każdy mix jest administrowany przez kogo innego (zastosowanie: wybory elektroniczne, schemat Chauma) przetwarzanie równoległe małe mix-y permutuja małe zbiory wiadomości, wymieniajac sie wynikami, znów permutuja,... Problemy: jak łaczyć ze soba mix-y? jak blisko jesteśmy generowaniu losowej permutacji?

Zastosowania Anonymous remailer spam ukrywanie swej tożsamości na listach dyskusyjnych

Zastosowania Anonymous remailer spam ukrywanie swej tożsamości na listach dyskusyjnych ale też w szlachetnych celach: pokazywanie słabości w mechanizmach bezpieczeństwa (systemy operacyjne, algorytmy szyfrujace,...),

Dining Cryptographers Alicja albo Bob chce mi wysłać pojedynczy bit, ale tak abym nie wiedział od kogo go dostałem,

Dining Cryptographers Alicja albo Bob chce mi wysłać pojedynczy bit, ale tak abym nie wiedział od kogo go dostałem, Alicja i Bob rzucaja moneta, niech wynik będzie równy b

Dining Cryptographers Alicja albo Bob chce mi wysłać pojedynczy bit, ale tak abym nie wiedział od kogo go dostałem, Alicja i Bob rzucaja moneta, niech wynik będzie równy b jeśli osoba X nie chce przekazać mi bitu, to wysyła mi b,

Dining Cryptographers Alicja albo Bob chce mi wysłać pojedynczy bit, ale tak abym nie wiedział od kogo go dostałem, Alicja i Bob rzucaja moneta, niech wynik będzie równy b jeśli osoba X nie chce przekazać mi bitu, to wysyła mi b, jeśli osoba X chce przekazać mi o, to wysyła b, a jeśli 1, to wysyła mi 1 b,

Dining Cryptographers Alicja albo Bob chce mi wysłać pojedynczy bit, ale tak abym nie wiedział od kogo go dostałem, Alicja i Bob rzucaja moneta, niech wynik będzie równy b jeśli osoba X nie chce przekazać mi bitu, to wysyła mi b, jeśli osoba X chce przekazać mi o, to wysyła b, a jeśli 1, to wysyła mi 1 b, dekodowanie: XOR na otrzymanych bitach jeśli było wysyłane 0: b XOR b = 0 jeśli było wysyłane 1: b XOR (1 b) = 1

Dining Cryptographers dekodowanie: XOR na otrzymanych bitach jeśli było wysyłane 0: b XOR b = 0 jeśli było wysyłane 1: b XOR (1 b) = 1 anonimowość: jeśli było wysyłane 0: Alicja i Bob przesłali mi to samo jeśli było wysyłane 1: Alicja i Bob przesłali różne bity, aby wiedzieć kto wysłał b a kto 1 b trzeba znać losowe b

Dining Cryptographers dekodowanie: XOR na otrzymanych bitach jeśli było wysyłane 0: b XOR b = 0 jeśli było wysyłane 1: b XOR (1 b) = 1 anonimowość: jeśli było wysyłane 0: Alicja i Bob przesłali mi to samo jeśli było wysyłane 1: Alicja i Bob przesłali różne bity, aby wiedzieć kto wysłał b a kto 1 b trzeba znać losowe b idealna anonimowość problemy ze skalowalnościa

Bulletin Board wspólny kanał komunikacyjny (np. transmisja z satelity) wiadomości szyfrowane każdy może odebrać zaszyfrowana wiadomość, ale odczytać może tylko osoba posiadajaca odpowiedni klucz

Cebulki nadawca wiadomości wybiera losowa ścieżkę, po jakiej wiadomość ma iść do odbiorcy każdy serwer na ścieżce pozna tylko: od kogo dostał wiadomość i komu ja dalej przekazał odczytanie innych informacji z cebulki (adres końcowy, nadawca,...) ma być niewykonalne przy ograniczonych mocach obliczeniowych

Konstrukcja cebulki A wysyła wiadomość m zakodowana jako O do serwera B: A wybiera losowo λ pośrednich węzłów J 1,...,J λ ;

Konstrukcja cebulki A wysyła wiadomość m zakodowana jako O do serwera B: A wybiera losowo λ pośrednich węzłów J 1,...,J λ ; A tworzy cebulkę: O := Enc B (m)

Konstrukcja cebulki A wysyła wiadomość m zakodowana jako O do serwera B: A wybiera losowo λ pośrednich węzłów J 1,...,J λ ; A tworzy cebulkę: O := Enc Jλ (Enc B (m),b)

Konstrukcja cebulki A wysyła wiadomość m zakodowana jako O do serwera B: A wybiera losowo λ pośrednich węzłów J 1,...,J λ ; A tworzy cebulkę: O := Enc Jλ 1 (Enc Jλ (Enc B (m),b),j λ )

Konstrukcja cebulki A wysyła wiadomość m zakodowana jako O do serwera B: A wybiera losowo λ pośrednich węzłów J 1,...,J λ ; A tworzy cebulkę : O := Enc J1 (...(Enc Jλ 1 (Enc Jλ (Enc B (m),b),j λ ),J λ 1 )...,J 2 ).

Przetwarzanie cebulek A wysyła wiadomość m zakodowana jako O do serwera B: A przesyła O do J 1

Przetwarzanie cebulek A wysyła wiadomość m zakodowana jako O do serwera B: A przesyła O do J 1 J 1 deszyfruje O i otrzymuje pewne (O,J 2 )

Przetwarzanie cebulek A wysyła wiadomość m zakodowana jako O do serwera B: A przesyła O do J 1 J 1 deszyfruje O i otrzymuje pewne (O,J 2 ) J 1 przesyła O do J 2

Przetwarzanie cebulek A wysyła wiadomość m zakodowana jako O do serwera B: A przesyła O do J 1 J 1 deszyfruje O i otrzymuje pewne (O,J 2 ) J 1 przesyła O do J 2 J 2 deszyfruje.. J 2 przesyła.. do J 3

Przetwarzanie cebulek A wysyła wiadomość m zakodowana jako O do serwera B: A przesyła O do J 1 J 1 deszyfruje O i otrzymuje pewne (O,J 2 ) J 1 przesyła O do J 2 J 2 deszyfruje.. J 2 przesyła.. do J 3...

Protokół cebulkowy w akcji pojedyncza cebulka A

Protokół cebulkowy w akcji pojedyncza cebulka A

Protokół cebulkowy w akcji pojedyncza cebulka A

Protokół cebulkowy w akcji pojedyncza cebulka A

Protokół cebulkowy w akcji pojedyncza cebulka B A

Protokół cebulkowy w akcji wiele cebulek

Protokół cebulkowy w akcji wiele cebulek

Protokół cebulkowy w akcji wiele cebulek

Protokół cebulkowy w akcji wiele cebulek

Protokół cebulkowy w akcji wiele cebulek

Protokół cebulkowy w akcji wiele cebulek

Protokół cebulkowy w akcji wiele cebulek

Protokół cebulkowy w akcji wiele cebulek A miejsce przeznaczenia wiadomości wysłanej przez A?

Anonimowość Co oznacza anonimowość? nie można określić dokad Alicja przesłała wiadomość

Anonimowość Co oznacza anonimowość? nie można określić dokad Alicja przesłała wiadomość CZY

Anonimowość Co oznacza anonimowość? nie można określić dokad Alicja przesłała wiadomość CZY żadne istotne informacje odnośnie zachowania uczestników protokołu komunikacyjnego nie sa możliwe do wydedukowania

Dlaczego ścisła, matematyczna definicja anonimowości jest ważna Przykład: schemat wyborów droga elektroniczna Ewa analizuje prawdopodobieństwo, że Alicja głosowała na partię Y, dla każdego Y, jeśli rozkład zbliżony do jednostajnego, to często uważa się, że dowiedziono, iż schemat wyborów jest bezpieczny

Dlaczego ścisła, matematyczna definicja anonimowości jest ważna Przykład: schemat wyborów droga elektroniczna Ewa analizuje prawdopodobieństwo, że Alicja głosowała na partię Y, dla każdego Y, jeśli rozkład zbliżony do jednostajnego, to często uważa się, że dowiedziono, iż schemat wyborów jest bezpieczny NIEPRAWDA!

Dlaczego ścisła, matematyczna definicja anonimowości jest ważna Ewa być może nie potrafi określić na kogo głosowała Alicja,

Dlaczego ścisła, matematyczna definicja anonimowości jest ważna Ewa być może nie potrafi określić na kogo głosowała Alicja, ale może wykazać, że Alicja i Jurek głosowali na tę sam a partię z prawdopodobieństwem 99%,

Dlaczego ścisła, matematyczna definicja anonimowości jest ważna Ewa być może nie potrafi określić na kogo głosowała Alicja, ale może wykazać, że Alicja i Jurek głosowali na tę sama partię z prawdopodobieństwem 99%,... i wystarczy kupić od Jurka informacje na temat jego głosu.

Prace na temat anonimowości Ron Berman, Amos Fiat, Amnon Ta-Shma powiedzieli: Literally dozens (hundreds?) of papers since, dedicated conferences, etc., etc. Many implementations Typical paper: Attack on prior protocol(s) Suggest new protocol Repeat Very few attempts to give rigorous definitions, let alone proofs Notable exception: Rackoff and Simon, 1993

k-anonymity pojęcie używane intensywnie w systemach bazodanowych, każda osoba ma być nierozróżnialna od k innych osób jeśli prokurator oskarża Alicję o pewien czyn, to Alicja broni się wskazujac k innych, równo prawdopodobnych podejrzanych

k-anonymity pojęcie używane intensywnie w systemach bazodanowych, każda osoba ma być nierozróżnialna od k innych osób jeśli prokurator oskarża Alicję o pewien czyn, to Alicja broni się wskazujac k innych, równo prawdopodobnych podejrzanych Problem: niski poziom anonimowości skuteczny przy unikaniu odpowiedzialności przy domniemaniu niewinności, ale nieskuteczny przy domniemaniu winy

Anonymity set niech A będzie zbiorem wszystkich potencjalnych odbiorców wiadomości m (tj. takich, dla których prawdopodobieństwo otrzymania m jest dodatnie - przestrzeń jest dyskretna) A jest nazywany anonymity set dla wiadomości m miara anonimowości: moc zbioru A

Anonymity set niech A będzie zbiorem wszystkich potencjalnych odbiorców wiadomości m (tj. takich, dla których prawdopodobieństwo otrzymania m jest dodatnie - przestrzeń jest dyskretna) A jest nazywany anonymity set dla wiadomości m miara anonimowości: moc zbioru A Problem: jeśli moc zbioru jest mała, to mamy niski poziom anonimowości, jeśli moc jest duża, to niekoniecznie świadczy to o wysokim poziomie anonimowości,

Najwyższe prawdopodobieństwa miara anonimowości: najwyższe prawdopodobieństwo w anonymity set

Entropia rozważmy prawdopodobieństwa dla każdej lokalizacji z A miara anonimowości: entropia tego rozkładu motywacja: entropia mówi, ile średnio bitów potrzeba do określenia aktualnej lokalizacji

Problemy z tymi definicjami tylko jedna wiadomość brana pod uwagę a zależności między wiadomościami moga odgrywać kluczowa rolę

Problemy z tymi definicjami oczywisty przykład: pseudo-mix input: n wiadomości na pozycjach od 0 do n 1

Problemy z tymi definicjami oczywisty przykład: pseudo-mix input: n wiadomości na pozycjach od 0 do n 1 przekodowywanie wiadomości metodami kryptograficznymi jak zwykle

Problemy z tymi definicjami oczywisty przykład: pseudo-mix input: n wiadomości na pozycjach od 0 do n 1 przekodowywanie wiadomości metodami kryptograficznymi jak zwykle permutowanie : r < n wybierane losowo z jednostajnym prawdopodobieństwem,

Problemy z tymi definicjami oczywisty przykład: pseudo-mix input: n wiadomości na pozycjach od 0 do n 1 przekodowywanie wiadomości metodami kryptograficznymi jak zwykle permutowanie : r < n wybierane losowo z jednostajnym prawdopodobieństwem, przekodowana wiadomość z pozycji i przesuwana na pozycję i + r mod n.

Problemy z tymi definicjami oczywisty przykład: pseudo-mix input: n wiadomości na pozycjach od 0 do n 1 przekodowywanie wiadomości metodami kryptograficznymi jak zwykle permutowanie : r < n wybierane losowo z jednostajnym prawdopodobieństwem, przekodowana wiadomość z pozycji i przesuwana na pozycję i + r mod n. adwersarz może przesłać swoja wiadomość, zobaczyć gdzie trafiła.. i ma r. Pożegnanie z anonimowościa!

Problemy z tymi definicjami oczywisty przykład: pseudo-mix input: n wiadomości na pozycjach od 0 do n 1 przekodowywanie wiadomości metodami kryptograficznymi jak zwykle permutowanie : r < n wybierane losowo z jednostajnym prawdopodobieństwem, przekodowana wiadomość z pozycji i przesuwana na pozycję i + r mod n. adwersarz może przesłać swoja wiadomość, zobaczyć gdzie trafiła.. i ma r. Pożegnanie z anonimowościa! ale entropia dla każdej pojedynczej wiadomości wynosi log n (maksymalna wartość)

Analiza ruchu rozważmy sieć komunikacyjna z protokołem, w którym wiadomości sa kodowane i przekodowywane w sposób nie do złamania

Analiza ruchu rozważmy sieć komunikacyjna z protokołem, w którym wiadomości sa kodowane i przekodowywane w sposób nie do złamania ile zyskuje adwersarz przez obserwowanie ruchu?

Analiza ruchu rozważmy sieć komunikacyjna z protokołem, w którym wiadomości sa kodowane i przekodowywane w sposób nie do złamania ile zyskuje adwersarz przez obserwowanie ruchu? czasami adwersarz dowie się wszystkiego (np. gdy różne wiadomości ida rozłacznymi ścieżkami)

Analiza ruchu rozważmy sieć komunikacyjna z protokołem, w którym wiadomości sa kodowane i przekodowywane w sposób nie do złamania ile zyskuje adwersarz przez obserwowanie ruchu? czasami adwersarz dowie się wszystkiego (np. gdy różne wiadomości ida rozłacznymi ścieżkami) często źródła wiadomości i ich miejsca przeznaczenia nie moga być ukryte ale powiazanie ich ma być trudne

Punkt widzenia adwersarza bez informacji o ruchu dla każdego węzła wie: ile wiadomości wysłał poczatkowo, ile wiadomości w końcu dostarczono.

Punkt widzenia adwersarza bez informacji o ruchu dla każdego węzła wie: ile wiadomości wysłał poczatkowo, ile wiadomości w końcu dostarczono. zmienna losowa π: π(j) = i wiadomość i-ta dociera do j-tego miejsca przeznaczenia rozkład prawdopodobieństwa π określa informacje potencjalnie dostępne adwersarzowi

Punkt widzenia adwersarza z informacja o ruchu tak jak poprzednio, ale dodatkowo adwersarz wie, kiedy i po których liniach były przesyłane wiadomości

Rozkład prawdopodobieństwa teraz prawdopodobieństwa warunkowe: Pr[π c] gdzie c opisuje zaobserwowany ruch różne c moga różnie wpływać na wartości prawdopodobieństw warunkowych,

Rozkład prawdopodobieństwa teraz prawdopodobieństwa warunkowe: Pr[π c] gdzie c opisuje zaobserwowany ruch różne c moga różnie wpływać na wartości prawdopodobieństw warunkowych, cel: prawdopodobieństwa warunkowe powinny być prawie takie same jak te bez informacji o ruchu

Rozkład prawdopodobieństwa teraz prawdopodobieństwa warunkowe: Pr[π c] gdzie c opisuje zaobserwowany ruch różne c moga różnie wpływać na wartości prawdopodobieństw warunkowych, cel: prawdopodobieństwa warunkowe powinny być prawie takie same jak te bez informacji o ruchu nie zawsze możliwe zmodyfikowany cel: otrzymać tę własność dla prawie wszystkich c, tj. z wysokim prawdopodobieństwem.

Odległość rozkładów Variation distance rozważamy rozkłady µ 1 and µ 2 na przestrzeni dyskretnej Ω variation distance: µ 1 µ 2 = 1 2 µ 1 (ω) µ 2 (ω). ω Ω

Definicja anonimowości oparta o variation distance Π Π C...(jakaś mała liczba) gdzie Π jest rozkładem prawdopodobieństwa π, Π C jest rozkładem prawdopodobieństwa π pod warunkiem informacji o ruchu C

Definicja anonimowości oparta o wzajemna informację podejście teorio-informacyjne intuicyjnie: ile bitów informacji o Π otrzymujemy poprzez wiedzę o C?

Definicja anonimowości oparta o wzajemna informację podejście teorio-informacyjne intuicyjnie: ile bitów informacji o Π otrzymujemy poprzez wiedzę o C? definicje te sa z grubsza równoważne oszacowania Berman, Fiat, Ta-Shma, 2004

Rezultaty na temat protokołu cebulkowego Jaka długość ścieżki λ gwarantuje wysoka anonimowość (mała variation distance)? Gdy adwersarz widzi cały ruch:

Rezultaty na temat protokołu cebulkowego Jaka długość ścieżki λ gwarantuje wysoka anonimowość (mała variation distance)? Gdy adwersarz widzi cały ruch: Rackoff, Simon (ACM STOC 93): bezpieczeństwo dla λ log 11 n, specjalne założenie: a i-tym etapie wiadomości pozostaja w grupach złożonych z 2 i węzłów, każdy serwer wysyła jedna wiadomość

Rezultaty na temat protokołu cebulkowego Jaka długość ścieżki λ gwarantuje wysoka anonimowość (mała variation distance)? Gdy adwersarz widzi cały ruch: Rackoff, Simon (ACM STOC 93): bezpieczeństwo dla λ log 11 n, specjalne założenie: a i-tym etapie wiadomości pozostaja w grupach złożonych z 2 i węzłów, każdy serwer wysyła jedna wiadomość Czumaj, Kanarek, Kutyłowski, Loryś (ACM SODA 99): przy tych samych założeniach dla λ log 2 n

Rezultaty na temat protokołu cebulkowego Gdy adwersarz widzi tylko część połaczeń:

Rezultaty na temat protokołu cebulkowego Gdy adwersarz widzi tylko część połaczeń: Berman, Fiat, Ta-Shma (FC 2004) dla λ log 4 n dla n wiadomości oraz variation distance 1/n

Rezultaty na temat protokołu cebulkowego Gdy adwersarz widzi tylko część połaczeń: Berman, Fiat, Ta-Shma (FC 2004) dla λ log 4 n dla n wiadomości oraz variation distance 1/n Gomułkiewicz, Klonowski, Kutyłowski (ISC 2004) λ logn steps, optymalny rezultat dla λ = o(logn) nie jest to możliwe

Techniki dowodowe - rapid mixing i anonimowość rozważamy proces stochastyczny przekazywania wiadomości w każdym kroku wiadomości sa przekodowywane w węzłach i.. przesyłane dalej do losowo wybranych lokalizacji

Techniki dowodowe - rapid mixing i anonimowość rozważamy proces stochastyczny przekazywania wiadomości w każdym kroku wiadomości sa przekodowywane w węzłach i.. przesyłane dalej do losowo wybranych lokalizacji adwersarz widzi ruch (cały lub na określonych liniach komunikacyjnych)

Techniki dowodowe - rapid mixing i anonimowość rozważamy proces stochastyczny przekazywania wiadomości w każdym kroku wiadomości sa przekodowywane w węzłach i.. przesyłane dalej do losowo wybranych lokalizacji adwersarz widzi ruch (cały lub na określonych liniach komunikacyjnych) Jak długo proces musi trwać, aby zbliżyć się do rozkładu stacjonarnego?

Rapid mixing nie chodzi o zbieżność do rozkładu stacjonarnego ale o tempo zbieżności różnorodne techniki: metoda potencjału coupling path coupling delayed path coupling... algorytmy oparte o rapid mixing

Konkluzje istnieja techniki dobrze chroniace anonimowość, ale uwaga - diabeł tkwi w szczegółach!

Konkluzje istnieja techniki dobrze chroniace anonimowość, ale uwaga - diabeł tkwi w szczegółach! znaczacy postęp w matematycznych metodach oceny poziomu anonimowości ale też rosnace szpiegostwo elektroniczne

Dziekuję za uwagę!

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres