网络安全知识体系1.1隐私和在线权利(十三):隐私工程及结论

admin
admin
admin
101399
文章
87
评论
2022年6月10日13:35:17评论28 views字数 2436阅读8分7秒阅读模式

5  隐私工程

 

社会上日益增长的隐私问题使得“隐私设计”的概念在政策制定者中非常受欢迎。这一概念倡导设计和开发集成隐私价值的系统,以解决用户的担忧。但是,围绕这一概念的文献很少涉及隐私保护的设计、实施以及将隐私保护集成到产品和服务中背后的实际过程。

在这个知识领域,我们首先概述了隐私技术的前景,随后提供了一系列示例,其中这些技术被组合在一起,以支持电子系统的使用,同时保持核心民主价值观。在本节中,我们详细阐述了这些和其他隐私保护系统背后的设计原则。我们简要讨论了如何使用这些原则来通常处理嵌入强大隐私保护的系统工程。我们向读者推荐了作品byGu ̈rses等人。对这些原则及其在隐私保护系统设计中的作用进行了全面的解释。帮助读者理解这些原则的相关论文是Hoepman关于隐私策略的工作

设计隐私保护系统的两个主要目标是:

  • 最小化信任限制依赖其他实体在敏感数据方面按预期行事的需要例如,在基于混音的电子投票中,信任不仅分布在管理混音的实体之间,而且实施了可验证的洗牌,以最大限度地限制对每个混音良好行为的依赖程度。同样,用于实现隐私保护电子请愿书的加密原语不需要对注册机构的信任来保护签名者的身份。

l将风险降至最低:限制隐私泄露的可能性和影响。例如,在Tor中破坏一个中继不会提供有关用户浏览习惯的任何敏感信息。如果一个人破坏了入口节点,就不能知道通信的目的地,只能学习电路的中间节点;如果破坏了出口节点,就不能知道通信的起源

为了最大限度地减少信任和风险,隐私专家通常根据以下策略设计系统:

  • 最小化收集:尽可能限制在系统中捕获和存储数据。

  • 尽量减少披露:尽可能将信息流限制在与数据相关的实体以外的各方这既指发送方和接收方之间的直接流也指间接流,例如,使用控制技术来限制发布或查询数据。

  • 最小化复制:尽可能限制以明文形式存储或处理数据的实体数

  • 最小化集中化:尽可能避免与系统中的隐私属性有关的单点故障。

  • 最小化可链接性:尽可能限制对手链接数据的能力

  • 最小保留:尽可能限制信息的存储时间。

最初实施这些策略似乎与维护系统的完整性不兼容。例如,如果没有披露或收集任何信息,如何确保没有实体滥用该系统?如果没有中央机构如何确保身份验证和授权按预期工作?这就是隐私技术发挥作用的地方它们使系统的设计成为可能,其中尽可能少的信息被揭示给与信息相关的各方以外的各方,并且最不需要信任提供者或其他用户为了保护敏感信息的隐私,同时仍然与完整性相关并允许信息交换。

为了确定哪种隐私技术最适合构建系统,一步是确定应该最小化的数据流;即那些将数据移动到与数据无关的实体的数据流。第二步是确定需要传输到这些实体的最小数据集。为了确定需要传输的最少所需信息,设计人员应尝试在不损害功能的情况下,将尽可能多的数据保留在这些实体无法访问的地方。的系统。尽量减少不必要的信息流动的战略(主要基于整个科介绍的技术

1是:

  • 将数据保留在本地:对用户端的敏感数据进行任何计算,并且仅传输操作结果。可能需要其他信息,例如零知识证明或承诺,以保证操作的正确性。

  • 加密数据:在本地加密数据,仅将加密版本发送给其他实体。如果需要对数据执行任何操作,请参阅下一点。

  • 使用保护隐私的加密协议:在本地处理数据以获取对协议的输入,其中通过使用其中一个与不受信任的实体进行交互在前面几节中介绍的协议中,用户可以获取或证明信息,同时限制提供给这些实体的信息。例如,使用匿名凭据进行身份验证而不泄露属性的身份甚至值,或者使用私人信息检索对数据库执行搜索而不向数据库持有者显示查询。

l对数据进行模糊处理:使用技术控制推理以在本地处理数据,并仅将扰动版本发送到不受信任的实体。

  • 匿名化数据:在本地处理数据以删除可识别信息,并通过匿名渠道将其发送给不受信任的一方。

通过寻求最小化信任并使用上述技术,系统设计人员必须收集,处理和保留的数据少于基于合规性的其他策略。我们认识到,如果不收集一些与用户相关的数据,就无法构建许多系统和应用程序。对于这些情况,设计人员必须考虑本节中概述的隐私技术。2节和第2款。3.这些技术虽然需要信任,但有助于最大限度地降低违规风险,如果发生违规行为,则可最大限度地减少数据泄露可能对用户产生的影响。

隐私评估。一旦设计了隐私技术或端到端系统,进行隐私评估非常重要。该评估的目标是量化技术和系统可以提供的隐私级别。

对于基于加密基元的隐私技术,隐私评估通常涵盖加密证明,以确保操作仅泄露预期信息。相反,对于基于混淆的隐私技术,有必要进行分析以验证技术的组合是否提供了所需的隐私级别。

系统隐私评估通常包括以下步骤。首先,需要将隐私保护机制建模为概率转换。这建立了给定输入的隐私机制返回给定输出的概率。其次,需要建立威胁模型,即对手可以看到什么以及她先验的知识是什么。第三,假设对手知道该机制,请考虑他将如何取消隐私机制的效果。这通常需要对概率分布进行分析,或者使用机器学习等推理技术来计算对手可以学到的东西。

在过程结束时,通常有一个分布,描述对手推断每个可能输入的概率。然后,此概率分布将用作捕获对手推理能力的隐私指标的输入。我们向读者推荐Wagner和Eckhoff的调查,以全面描述文献中的隐私指标。

 

6  结论

正如我们在本知识领域所描述的那样,保护隐私不仅限于保证信息的机密性。它还需要帮助用户了解其信息在线可用性的程度的方法,以及使用户能够对这些信息进行控制的机制。我们已经描述了实现这三种隐私概念的技术,强调了它们运行的对抗性模型,并提供了结合这些技术的指南,以构建端到端的隐私保护系统。

保护隐私和在线权利不仅对个人很重要,而且对支持民主社会也至关重要。隐私技术的部署是允许用户自由访问内容和言论自由的关键。同样重要的是避免任何实体获得关于个人或团体的不成比例的信息,以防止可能受到操纵和滥用,损害民主价值观。

原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1隐私和在线权利(十三):隐私工程及结论

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月10日13:35:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知识体系1.1隐私和在线权利(十三):隐私工程及结论http://cn-sec.com/archives/1104156.html

发表评论

匿名网友 填写信息