Степень анонимности - Degree of anonymity

В сети анонимности (например., Tor, Толпы, Mixmaster, I2P и т. д.), важно иметь возможность количественно измерить гарантии, предоставляемые системе. В степень анонимности это устройство, которое было предложено на конференции по технологии повышения конфиденциальности (PET) в 2002 году. Было два документа, в которых высказывалась идея использования энтропия в качестве основы для формального измерения анонимности: «На пути к теоретической метрике анонимности» и «На пути к измерению анонимности». Представленные идеи очень похожи с небольшими отличиями в окончательном определении термина. .

Фон

Были разработаны сети анонимности, и многие из них ввели методы доказательства возможных гарантий анонимности, первоначально с помощью простых Смеси Chaum и Pool Mixes размер группы пользователей рассматривался как безопасность, которую система могла обеспечить пользователю. Это имело ряд проблем; интуитивно понятно, что если сеть является международной, то маловероятно, что сообщение, содержащее только урду, пришло из Соединенных Штатов, и наоборот. Подобная информация и с помощью таких методов, как предшествующая атака и атака на перекрестке помогает злоумышленнику увеличить вероятность того, что пользователь отправил сообщение.

Пример с миксами пула

AD Pool Mix.jpgВ качестве примера рассмотрим сеть, показанную выше, здесь и являются пользователями (отправителями), , и это серверы (приемники), ящики - миксы, а , и куда обозначает набор анонимности. Теперь, когда есть смеси для бассейнов пусть будет ограничение на количество входящих сообщений для ожидания перед отправкой ; как таковой, если , или же общается с и получает сообщение тогда знает, что это должно было прийти из (поскольку связи между миксами могут иметь только сообщение за раз). Это никак не отражается на анонимность установлена, но это следует учитывать при анализе сети.

Степень анонимности

Степень анонимности учитывает вероятность, связанную с каждым пользователем, она начинается с определения энтропия системы (здесь статьи немного отличаются, но только обозначениями, мы будем использовать обозначения из [1].):
,куда энтропия сети, - количество узлов в сети, а вероятность, связанная с узлом .Теперь максимальная энтропия сети возникает, когда с каждым узлом связана равномерная вероятность и это дает Степень анонимности (сейчас статьи немного различаются по определению, [2] определяет ограниченную степень, в которой она сравнивается с и [3] дает неограниченное определение - используя энтропию напрямую, мы будем рассматривать здесь только ограниченный случай) определяется как
. С помощью этой системы анонимности можно сравнивать и оценивать с помощью количественного анализа.

Определение атакующего

Эти документы также служили для краткого определения злоумышленника:

Внутренний / Внешний
ан внутренний злоумышленник контролирует узлы в сети, в то время как внешний может только нарушить каналы связи между узлами.
Пассивный / Активный
ан активный злоумышленник может добавлять, удалять и изменять любые сообщения, тогда как пассивный злоумышленник может только прослушивать сообщения.
Местный / Глобальный
а местный злоумышленник имеет доступ только к части сети, тогда как Глобальный может получить доступ ко всей сети.

Пример

В статьях есть ряд примеров расчетов ; мы рассмотрим некоторые из них здесь.

Толпы

В Толпы существует глобальная вероятность пересылки (), что является вероятностью того, что узел перешлет сообщение внутри себя, а не до конечного пункта назначения. Пусть будет поврежденные узлы и всего узлов. В Толпы атакующий может быть внутренним, пассивным и локальным. Тривиально , и в целом энтропия , делится ли это значение на [4].

Луковая маршрутизация

В луковая маршрутизация предположим, что злоумышленник может исключить подмножество узлов из сети, тогда энтропия легко будет , куда - размер подмножества неисключенных узлов. В модели атаки, где узел может одновременно прослушивать передачу сообщений глобально и является узлом на пути к этому уменьшается к , куда длина лукового пути (может быть больше или меньше, чем ), поскольку в луковичной маршрутизации не предпринимается попыток устранить корреляцию между входящими и исходящими сообщениями.

Применение этой метрики

В 2004 году Диас, Сассаман, а ДеВитт представил анализ[5] двух анонимных ремейлеры используя метрику Сержантова и Данезиса, показав, что один из них обеспечивает нулевую анонимность при определенных реальных условиях.

Смотрите также

Рекомендации

  1. ^ Видеть На пути к измерению анонимности Клаудиа Диас и Стефаан Сейс, Йорис Классенс и Барт Пренель (апрель 2002 г.). Роджер Дингледин и Пол Сиверсон (ред.). «На пути к измерению анонимности». Труды семинара по технологиям повышения конфиденциальности (ПЭТ 2002). Springer-Verlag, LNCS 2482. Архивировано из оригинал (– Академический поиск) 10 июля 2006 г.. Получено 2005-11-10.
  2. ^ Видеть На пути к теоретико-информационной метрике анонимностиАндрей Сержантов и Георгий Данезис (апрель 2002 г.). Роджер Дингледин и Пол Сиверсон (ред.). «На пути к теоретико-информационной метрике анонимности». Труды семинара по технологиям повышения конфиденциальности (ПЭТ 2002). Springer-Verlag, LNCS 2482. Архивировано из оригинал 19 июля 2004 г.. Получено 2005-11-10.
  3. ^ Видеть Сравнение двух практических смесей Клаудиа Диас, Лен Сассаман и Эвелин Девитт (сентябрь 2004 г.). Дитер Голлманн (ред.). «Сравнение двух практических смесей» (PDF). Труды Европейского симпозиума по исследованиям в области компьютерной безопасности (ESORICS 2004). Springer-Verlag, LNCS 3193. Получено 2008-06-06.