Компания Google представила (https://security.googleblog.com/2019/06/helping-organization...) криптографический протокол конфиденциального многостороннего вычисления Private Join and Compute (https://github.com/Google/private-join-and-compute), позволяющий проводить анализ и вычисления над зашифрованными наборами данных от нескольких участников, сохраняя конфиденциальность данных каждого участника (каждый участник не имеется возможности получить информацию о данных других участников, но может производить над ними обобщённые вычисления без расшифровки). Код реализации протокола открыт (https://github.com/Google/private-join-and-compute) под лицензией Apache 2.0.
Private Join and Compute позволяет (https://eprint.iacr.org/2019/723) передать приватный набор записей третьему лицу, которое сможет выполнить его анализ и в обобщённом виде оценить различия со своим набором, но не имеет возможность узнать значения конкретных записей. Например, имеется возможность в зашифрованном наборе данных получить такие сведения, как число совпадающих со своим набором идентификаторов и суммы значений записей с совпадающими идентификаторами. При этом невозможно узнать какие именно значения и идентификаторы присутствуют в наборе.Предложенная система может оказаться полезной, например, когда одно медицинское учреждение имеет сведения о состоянии здоровья пациентов, а другое о назначении нового профилактического лекарства. Протокол "Private Join and Compute" позволяет не раскрывая информации, объединить зашифрованные наборы данных и вывести общую статистику, которая позволит понять снижает ли назначенный препарат заболеваемость или нет.
Другой пример, когда на основе базы сотрудников одной компании и данных о покупках от другой, можно вычислить сколько сотрудников из первой компании осуществили покупки во второй и на какую сумму (в контексте рекламных сетей можно производить подобные вычисления, оперируя списками пользователей которым была показана реклама и которые сделали покупки в интернет-магазине). Ещё один пример, кода на основе базы аварий от госавтоинспекции и базы применения усовершенствованных средств безопасности в автомобилях можно оценить влияет ли появление этих средств на число аварий.
URL: https://security.googleblog.com/2019/06/helping-organization...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50915
Напомнило бородатый анекдот: Два санитара несут клизму по коридору. Главврач: "Почему с клизмой двое?!" Один из санитаров: "Я знаю - как, а он - куда"
всё так.
В подзаголовок к новости просится )
Комментарий зануды: санитары не ставят клизмы, этим занимается средний медицинский персонал. При этом санитары могут помочь поддержать, повернуть пациента. Но сами они подобные манипуляции осуществлять не имеют права.Понятно, что в военное время, или ещё в какой экстренной ситуации, обстоятельства могут сложиться так, что санитарам придётся что-то делать им не свойственное, но на то это и форс-мажор.
Только все эти privacy-preserving data mining пока представляют только чисто академический интерес: защита приватности сказывается на точности и отладить её сложнее. Единственное реальное приминение - обход законов о защите приватности, но тут проще и выгоднее пролоббировать и иметь неограниченный доступ к данным.
Теперь гугл может создать систему платного просмотра контента, в которой оплата за просмотр странички будет осуществляться в реальном времени без раскрытия личности пользователя всем этим многочисленным сайтикам, которые тут же рванут устанавливать себе фреймворк, чтобы срубить ещё немного бобла. И пользователю будет удобно - заплатил гуглу и смотри себе новости без рекламы, не нужно будет случайно попав на страницу со слоем "отключи рекламу" лезть в в бровсерные тулзы чтобы убрать отображение этого слоя. Ну в самом деле, не будешь же платить каждому сайту по 0.0001 цента за просмотр странички, а реклама бесполезна, бесит и отвлекает. А тут как манна небесная - фреймворк от Гугла, не нарушающий конфиденциальность! Я уже сейчас вижу огромные очереди румяных пользователей интернета, спешащих предоплатить в гугле 50 баксов за следующий месяц просмотра этих ваших домашних страничек.
Нет, не может.>без раскрытия личности пользователя
Личность раскрывается IP-адресом.
>которые тут же рванут устанавливать себе фреймворк, чтобы срубить ещё немного бобла
можно просто договориться о сливе данных. Кому нужно заработать - тот давно уже умеет торговать и делиться данными со своими бизнес-партнёрами. Не надо путать бизнес с благотворительностью.
> Личность раскрывается IP-адресом.АйПи адрес раскрывается хосту, к которому устанавливается соединение. Третья сторона знает, что ты ходил зачем-то к конкретному получателю бобла (у которого может быть куча разных сервисов), но зачем конкретно - третье лицо не знает. Поэтому с гугла можно будет спросить список лиц, обращавшихся к ресурсам владельца сервиса примерно в то время, когда на одном из его платных сайтов был через анонимайзер размещён пламенный призыв к свержению госстроя, но конкретных улик получить не удастся.
Кроме того, это легитимизирует слежку за пользователями. Если аналитика не очень интересует что ты лично там жрёшь и какие лекарства принимаешь, но общие тренды, типа толпы васянов сначала воспользовались услугами сервисов розничной сети Х, продающей пиццу в интернете, потом гуглили слово "диаррея" а потом развивали необычную для себя активность на сайтах медицинских учреждений уже может о чем-то аналитику сказать. Ради такой аналитики гугл, небось, может вообще проценты с сайтов не брать, главное подмять под себя весь интернет- и у них будет такой продукт, которого не может быть ни у кого.
> можно просто договориться о сливе данных.
Можно просто договориться и ограбить банк. Сейчас приватность информации начинают правово регулировать и делать так, чтобы бизнесам было не выгодно договариваться побарыжить приватной информацией.
>Единственное реальное приминение - обход законов о защите приватностиНе обход, а соблюдение.
>но тут проще и выгоднее пролоббировать и иметь неограниченный доступ к данным.
GDPR в Европе провели, и пролоббировать не получилось, приходится заниматься наукой.
а как там с обратной деанонимизацией по совокупности признаков?
Ничего не понял, но очень интересно.
> медицинское учреждение
> базы аварий от госавтоинспекцииАхахахаха, что ты делаешь гугол, прекрати. Вот в последний пример охотно верю.
> базы аварий от госавтоинспекции и базы применения усовершенствованных средств безопасности в автомобиляхНе понял как обеспечивается приватность данных...
Если в базе от ГАИ есть ID, то можно вытащить всю информацию через 100500 запросов: если ID = 123 и были аварии, если ID = 123 и фамилия = Иванов... и т.п.Что я не понял? =)
Ну вот именно это и декларируется, что сопоставить нельзя будет того, кто покупал кирзовые сапоги в военторге в районе вскрытого разведкой размещения МБР с тем, кто покупал пиццу в том же районе, а потом начал покупать это всё в другом районе. Ты же не будешь заказывать доставку пиццы и кирзовых сапог, скажем, из Новосибирска в Калининград.
Интересная реализация гомоморфного шифрования.
Похоже этот протокол можно использовать для тайного но верифицированного голосования