• Home
  • Chimica
  • Astronomia
  • Energia
  • Natura
  • Biologia
  • Fisica
  • Elettronica
  • L'attacco dei ricercatori al sistema di privacy dei dati mostra che il rumore perde proprio i dati che sta cercando di proteggere

    Nell'attacco di sfruttamento del rumore, i ricercatori possono determinare le informazioni private di un individuo con elevata precisione conoscendo solo alcuni attributi dell'individuo. Credito:Gadotti et al.

    Dimostrando quanto sia difficile proteggere i dati privati, ricercatori dell'Imperial College di Londra hanno presentato un attacco a un nuovo sistema di privacy dei dati chiamato Diffix, la cui tecnologia innovativa è stata recentemente commercializzata e approvata dall'autorità francese per la protezione dei dati CNIL per soddisfare tutti i criteri per il GDPR (regolamento generale sulla protezione dei dati), la nuova legge sulla protezione dei dati dell'UE che entrerà in vigore alla fine di maggio.

    Ma ora i ricercatori hanno dimostrato che, utilizzando solo cinque attributi di un individuo e ponendo 10 domande scelte con cura al sistema basato su query, è possibile determinare gli attributi privati ​​dell'individuo con una precisione fino al 99%.

    I ricercatori, Andrea Gadotti, Florimond Houssiau, Luca Rocher, e Yves-Alexandre de Montjoye dei dipartimenti di informatica e scienza dei dati dell'Imperial College di Londra, hanno scritto un articolo sul loro attacco di sfruttamento del rumore su Diffix, che è stato sviluppato dalla start-up tedesca Aircloak. Diffix utilizza la tecnologia sperimentata dai ricercatori del Max Planck Institute per diversi anni.

    Come spiegano i ricercatori dell'Imperial College di Londra, lo scopo del loro attacco è evidenziare la necessità sia della piena trasparenza di tutti i nuovi sistemi di riservatezza dei dati, insieme a una comunità che ha pieno accesso alle tecniche per rilevare e discutere potenziali vulnerabilità.

    "Dobbiamo accettare che nessun sistema è perfetto, " scrivono i ricercatori nel loro blog al Computational Privacy Group. "Ci saranno attacchi, e alcuni di loro avranno successo. Dobbiamo prepararci per questo e imparare dalle migliori pratiche in materia di sicurezza:garantire che esistano diversi livelli di sicurezza, non avere tutti i dati in un unico posto (quello che Jean-Pierre Hubaux chiama l'approccio di Fort Knox), ecc. Abbiamo anche bisogno che standard e sistemi siano completamente trasparenti e aperti. La creazione di sistemi sicuri richiede che chiunque sia in grado di rivedere il codice senza barriere tecniche o legali, proporre soluzioni e costruire sul lavoro esistente."

    I sistemi di protezione della privacy dei dati sono in rapida evoluzione, con gli approcci tradizionali basati sull'anonimizzazione dei dati ormai resi obsoleti, dovuto in parte alle grandi dimensioni e agli usi dei set di dati moderni. Alternative all'anonimizzazione dei dati, come sistemi basati su query come quello utilizzato da Diffix, fornire una nuova soluzione promettente. In questi sistemi, gli utenti possono porre domande sul sistema di dati e ricevere risultati aggregati come risposte. Questo metodo mira a trovare un equilibrio tra l'utilizzo dei dati per scopi utili, come svolgere ricerche e combattere le malattie, pur mantenendo la privacy individuale.

    In Diffisso, la protezione della privacy deriva in gran parte dall'aggiunta del rumore. Un po' ironicamente, i ricercatori sfruttano questo rumore nel loro attacco per dedurre informazioni private degli individui nel database. Per fare questo, implementano un attacco all'incrocio, in cui pongono due query che chiedono il numero di individui nel set di dati che soddisfano determinate condizioni. Le due query differiscono per una sola condizione, cosicché calcolando la differenza tra i risultati è possibile cancellare parte del rumore. I ricercatori hanno dimostrato che, ottenendo cinque coppie di questi risultati, e quindi eseguire un test statistico (il test del rapporto di verosimiglianza), è possibile determinare determinate informazioni su un individuo, ad esempio, se la persona ha o meno l'HIV.

    Sebbene i ricercatori indichino alcuni limiti del loro attacco, credono che esponga una grave vulnerabilità del sistema, e ricorda che la protezione della privacy continuerà a essere una sfida continua.

    © 2018 Tech Xplore




    © Scienza https://it.scienceaq.com