180 likes | 338 Views
Des approches formelles pour la protection d'information Une analyse des systèmes interactifs, contrôle de divulgation statistique, et le raffinement des spécifications. Mário s. alvim Docteur de l’École polytechnique Laboratoire d’informatique. Superviseur : catuscia palamidessi.
E N D
Des approches formelles pour la protection d'information Une analyse des systèmes interactifs, contrôle de divulgation statistique, et le raffinement des spécifications Mário s. alvim Docteur de l’ÉcolepolytechniqueLaboratoired’informatique Superviseur: catusciapalamidessi Prix de thèseparis tech 16 Novembre 2012
L’Internet se développe rapidement… Prix de thèse ParisTech 2012 - Mário S. Alvim
… et nos données privées en ligne augmentent Ceux que l'on connaît Ce que l'on achète Cequel’onaime Oùl’onva Prix de thèse ParisTech 2012 - Mário S. Alvim
Et siquelqu’unregardenosdonnéesprivées? Ceux que l'on connaît Ce que l'on achète Cequel’onaime Oùl’onva Prix de thèse ParisTech 2012 - Mário S. Alvim
Et siquelqu’unregardenosdonnéesprivées? Ceux que l'on connaît Ce que l'on achète Cequel’onaime Oùl’onva Prix de thèse ParisTech 2012 - Mário S. Alvim
Les menaces à la vie privée sont réelles… 1990:87% des gens pouvaient être identifiés dans le recensement aux USA [Sweeney’00] 2005:Dé-anonymisation d’ADN [Malin&Sweeney’04] 2012: Le cas de l’hyper-marché et de l’adolescente enceinte [Forbes’12] Si l’on fait abstraction des menaces? Prix de thèse ParisTech 2012 - Mário S. Alvim
… maisilfautquandmêmepartager des données La recherchemédicale et pharmaceutique? Le recensement et la planificationgouvernementale? Le PrintempsArabe en 2011? Si l’onprotège trop les données? Prix de thèse ParisTech 2012 - Mário S. Alvim
La solution:partagerles donnéesprivéesd’unefaçoncontrôlée Les objectifs de cettethèse Fuitesd’informationMesurercequ’ilpeutvoir Protection de la vie privée Limiter cequ’ilpeutvoir Assurer quel’informationestprotégée,toutefoisutilisable Prix de thèse ParisTech 2012 - Mário S. Alvim
Le contrôle de divulgation statistique Fuite Mécanismede requête Mécanisme de randomisation Réponsefournie Vraie réponse Base de données Utilité Prix de thèse ParisTech 2012 - Mário S. Alvim
Differential privacy pour le contrôle de divulgation statistique Differential privacy [Dwork’06] Les individus peuvent se joindre à la base de données sans augmenter significativement la divulgation de leurs données personnelles. Sujet de recherche très actif (Microsoft, Facebook) Fuite Mécanisme de requête Mécanisme de randomisation Réponsefournie Vraie réponse Base de données Utilité Prix de thèse ParisTech 2012 - Mário S. Alvim
Les contribuitions de cettethèse Les fondements scientifiques de la protection de la vie privée et de la differentialprivacy Fuited’information Mesurede la fuite en utilisantla théoried’information (min-entropy) Utilité de l’informationMéthode pour assurer l’utilitémaximale, en respectant les contraintes de confidentialité Prix de thèse ParisTech 2012 - Mário S. Alvim
Nos contributions (1 | 3) Un moyen de mesurer la fuite de la differentialprivacy Mesure formelle de l'information révélée sur n’importe quelque personne en particulier La limite de l’informationrévéléesurla base de données dans son ensemble (min-entropy) Garanties mathématiques précises regardant la vie privée des participants aux bases de données Fuite Mécanisme de requête Mécanisme de randomisation Réponsefournie Vraie réponse Base de données Utilité Prix de thèse ParisTech 2012 - Mário S. Alvim
Nos contributions (2 | 3)Un mécanisme pour maximiser l'utilité de l'information statistique Fuite Un mécanisme de randomisation optimal et rapide pour la differentialprivacy • Réponses fournies aussi près que possible des vraies réponses • Attention: en respectant les contraintes de confidentialité Mécanisme de requête Mécanisme de randomisation Réponsefournie Vraie réponse Base de données Utilité Prix de thèse ParisTech 2012 - Mário S. Alvim
Nos contributions (3 | 3)Le résultat final Protection de l’information Utilité de l’information L’anonymisation fournit des garanties très faibles La differentialprivacyajoute du bruit à la vraie réponse Le problème En utilisant la théorie d’information, nous avons prouvé que la differentialprivacy protège les données des individus Nous avons crée une méthode optimale: pour n’importe quel niveau de confidentialité souhaité, nous fournissons les réponses le plus utilisables Avec cette thèse Résultats pratiques Nous assurons que l’information est protégée , toutefois utilisable Prix de thèse ParisTech 2012 - Mário S. Alvim
Conclusion: l'impact de cette thèse en sciences et ses applications dans le monde réel Continuation des travaux comme un post-doc à l’University of Pennsylvania, USA Une analyse rigoureuse des protocoles d'enchères en ligne Une limite pour la fuite moyen: utile pour les grandes organisations Un algorithme rapide préservant les données privées et leur utilité Première mesure dans la littérature pour les fuites de systèmes interactifs Une méthode pour générer des mécanismes privés avec l'utilité maximale Fondements des menaces de confidentialité utilisant la théorie d’information En 3 ans de thèse Prix de thèse ParisTech 2012 - Mário S. Alvim
Merci pour votre attention! Des questions Prix de thèse ParisTech 2012 - Mário S. Alvim
List of publications MárioS. Alvim, Miguel E. Andrés, CatusciaPalamidessi. Quantitative Information Flow in Interactive Systems. Journal of Computer Security 20, Number 1, 2012. Pages 3-50. MárioS. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, PierpaoloDegano, CatusciaPalamidessi. DifferentialPrivacy: on the trade-off between Utility and Information Leakage.8th International Workshop on Formal Aspects of Security and Trust (FAST 2011), Leuven, Belgium. MárioS. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, CatusciaPalamidessi. Quantitative Information Flow and Applications to DifferentialPrivacy. Foundationsof Security Analysis and Design VI (11th International School on Foundations of Security Analysis and Design), Bertinoro, Italy. Pages 211-230. MárioS. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, CatusciaPalamidessi. On the Relation betweenDifferentialPrivacy and Quantitative Information Flow. 38th International Colloquium on Automata, Languages and Programming (ICALP 2011), Zürich, Switzerland. Pages 60-76. (Invitedpaperassociated to the invited talk of CatusciaPalamidessi.) MárioS. Alvim, Miguel E. Andrés, CatusciaPalamidessi. Probabilistic Information Flow. 25th Annual IEEE Symposium on Logic in Computer Science (LICS 2010), Edinburgh, UK. Pages 314-321. (Invitedpaperassociated to the inveted talk of CatusciaPalamidessi.) MárioS. Alvim, Miguel E. Andrés, CatusciaPalamidessi, Peter van Rossum. Safe Equivalences for Security Properties. 6th IFIP International Conference on Theoretical Computer Science (IFIP TCS 2010), Brisbane, Australia. Pages 55-70. MárioS. Alvim, Miguel E. Andrés, CatusciaPalamidessi. Information Flow in Interactive Systems. 21st International Conference on ConcurrencyTheory (CONCUR 2010), Paris, France. Pages 102-116. Prix de thèse ParisTech 2012 - Mário S. Alvim
References [Dwork’06] C. Dwork. Differential Privacy.Proceedings of ICALP (2006) [Forbes’12] Forbes Magazine Online. How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did. Forbes Online (16/02/2012) [Malin&Sweeney’04] B. Malin and L. Sweeney. How (not) to protect genomic data privacy in a distributed network: using trail re-identification to evaluate and design anonymity protection systems.J. of Biomedical Informatics, 37(3):179–192(2004) [Sweeney’00] L. Sweeney. Uniqueness of simple demographics in the US population. LIDAP-WP4. Carnegie Mellon University, Laboratory for International Data Privacy, Pittsburgh, PA (2000) Prix de thèse ParisTech 2012 - Mário S. Alvim