mÁrio s. alvim docteur de lÉcole polytechnique laboratoire dinformatique des approches formelles...
TRANSCRIPT
MÁRIO S . ALVIMD O C T E U R D E L’ É C O L E P O LY T E C H N I Q U E
L A B O R ATO I R E D ’ I N F O R M AT I Q U E
Des approches formelles pour la protection d'information
Une analyse des systèmes interactifs, contrôle de divulgation statistique, et le raffinement des spécifications
P R I X D E T H È S E PA R I S T E C H1 6 N O V E M B R E 2 0 1 2
S U P E R V I S E U R : C AT U S C I A PA L A M I D E S S I
Prix de thèse ParisTech 2012 - Mário S. Alvim
19951996
19971998
19992000
20012002
20032004
20052006
20072008
20092010
20112012
0
500
1000
1500
2000
2500Utilisateurs(en millions)
Année
L’Internet se développe rapidement…
16.Nov.2012
Prix de thèse ParisTech 2012 - Mário S. Alvim
… et nos données privées en ligne augmentent
Ce que l'on achète
Ce que l’on aime
Ceux que l'on connaît
Où l’on va
16.Nov.2012
Prix de thèse ParisTech 2012 - Mário S. Alvim
Et si quelqu’un regarde nos données privées?
Ce que l'on achète
Ce que l’on aime
Ceux que l'on connaît
Où l’on va
16.Nov.2012
Prix de thèse ParisTech 2012 - Mário S. Alvim
Et si quelqu’un regarde nos données privées?
Ce que l'on achète
Ce que l’on aime
Ceux que l'on connaît
Où l’on va
16.Nov.2012
Prix de thèse ParisTech 2012 - Mário S. Alvim
Les menaces à la vie privée sont réelles…
Si l’on fait abstraction des menaces?
1990: 87% des gens pouvaient être identifiés dans le recensement aux USA [Sweeney’00]
2005: Dé-anonymisation d’ADN [Malin&Sweeney’04]
2012: Le cas de l’hyper-marché et de l’adolescente enceinte [Forbes’12]
16.Nov.2012
Prix de thèse ParisTech 2012 - Mário S. Alvim
… mais il faut quand même partager des données
La recherche médicale et pharmaceutique?
Le recensement et la planification gouvernementale?
Le Printemps Arabe en 2011?
16.Nov.2012
Si l’on protège trop les données?
Prix de thèse ParisTech 2012 - Mário S. Alvim
La solution: partager les données privées d’une façon contrôlée
Fuites d’informationMesurer ce qu’il peut voir
Protection de la vie privéeLimiter ce qu’il peut voir
Les objectifs de cette thèse
Assurer que l’information estprotégée, toutefois utilisable
16.Nov.2012
Prix de thèse ParisTech 2012 - Mário S. Alvim
Fuite
Utilité
Le contrôle de divulgation statistique
Vraie réponse
Mécanisme de requête
Base de données
Mécanisme de randomisation
Réponse fournie
16.Nov.2012
Prix de thèse ParisTech 2012 - Mário S. Alvim
Differential privacy pour le contrôle de divulgation statistique
Differential privacy [Dwork’06]Les individus peuvent se joindre à la base de données sans augmenter significativement la divulgation de leurs données personnelles.
Sujet de recherche très actif(Microsoft, Facebook)
16.Nov.2012
Fuite
Utilité
Vraie réponse
Mécanisme de requête
Base de données
Mécanisme de randomisation
Réponse fournie
Pr [𝑅é𝑝𝑜𝑛𝑠𝑒∨𝐷]≤e𝜖 ⋅Pr [𝑅é𝑝𝑜𝑛𝑠𝑒∨𝐷 ′ ]
Prix de thèse ParisTech 2012 - Mário S. Alvim
Les contribuitions de cette thèse
Les fondements scientifiques de la protection de la vie privée et de la differential privacy
16.Nov.2012
Fuite d’informationMesure de la fuite en
utilisant la théorie d’information (min-entropy)
Utilité de l’informationMéthode pour assurer l’utilité maximale, en
respectant les contraintes de confidentialité
Prix de thèse ParisTech 2012 - Mário S. Alvim
Nos contributions (1 | 3) Un moyen de mesurer la fuite de la differential privacy
Mesure formelle de l'information révélée sur n’importe quelque personne en particulier
La limite de l’information révélée sur la base de données dans son ensemble (min-entropy)
Garanties mathématiques
précises regardant la vie privée des participants aux
bases de données
16.Nov.2012
Fuite
Utilité
Vraie réponse
Mécanisme de requête
Base de données
Mécanisme de randomisation
Réponse fournie
Prix de thèse ParisTech 2012 - Mário S. Alvim
Nos contributions (2 | 3)Un mécanisme pour maximiser l'utilité de l'information statistique
16.Nov.2012
Fuite
Utilité
Vraie réponse
Mécanisme de requête
Base de données
Mécanisme de randomisation
Réponse fournie
Réponses fournies aussi près que possible des vraies réponses
Attention: en respectant les contraintes de confidentialité
Un mécanisme de randomisation
optimal et rapide pour la differential
privacy
Prix de thèse ParisTech 2012 - Mário S. Alvim
Nos contributions (3 | 3)Le résultat final
16.Nov.2012
Le problème
Avec cette thèse
Résultats pratiques
L’anonymisation fournit des garanties très faibles
La differential privacy ajoute du bruit à la vraie réponse
En utilisant la théorie d’information, nous avons prouvé que la differential
privacy protège les données des individus
Nous avons crée une méthode optimale: pour n’importe quel niveau de
confidentialité souhaité, nous fournissons les réponses le
plus utilisables
Protection de l’information Utilité de l’information
Nous assurons que l’information est protégée , toutefois utilisable
Prix de thèse ParisTech 2012 - Mário S. Alvim
En 3 ans de thèse
Première mesure dans la littérature pour les fuites de
systèmes interactifs
Fondements des menaces de
confidentialité utilisant la théorie d’information
Une méthode pour générer des
mécanismes privés avec l'utilité maximale
Conclusion: l'impact de cette thèse en sciences et ses applications dans le monde réel
Une analyse rigoureuse des
protocoles d'enchères en ligne
Une limite pour la fuite moyen: utile pour les grandes organisations
Un algorithme rapide préservant les données privées et leur utilité
16.Nov.2012
Continuation des travaux comme un post-doc à l’University of Pennsylvania, USA
Prix de thèse ParisTech 2012 - Mário S. Alvim
Merci pour votre attention!
Des questions
16.Nov.2012
Prix de thèse ParisTech 2012 - Mário S. Alvim
List of publications
16.Nov.2012
Mário S. Alvim, Miguel E. Andrés, Catuscia Palamidessi. Quantitative Information Flow in Interactive Systems. Journal of Computer Security 20, Number 1, 2012. Pages 3-50.
Mário S. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, Pierpaolo Degano, Catuscia Palamidessi. Differential Privacy: on the trade-off between Utility and Information Leakage. 8th International Workshop on Formal Aspects of Security and Trust (FAST 2011), Leuven, Belgium.
Mário S. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, Catuscia Palamidessi. Quantitative Information Flow and Applications to Differential Privacy. Foundations of Security Analysis and Design VI (11th International School on Foundations of Security Analysis and Design), Bertinoro, Italy. Pages 211-230.
Mário S. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, Catuscia Palamidessi. On the Relation between Differential Privacy and Quantitative Information Flow. 38th International Colloquium on Automata, Languages and Programming (ICALP 2011), Zürich, Switzerland. Pages 60-76. (Invited paper associated to the invited talk of Catuscia Palamidessi.)
Mário S. Alvim, Miguel E. Andrés, Catuscia Palamidessi. Probabilistic Information Flow. 25th Annual IEEE Symposium on Logic in Computer Science (LICS 2010), Edinburgh, UK. Pages 314-321. (Invited paper associated to the inveted talk of Catuscia Palamidessi.)
Mário S. Alvim, Miguel E. Andrés, Catuscia Palamidessi, Peter van Rossum. Safe Equivalences for Security Properties. 6th IFIP International Conference on Theoretical Computer Science (IFIP TCS 2010), Brisbane, Australia. Pages 55-70.
Mário S. Alvim, Miguel E. Andrés, Catuscia Palamidessi. Information Flow in Interactive Systems. 21st International Conference on Concurrency Theory (CONCUR 2010), Paris, France. Pages 102-116.
Prix de thèse ParisTech 2012 - Mário S. Alvim
References
16.Nov.2012
[Dwork’06] C. Dwork. Differential Privacy. Proceedings of ICALP (2006)
[Forbes’12] Forbes Magazine Online. How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did. Forbes Online (16/02/2012)
[Malin&Sweeney’04] B. Malin and L. Sweeney. How (not) to protect genomic data privacy in a distributed network: using trail re-identification to evaluate and design anonymity protection systems. J. of Biomedical Informatics, 37(3):179–192 (2004)
[Sweeney’00] L. Sweeney. Uniqueness of simple demographics in the US population. LIDAP-WP4. Carnegie Mellon University, Laboratory for International Data Privacy, Pittsburgh, PA (2000)