Можно ли соблюдать конфиденциальность пользователя при сборе MAC-адресов телефона?


2

В Лондоне there are trash bins that track a phone's MAC address и следить за перемещением пользователей из одного места в другое. Я хочу посмотреть, есть ли какая-либо передовая практика сбора частной информации, подобной этой, которая позволяет анализировать, а также анонимность.

Представьте сценарий, в котором MAC-адрес, данные о местоположении и данные о дате времени хранятся в базе данных заднего плана. Однако вместо хранения данных в необработанном формате сохраняйте только данные сводки или тренда.

  • Существует ли какой-либо математический (криптографический) или логический процесс, который может быть использован для развязки MAC-адреса и битов местоположения данных и «разбавления» его, чтобы сохранить конфиденциальность?

Некоторые идеи, которые перешли мне на ум, включали однонаправленные хэши и гоммоморфное шифрование в сочетании с некоторыми индикаторами статистики.

Я спрашиваю здесь, если кто-то намного умнее меня придумал подход, который решает проблему сбора PII, анонимизируя его и позволяя проводить тренды и исследования рынка.

  0

Вряд ли, ПДК довольно короткие. 13 авг. 132013-08-13 14:50:52

  0

@CodesInChaos не уверен, что вы делаете. * Более длинные * идентификаторы хуже для конфиденциальности. Высказывание MAC-адресов является коротким, поэтому они не могут использоваться для идентификации людей однозначно - представьте 2-битный MAC-адрес. Также 48 бит - это длинный идентификатор, когда вы говорите о таких вещах, как люди. 13 авг. 132013-08-13 15:35:32

  0

@lynks Вы не можете безопасно хешировать низкие значения энтропии, так как это легко обратимо, пытаясь все возможные входы. 13 авг. 132013-08-13 15:37:34

  0

@CodesInChaos gotcha, как-то я заблудился в двойном/тройном отрицании и думал, что вы спорили об обратном. 13 авг. 132013-08-13 15:38:48

  0

@CodesInChaos Таким образом, могут быть два подхода: используйте 1/2 MAC-адреса (или меньше этого) для отслеживания и ожидайте конфликтов. Или зашифруйте данные на заднем конце, если найдено достаточно энтропии. Возможно, я могу объединить другие данные, которые находятся на одном устройстве, таком как Bluetooth ID, IP-адрес, Cellular IMEI и т. Д. Я не уверен, сколько еще бит необходимо для достаточной энтропии для бэкэнд-магазина, но это начало. 13 авг. 132013-08-13 15:45:51

2

Криптография редко является правильным инструментом для вопросов конфиденциальности. Здесь мусорные корзины прослушивают широковещательную рассылку MAC addresses устройствами с поддержкой WiFi, в частности телефонами. Часть отслеживания стала возможной благодаря сочетанию нескольких параметров:

  • Устройства с поддержкой WiFi регулярно передают данные. Это довольно неизбежно: для того чтобы Wi-Fi действительно на самом деле, либо устройство, либо точка доступа должны говорить в первую очередь. Поскольку есть «скрытые» точки доступа, которые не разговаривают до тех пор, пока они не будут специально адресованы, устройства должны постоянно болтаться.

  • MAC-адреса фиксированы. Важным моментом MAC-адресов является их уникальность : все должно быть так, чтобы никакие два «неизменных» устройства не могли одновременно использовать один и тот же MAC-адрес в одной локальной сети. Чтобы обеспечить эту уникальность, была разработана глобальная схема распределения, а поставщикам аппаратных средств выделяются диапазоны адресов. Можно изменить MAC-адрес на большинстве аппаратных средств, но это «нахмурилось».

  • Люди не выключают WiFi, когда не дома. Они должны (в частности, не использовать WiFi продлевает срок службы батареи), но они этого не делают.

В примере, мусорные баки просто слушать все трансляции, и коррелируют между собой данные, таким образом, «отслеживания» местонахождение телефонов (и, таким образом, по-видимому, владельцев телефонов). В одиночном бинде не получалось бы много интересных данных, но вместе с ним можно было бы собрать много бункеров с довольно тщательной картой поведения людей. Обратите внимание, что MAC-адрес не может быть прослежен до идентификатора владельца , но он может, по крайней мере, выявить имя поставщика оборудования из-за глобальной системы распределения MAC-адресов, которая равна public.

Что может быть сделано, если предположить, что мы вольны определять новые протоколы, чтобы заменить фиксированный 48-битный MAC-адреса со случайными 128-разрядными адресами (регенерируют часто, например, каждую минуту, на самом деле не связано с точка доступа). Случайные адреса из 128 бит обеспечивают уникальность с достаточно высокой вероятностью, даже если многие устройства находятся в одном месте.Например, если у вас есть стадион, полный 60000 человек, каждый из которых имеет телефон, и все они пытаются сделать WiFi, 128-битные случайные MAC-адреса позволят столкнуться с вероятностью около 2 -97, то есть «выиграл «Слушай». Но здесь мы говорим об определении нового протокола Wi-Fi и надеемся, что все устройства и точки доступа просто переключится на него, лишившись любой попытки совместимости с существующими точками доступа WiFi. Подобные изменения вряд ли произойдут в течение ближайших нескольких лет.

В то же время, если вы цените вашу конфиденциальность, то просто выключите WiFi!

  0

Не будет больше энтропии гарантировать уникальность и гарантировать корреляцию (и, следовательно, меньше конфиденциальности)? Что, если я должен был только отслеживать 2^16 бит (или меньше), я достиг бы своей деловой потребности в «отслеживании», моей конфиденциальности «разбавления». 13 авг. 132013-08-13 15:08:22

  0

Возможно, я был немного неясен, поэтому я редактировал свое сообщение: я играю с идеей хаотично генерируемых MAC-адресов, которые очень часто регенерируются; каждый телефон будет создавать новый MAC каждую минуту и ​​сохранять свой MAC без изменений только при активном подключении к точке доступа. 13 авг. 132013-08-13 15:15:49

  0

Я не вижу, как больше энтропии равно меньше конфиденциальности. Преимущество 128-битного MAC заключается в том, что пользователь (т. Е. Телефон) может вращать MAC-адреса в соответствии с некоторым графиком. Он не нарушает корреляцию, но делает ее сложнее. В любом случае, если MAC остается постоянным, корреляции легко выполняются с любым количеством бит @ makerofthings7 13 авг. 132013-08-13 15:16:56

  0

Мой телефон отслеживает * где * ваши выбранные WiFi-сети используют GPS, а затем включает только WiFi, когда GPS указывает, что вы приближаются к сохраненной сети. Это, я думаю, отличная функция. 13 авг. 132013-08-13 15:40:30

  0

Я не пытаюсь избежать корреляции, но найти способ разрешить корреляцию, но не получаю слишком гранулированный при этом. Я хочу быть в безопасности при сборе, безопасно при анализе. Один из подходов состоит в том, чтобы снизить порог уникальности: учитывая 2^4 бита энтропии, тогда у меня есть только 16 возможных результатов. Когда кто-то появляется с набором бит 0101, я могу статистически вывести много вещей, но не их личность. Я могу только вывести вещи из группы 0101. Это только один подход: 13 авг. 132013-08-13 15:41:17

  0

[продолжение], но лучший подход будет заключаться в том, что зашифрованное хранилище данных будет действовать как всезнающий Oracle, который каким-то образом уравновешивает индивидуальность, сохраняя при этом конфиденциальность. Именно здесь я и думал, что гомоморфное шифрование может сыграть свою роль. 13 авг. 132013-08-13 15:41:56

  0

«В то же время, если вы цените вашу конфиденциальность, просто выключите WiFi!«Пока вы стоите на одной из тысяч лондонских камер видеонаблюдения? Если вы цените вашу конфиденциальность, проголосуйте за бюрократов, которые ее нарушают. Всегда будут методы или технологии, которые они могут использовать для отслеживания или мониторинга людей. Сделать это незаконным является правильным первым шагом. 13 авг. 132013-08-13 17:05:07


1

Одна из основных проблем заключается в том, что вы можете часто использовать social network analysis, чтобы изменить сеть действий людей, независимо от того, как вы анонимны личности. В сочетании с внешними данными, которые вы не контролируете, такая информация может выявлять личности.

Когда вы собираете такие данные, если вы хотите, чтобы он оставался анонимным, вам нужно удалить присутствующие в нем отношения. Если вы отследите пользователя 123, возьмите поезд A в 8:20, затем возьмите поезд B в 8:50, а затем возьмите поезд B в 17:05 и поездите A в 17:30, вы строите карту этого пользователя. Проверьте свои цели. Если вы пытаетесь определить поездку на поезде, вам не нужно знать, что один и тот же пользователь брал каждую из этих ног, только тот поезд A имел +1 в 8:20 и еще +1 в 17:30.