机密计算证明
一种替代密码学零知识的方法
证明是用于完整性和隐私的强大工具,使验证者能够委托计算并仍然验证其正确执行,并使证明者能够对计算的细节保密。CCP 和 ZKP 都可以实现可靠性和零知识,但存在重要差异。CCP 依赖于硬件信任假设,这可以为证明者带来高性能和额外的机密性保护,但对于某些应用可能不可接受。CCP 通常也更易于使用,尤其是在现有代码的情况下,而 ZKP 则具有很大的证明者开销,对于某些应用可能不切实际。
大象的“透视”镜子
调查 Google、ChatGPT、YouTube 和 Wikipedia 上的语言偏见
许多人转向基于互联网的软件平台,如 Google、YouTube、Wikipedia,以及最近的 ChatGPT,以寻找他们问题的答案。大多数人倾向于相信 Google 搜索,因为它声明其使命是从“多个角度传递信息,以便您可以形成自己对世界的理解”。然而,我们的工作发现,涉及复杂主题的查询产生的结果侧重于狭隘的文化主导观点,并且这些观点与搜索短语中使用的语言相关。我们将这种现象称为语言偏见,本文以两个复杂主题:佛教和自由主义为例,展示了这种现象是如何发生的。
从开放访问到受保护的信任
在数据隐私时代负责任地进行实验
过去十年见证了数据保护法规的出现和加强。对于软件工程师来说,这个新时代提出了一个独特的挑战:当完整的数据访问(您最强大的工具之一)逐渐被取消时,您如何保持平台的精确性和有效性?任务很明确:重塑工具包。我们感知、处理和实验数据的方式需要进行彻底改革,才能在这个勇敢的新世界中航行。
多方计算:为了保护隐私,进行数学运算
与 Nigel Smart、Joshua W. Baron、Sanjay Saravanan、Jordan Brandt 和 Atefeh Mashatan 的讨论
多方计算基于复杂的数学,在过去十年中,MPC 已被用作保护敏感数据的最强大工具之一。MPC 现在是协议的基础,这些协议允许一组参与方在私有输入池上交互和计算,而无需泄露这些输入中包含的任何数据。最后,只显示结果。这其中的含义通常意义深远。
不要“想到互联网!”
没有绝对的人权。
我不禁注意到很少有女性赞同电子隐私和匿名的绝对主义观点。难道只有那些在最简单的模式下玩生活的人才认为不受限制的隐私和匿名是一个好主意吗?
端到端加密的改进可能导致静默革命
研究人员正处于可能成为通信隐私的下一个重大改进的边缘。
隐私越来越受到关注,无论您是与商业伙伴发短信还是通过互联网传输大量数据。在过去的几十年中,密码技术使聊天应用程序和其他电子通信形式的隐私得到了改善。现在,研究人员正处于可能成为通信隐私的下一个重大改进的边缘:E2EEEE(具有端点消除的端到端加密)。本文基于对计划于 2023 年 4 月 1 日举行的关于该主题的研讨会上发表演讲的研究人员的采访。
绘制中央银行数字货币的隐私图景
现在是塑造未来支付流将揭示您的信息的时候了。
随着世界各国央行转向数字化现金,隐私问题需要提到首要位置。所采取的路径可能取决于每个利益相关者群体的需求:注重隐私的用户、数据持有者和执法部门。
CSRB 的第一部作品
关于网络安全审查委员会 Log4j 事件报告的评论
我们 FOSS 社区需要更好地记录设计决策,以一种合适的方式和地点,以便合适的人在对我们的代码做出不明智或完全愚蠢的事情之前找到它、阅读它并理解它。
个人信息隐私
在金鱼缸里保持匿名
每次与外部服务的在线互动都会创建关于用户的数据,这些数据会被数字化记录和存储。这些外部服务可能是信用卡交易、医疗咨询、人口普查数据收集、选民登记等。尽管表面上收集数据是为了向公民提供更好的服务,但个人隐私不可避免地会面临风险。随着互联网的普及和生成的数据量不断增长,数据保护,特别是保护个人隐私,变得尤为重要。
监控便宜到无法计量
阻止老大哥将需要对整个系统进行昂贵的改造。
IT 爱好者倾向于为各种问题找到技术解决方案——经济、政治、社会等等。在大多数情况下,这些解决方案不会使问题变得更糟,但是当问题本质上是经济性质时,只有影响这种情况的经济因素的解决方案才可能奏效。当根本问题是监控便宜到无法计量时,密码学和智能编程都无法推动任何进展。
联邦学习与隐私
在去中心化数据上构建用于机器学习和数据科学的隐私保护系统
如果数据管理不当,集中式数据收集可能会使个人面临隐私风险,并使组织面临法律风险。联邦学习是一种机器学习设置,其中多个实体在中央服务器或服务提供商的协调下合作解决机器学习问题。每个客户端的原始数据都存储在本地,不会被交换或传输;相反,使用旨在立即聚合的重点更新来实现学习目标。
迈向机密云计算
将硬件强制执行的密码保护扩展到使用中的数据
尽管现代云的发展在很大程度上是由规模经济驱动的,但也实现了更高的安全性。大型数据中心提供聚合的可用性、可靠性和安全保证。确保操作系统、数据库和其他服务具有安全配置的运营成本可以在所有租户之间分摊,从而使云提供商能够聘请负责安全的专家;这对于小型企业来说通常是不可行的,在小型企业中,系统管理员的角色通常与许多其他角色混为一谈。
差分隐私:默认保护的追求
与 Miguel Guevara、Damien Desfontaines、Jim Waldo 和 Terry Coatta 的讨论
差分隐私于 2006 年首次正式提出,是一种基于数学上严谨的隐私定义的 approach,该定义允许形式化和证明系统提供的针对重新识别的保证。虽然差分隐私已有一段时间被理论家接受,但事实证明,它的实施是微妙而棘手的,实际应用现在才开始变得可用。迄今为止,美国人口普查局以及许多科技公司都采用了差分隐私,但这究竟意味着什么,以及这些组织如何实施其系统,对许多人来说仍然是一个谜。
每个人口袋里的身份
通过智能手机保护用户安全
较新的手机以许多不同的方式和组合使用安全功能。然而,与任何安全技术一样,不正确地使用某个功能可能会产生虚假的安全感。因此,如今许多应用程序开发人员和服务提供商都没有使用现代手机提供的任何安全身份管理工具。对于那些属于此类阵营的人,本文旨在为您提供关于如何将基于硬件和生物识别的用户身份概念引入您的生态系统的想法。
雇佣黑客
调查零售电子邮件帐户黑客服务的新兴黑市
雇佣黑客服务每个合同收费 100-400 美元,经发现会产生复杂、持久和个性化的攻击,这些攻击能够通过网络钓鱼绕过 2FA。然而,对这些服务的需求似乎仅限于小众市场,可发现的服务数量很少,成功的服务数量更少,以及这些攻击者仅针对大约百万分之一的 Google 用户这一事实证明了这一点。
访问控制和医疗保健记录:谁拥有数据?
与 David Evans、Richard McDonald 和 Terry Coatta 的讨论
如果以更以患者为中心的方式处理医疗保健记录,使用允许个人可能选择与之共享或有机会访问的所有医生、诊所、医院和药房轻松共享数据的系统和网络,会怎么样?更激进的是,如果拥有数据的是患者,会怎么样?
物理项目的普遍、动态身份验证
硅 PUF 电路的使用
物理项目的身份验证是一个古老的问题。常见的方法包括使用条形码、二维码、全息图和 RFID(射频识别)标签。传统的 RFID 标签和条形码使用公共标识符作为身份验证的手段。然而,公共标识符是静态的:每次查询时都是相同的,并且很容易被对手复制。全息图也可以被视为公共标识符:知识渊博的验证者知道要目视检查的所有属性。很难使基于全息图的身份验证普及;随便的验证者不知道要寻找的所有属性。
更多加密意味着更少隐私
保持电子隐私需要更多的政治参与。
当爱德华·斯诺登向世界公开互联网上的几乎所有流量都被 NSA、GCHQ(英国政府通信总部)和各个其他国家的秘密部门收集和搜索时,IT 和网络社区感到愤怒和背叛。
算法决策中的问责制
来自计算新闻学的观点
每个财政季度,自动化写作算法都会根据结构化数据为 AP(美联社)生成数千篇公司盈利文章。为 AP 制作文章的 Automated Insights 和 Narrative Science 等公司现在可以在几乎任何具有干净且结构良好的数据的领域编写直接新闻文章:金融,当然,还有体育、天气和教育等。这些文章也不是纸板;它们具有可变性、语调和风格,在某些情况下,读者甚至难以区分机器生成的文章和人工编写的文章。
如何去标识化您的数据
在大型社会科学数据集平衡统计准确性和受试者隐私
大数据风靡一时;使用大型数据集有望为我们提供关于过去难以或不可能回答的问题的新见解。这在医学和社会科学等领域尤其如此,在这些领域中,可以收集和挖掘大量数据,以找到变量之间有见地的关系。然而,这些领域的数据涉及人类,因此提出了物理学或天文学等领域未面临的隐私问题。
更多加密不是解决方案
密码学作为隐私只有在双方都真诚地对待它时才有效。
最近曝光的针对互联网流量的全面监控引发了一些回应,这些回应是“更多加密是解决方案”这一通用公式的变体。事实并非如此。事实上,更多的加密可能只会使隐私危机比现在更糟。
软件行业就是问题所在
软件责任法的时候到了。
17 年前,肯·汤普森提出了一个新问题,这个问题的产生源于思考,并且致力于这样一个命题,即那些信任计算机的人正处于困境之中。我当然说的是汤普森的图灵奖演讲“对信任信任的反思”。除非您对这篇文章记忆犹新,否则您可能需要花一点时间阅读它,如果可以的话。
RFID 护照的威胁分析
RFID 护照是否使我们容易遭受身份盗窃?
当您的飞机在机场着陆时,这是一个美好的一天。经过漫长的假期,您感到精神焕发、神清气爽和放松。当您回到家时,一切都和您离开时一样。一切都一样,除了地板上的一堆信封,当您试图打开门时,这些信封卡住了门。您注意到答录机上的闪烁灯,并意识到您错过了数十条消息。当您单击机器并拿起信封时,您发现大多数消息和信件都来自收债公司。大多数信封都盖有“紧急”字样,当您翻阅这堆信封时,您可以听到愤怒的债权人要求您立即给他们打电话的消息。
通信监控:隐私和安全面临风险
随着窃听技术的日益成熟,它对我们的隐私和安全构成的风险也越来越大。
我们都知道这个场景:这是一个公寓楼的地下室,灯光昏暗。该男子穿着风衣,戴着一顶压得很低的软呢帽以遮住脸。在帽子和外套之间,我们看到了耳机,他似乎正在专心听着连接到电话线的一组鳄鱼夹的输出。他是一名侦探,正在窃听嫌疑人的电话。这就是窃听。它与现代电子窃听关系不大,现代电子窃听是关于比特、数据包、交换机和路由器的。
四十亿个小兄弟?隐私、手机和无处不在的数据收集
参与式传感技术可以改善我们的生活和社区,但会以牺牲我们的隐私为代价吗?
它们可以拨打电话、上网冲浪,世界上有近 40 亿部手机。它们的内置麦克风、摄像头和位置感知功能可以收集图像、声音和 GPS 数据。除了聊天和发短信之外,这些功能还可以使手机成为无处不在、熟悉的工具,用于量化个人模式和习惯。它们也可以成为数千人记录社区、收集证据来立案或研究流动性和健康的平台。这些数据可以帮助您了解您的日常碳足迹、空气污染暴露、运动习惯以及与家人和朋友互动的频率。
理解 DRM
认识到与不同 DRM 系统相关的权衡可以为更灵活、更强大的 DRM 铺平道路。
互联网和数字媒体的爆炸性增长为内容创作者带来了巨大的机遇和新的威胁。数字技术的进步为营销、传播、互动和货币化创意作品提供了新方法,从而产生了在几年前还不存在的不断扩大的市场。然而,与此同时,这些技术也给寻求控制其作品发行和防止盗版的版权所有者带来了重大挑战。
与 Douglas W. Jones 和 Peter G. Neumann 的对话
技术有助于还是阻碍选举的公正性?
选举构成所有民主国家的基础。鉴于过去世界各地选举过程的公正性存在许多问题,持续的努力旨在增加计算机和通信在选举中的使用,以帮助实现流程自动化。不幸的是,许多现有的计算机相关流程构思和实施不力,引入了与选民保密和隐私、计算机系统完整性、问责制和违规行为的解决、选举官员易于管理以及选民易于使用等问题相关的新问题——对于那些有各种缺陷的人来说,存在许多特殊问题。总的来说,与计算机安全相关的问题为了解尝试开发和运行适用于其他应用的可信系统时固有的困难提供了一个具有代表性的横截面。