„Differential Privacy“ – Versionsunterschied

Dieser Artikel ist im Entstehen und noch nicht Bestandteil der freien Enzyklopädie Wikipedia.

Solltest du über eine Suchmaschine darauf gestoßen sein, bedenke, dass der Text noch unvollständig sein und Fehler oder ungeprüfte Aussagen enthalten kann. Wenn du Fragen zum Thema hast, nimm Kontakt mit den Autoren auf.

Differential Privacy ist ein Maß für das Risiko einer einzelnen Person, an einer statistischen Datenbank teilzunehmen. Der Begriff fällt in den Bereich des sicheren, Privatsphären erhaltenden Veröffentlichens von empfindlichen Informationen. Mechanismen, die Differential Privacy erfüllen, verhindern, dass Angreifer unterscheiden können, ob eine bestimmte Person in einer Datenbank enthalten ist oder nicht.

Situation

Man verwendet Differential Privacy im Kontext des Veröffentlichens von empfindlichen Informationen. Dabei möchte man zum einen allgemeine, statistische Informationen zugänglich machen, aber gleichzeitig die Privatsphäre einzelner Teilnehmer waren.

Ein vorstellbares Szenario ist das Veröffentlichen von Patientendaten eines Krankenhauses, um Forschern zu ermöglichen, statistische Zusammenhänge aufzudecken. Dabei ist es notwendig, die Daten so zu bearbeiten, dass einzelnen Patienten nicht identifizierbar sind. Für die Forschungszwecke ist es ausreichend, dass die statistischen Verteilungen in den veröffentlichten Daten denen der echten Daten entsprechen. Es spielt keine Rolle, ob einzelne Eigenschaften, wie etwa die Namen der Patienten, verändert wurden.

Motivation

Mit dem Aufkommen von Online Outsourcing und Cloud-Computing nimmt auch die Sensibilität für den Datenschutz in diesem Kontext zu. Die Kostenreduzierung und die Leistungssteigerung, die man sich vom Nutzen der neuen Technologien verspricht, gehen einher mit dem Verlust der Kontrolle über die Daten.

Während mit der Verschlüsselung ein Instrument etabliert ist, mit welchem man Datenschutz effektiv gewährleisten kann, so wird dadurch auch die Verarbeitbarkeit der Daten eingeschränkt. Um auf verschlüsselten Daten Operationen auszuführen, muss meist eine vollständige oder partielle Entschlüsselung vorgenommen werden, die mit entsprechenden Kosten verbunden ist. Außerdem verhindert der Einsatz von Verschlüssel eine uneingeschränkte Veröffentlichung.

Daher sucht man nach Verfahren, mit denen man Informationen unter Wahrung der Privatsphäre veröffentlichen kann, ohne die Daten zu verschlüsseln.

Differential Privacy verfolgt hierbei den Ansatz, Daten mit Rauschen zu versehen, um eindeutige Aussagen über bestimmte Eigenschaften der Daten unmöglich zu machen.

ε-Differential Privacy

Der ursprüngliche Begriff für Differential Privacy nutzt einen zentralen Parameter ε, um ein Maß für die Wahrung der Privatsphäre zu ermöglichen.

Definition

Eine randomisierter Funktion ${\displaystyle \kappa }$ liefert ${\displaystyle \epsilon }$-Differential Privacy, falls für alle Datensätze ${\displaystyle D_{1}}$ und ${\displaystyle D_{2}}$, die sich in höchstens einem Eintrag unterscheiden, und alle ${\displaystyle S\subseteq Range(\kappa )}$ gilt: ${\displaystyle \Pr[\kappa (D_{1})\in S]\leq e^{\epsilon }\times \Pr[\kappa (D_{2})\in S]}$.

(ε,δ)-Differential Privacy

Da ε-Differential Privacy gewisse Einschränkungen bezüglich der Anwendbarkeit vorweist, entstand die Erweiterung (ε,δ)-Differential Privacy. Dieser Begriff erlaubt, dass Voraussetzungen bis zu einem gewissen Grad unerfüllt bleiben. Um diesen Grad der Ungenauigkeit einzuschränken, ist ein weiterer Parameter nötig: δ.

Definition

Für einen gegebenen randomisierten Mechanismus ${\displaystyle M:D\rightarrow {\mathcal {R}}}$ und Konstanten ${\displaystyle \epsilon >0}$, ${\displaystyle 0<\delta <1}$ sagt man, dass M ${\displaystyle (\epsilon ,\delta )}$-Probabilistic Differential Privacy erfüllt, falls man für alle ${\displaystyle D_{1}\in D}$ den Wertebereich ${\displaystyle {\mathcal {R}}}$ in zwei Mengen ${\displaystyle R,R'\subseteq {\mathcal {R}}}$ unterteilen kann, sodass ${\displaystyle \Pr[M(D_{1})\in R']\leq \delta }$, und für alle ${\displaystyle D_{2}\in D}$, so dass ${\displaystyle |D_{1}\triangle D_{2}|=1}$, und für alle ${\displaystyle R\subseteq {\mathcal {R}}}$ die folgende Gleichung gilt: ${\displaystyle \Pr[M(D_{1})\in R]\leq e^{\epsilon }*\Pr[M(D_{2})\in R]}$.

Computational Differential Privacy

Differential Privacy ist ein statischer Begriff, welcher keine formellen Einschränkungen verlangt für die Mächtigkeit von Angreifern. Für die Anwendung in der Praxis jedoch ist es nötig, gewisse Einschränkungen vorzunehmen. Etwa setzt die Verwendung von Verschlüsselung voraus, dass ein Angreifer nicht durch simples Anwenden von Versuch und Irrtum den privaten Schlüssel herausfinden kann.

Grundsätzlich gibt es zwei Arten, Computational Differential Privacy (CDP) zu erreichen. Zum einen ist es ausreichend, einfach die bestehende Definition von Differential Privacy um eine Beschränkung von Angreifern zu erweitern. Dieser Ansatz wird IND-CDP genannt. Daneben existiert auch der Begriff SIM-CDP, der eine Simulation der Sicht des Angreifers zugrundelegt.

Literatur

Cynthia Dwork: Differential Privacy. In: 33rd International Colloquium on Automata, Languages and Programming, part II (ICALP 2006). Springer, Juli 2006, S. 1–12 (online [abgerufen am 27. Oktober 2013]). Fehler in Vorlage:Literatur – *** Pflichtparameter fehlt: Originaltitel fehlt

Cynthia Dwork, Frank McSherry, Kobbi Nissim, Adam Smith: Calibrating Noise to Sensitivity in Private Data Analysis. In: Shai Halevi, Tal Rabin (Hrsg.): Theory of Cryptography. Springer, 2006, ISBN 978-3-540-32731-8, S. 265–284, doi:10.1007/11681878_14 (online [abgerufen am 27. Oktober 2013]). Fehler in Vorlage:Literatur – *** Pflichtparameter fehlt: Originaltitel fehlt

Ilya Mironov, Omkant Pandey, Omer Reingold, Salil Vadhan: Computational Differential Privacy. In: Advances in Cryptology - CRYPTO 2009. Springer, August 2009, doi:10.1007/978-3-642-03356-8_8 (online [abgerufen am 27. Oktober 2013]). Fehler in Vorlage:Literatur – *** Pflichtparameter fehlt: Originaltitel fehlt

Weblinks

Einzelnachweise

[[Kategorie:Kryptologie]] [[Kategorie:Geheimnis]] [[Kategorie:Datenschutz]] [[Kategorie:IT-Sicherheit]]