Lethe(遗忘):对持续观察者隐藏内容删除痕迹

作者:{Doris}@ArkTeam

原文作者:Mohsen Minaei*, Mainack Mondal, Patrick Loiseau, Krishna Gummadi, and Aniket Kate

原文标题:Lethe: Conceal Content Deletion from Persistent Observers

原文会议:DOI 10.2478/popets-2019-0012 Received 2018-05-31; revised 2018-09-15; accepted 2018-09-16.

大多数社交平台都提供了允许用户删除其帖子的机制,而且有相当一部分用户行使了这种被遗忘的权利。然而,具有讽刺意味的是,在实践中,用户试图通过删除来减少对敏感帖子的关注,从而吸引了跟踪者对这些已删除帖子的不必要关注。因此,删除可能会使用户隐私更容易受到攻击。尽管存在这种威胁,但是如果没有更好的替代方案,以删除形式进行的信息暴露控制仍然是社会平台上的常见现象;本文旨在为解决这一问题提供一种方法。

一个简单的解决方案是首先让用户不发布敏感的内容;但这是不可行的,即使是非常小心的用户也不能做到,因为共享数据的敏感度会随着时间和社会事件发生剧烈和不可预测的变化。现在,越来越多的用户转向了短暂的社交平台,如Snapchat[1],在那里所有内容都会以预先编辑的方式被删除。然而,鉴于用户生成数据具有巨大的历史、文化和经济价值,大多数下一代社会或档案平台极不可能适应这种模式。

这给留下了一个艰难的研究问题:能否提供一个替代下一代社会或档案平台的选择?这个平台既能实现删除所有内容(即隐私)的最佳性能,又能保存帖子和事件的存档(即可用性)?

本文工作的目的是为了有效地解决这个问题,并开发一种隐私机制,保留已发布内容的存档值,同时允许删除,同时在删除一段时间后为用户提供可否认性和保护,即使是持续的旁观者也无法立即识别这些删除。以缓解在持续观察者面前隐藏内容删除的问题,同时保持存档内容的高可用性。在本文提议的系统Lethe中,其非常保守地假设对手可以完全访问存档平台,并且可以查看任何帖子。同时假定平台管理员正在与数据创建者(或所有者)合作,以保护删除的隐私。

Lethe采用了一种间歇退出机制,该机制使用两种公共的即时支持时间分布来保护隐私,一种是称之为向上(或在线)分布,另一种是向下(或离线)分布。就在用户发布一篇文章之前,Lethe从向上发行版中抽取了一个时间段样本,在这个时间段内,每个人都可以看到该文章(即可见)。在向上持续时间过去之后,Lethe从向下分布中获取一个实例,并且在这段时间内,对查看者隐藏文章。同样,只要帖子没有被删除或者隐私偏好没有改变,Lethe就会继续在上下持续时间之间切换。由于Lethe也隐藏了未删除的帖子,因此敌方要区分帖子是由Lethe隐藏还是由所有者删除,这将是一件令人困惑的事情。


1 一个post状态的时间序列

在该系统中,时间是以秒为单位离散的。用tc表示当前时间。独立处理每个帖子,因此隐私和可用性分析集中在单个帖子上。让t0表示帖子的创建时间。间歇退出机制引入了post的真实状态(已删除或已删除)和post的观察状态(公开可见或已撤销)之间的连接。只有平台和所有者才能看到岗位的真实状态,而对手只能看到岗位的观察状态。图1说明了一个岗位由于上下持续时间序列的观察状态(从个人的角度来看)。

为了验证LETHE的可行性和性能,本文分析了用户在Twitter上删除的大规模真实数据,并深入研究了如何选择临时撤销和非删除帖子恢复之间的时间间隔分布。本文为行使删除权的用户在不同设置中找到了隐私性、可用性和对抗性开销之间的有利权衡。研究表明,即使面对一个最终的对手,在不间断地访问整个平台的情况下,从删除之时起,其删除隐私权也会长达3个月,同时保持高达95%的内容可用性,并将对抗精度保持在20%

参考文献:

[1] Snapchat. https://www.snapchat.com/. (Accessed onFebruary 2018).

[2] How tweet it is!: Library acquires entire twitter archive.http://blogs.loc.gov/loc/2010/04/how-tweet-it-is-library-acquires-entire-twitter-archive/, 2010. (Accessed on February 2018).

发表评论

电子邮件地址不会被公开。 必填项已用*标注