Дифференциальная конфиденциальность

Дифференциальная конфиденциальность ( DP ) — это математически строгая основа для раскрытия статистической информации о наборах данных при одновременной защите конфиденциальности отдельных субъектов данных. Это позволяет владельцу данных делиться совокупными моделями группы, ограничивая при этом утечку информации о конкретных людях. ^{[ 1 ] [ 2 ]} Это делается путем введения тщательно калиброванного шума в статистические вычисления таким образом, чтобы полезность статистики сохранялась, но при этом доказуемо ограничивалась тем, что можно сделать вывод о любом человеке в наборе данных.

Другой способ описать дифференциальную конфиденциальность — это ограничение на алгоритмы, используемые для публикации совокупной информации о статистической базе данных, которое ограничивает раскрытие частной информации записей в базе данных. Например, алгоритмы дифференциальной конфиденциальности используются некоторыми государственными учреждениями для публикации демографической информации или других статистических агрегатов, обеспечивая при этом конфиденциальность ответов на опросы, а также компаниями для сбора информации о поведении пользователей, контролируя при этом то, что видно даже внутренним аналитикам.

Грубо говоря, алгоритм является дифференциально конфиденциальным, если наблюдатель, видя его выходные данные, не может определить, использовалась ли в вычислениях информация конкретного человека. Дифференциальная конфиденциальность часто обсуждается в контексте идентификации лиц, информация которых может находиться в базе данных. Хотя это и не относится напрямую к атакам с идентификацией и повторной идентификацией, алгоритмы дифференциальной конфиденциальности, очевидно, противостоят таким атакам. ^{[ 3 ]}

2006 года. Синтии Дворк , Фрэнка Макшерри , Кобби Ниссима и Адама Д. Смита Статья ^{[ 3 ]} представил концепцию ε-дифференциальной конфиденциальности — математическое определение потери конфиденциальности, связанной с любой публикацией данных, взятых из статистической базы данных . ^{[ 4 ]} (Здесь термин «статистическая база данных» означает набор данных, которые собираются под залогом конфиденциальности с целью создания статистики, которая в результате своего производства не ставит под угрозу конфиденциальность тех лиц, которые предоставили данные.)

Определение ε-дифференциальной конфиденциальности требует, чтобы изменение одной записи в базе данных создавало лишь небольшое изменение в распределении вероятностей результатов измерений, как это видит злоумышленник. ^{[ 3 ]} Интуиция определения ε-дифференциальной конфиденциальности заключается в том, что конфиденциальность человека не может быть скомпрометирована публикацией статистики, если его данные отсутствуют в базе данных. ^{[ 5 ]} При дифференциальной конфиденциальности каждому человеку предоставляется примерно такая же конфиденциальность, которая была бы обеспечена в случае удаления его данных. ^{[ 5 ]} То есть на статистические функции, выполняемые в базе данных, не должно существенно влиять удаление, добавление или изменение какого-либо человека в данных. ^{[ 5 ]}

Насколько вклад каждого человека в результат запроса к базе данных зависит отчасти от того, сколько данных людей задействовано в запросе. Если база данных содержит данные одного человека, вклад данных этого человека составляет 100%. Если база данных содержит данные ста человек, вклад каждого человека составляет всего 1%. Ключевая идея дифференциальной конфиденциальности заключается в том, что, поскольку запрос выполняется на основе данных все меньшего и меньшего количества людей, к результату запроса необходимо добавлять больше шума, чтобы обеспечить тот же уровень конфиденциальности. Отсюда и название статьи 2006 года: «Калибровка шума по чувствительности при анализе частных данных». ^{[ нужна ссылка ]}

Пусть ε — положительное действительное число и ${\displaystyle {\mathcal {A}}}$ быть рандомизированным алгоритмом , который принимает набор данных в качестве входных данных (представляющий действия доверенной стороны, хранящей данные). Позволять ${\displaystyle {\textrm {im}}\ {\mathcal {A}}}$ обозначаем образ ​ ${\displaystyle {\mathcal {A}}}$.

Алгоритм ${\displaystyle {\mathcal {A}}}$ Говорят, что он обеспечивает (ε, δ)-дифференциальную конфиденциальность, если для всех наборов данных ${\displaystyle D_{1}}$ и ${\displaystyle D_{2}}$ которые различаются по одному элементу (т. е. данным одного человека) и всем подмножествам ${\displaystyle S}$ из ${\displaystyle {\textrm {im}}\ {\mathcal {A}}}$:

где вероятность берется за случайность, используемую алгоритмом. ^{[ 6 ]} Это определение иногда называют «приблизительной дифференциальной конфиденциальностью», причем «чисто дифференциальная конфиденциальность» является особым случаем, когда ${\displaystyle \delta =0}$. В последнем случае обычно говорят, что алгоритм удовлетворяет ε-дифференциальной конфиденциальности (т. е. исключает ${\displaystyle \delta =0}$). ^{[ нужна ссылка ]}

Дифференциальная конфиденциальность предлагает надежные и надежные гарантии, которые облегчают модульное проектирование и анализ дифференциально-частных механизмов благодаря их компонуемости , устойчивости к постобработке и постепенному деградации при наличии коррелированных данных . ^{[ нужна ссылка ]}

Согласно этому определению, дифференциальная конфиденциальность является условием механизма выпуска (т. е. предоставления доверенной стороной информации о наборе данных), а не самого набора данных. Интуитивно это означает, что для любых двух наборов данных, которые похожи, данный дифференциально частный алгоритм будет вести себя примерно одинаково в обоих наборах данных. Это определение дает надежную гарантию того, что присутствие или отсутствие человека не окажет существенного влияния на конечный результат алгоритма.

Например, предположим, что у нас есть база данных медицинских записей. ${\displaystyle D_{1}}$ где каждая запись представляет собой пару ( Name , X ), где ${\displaystyle X}$ — логическое значение, обозначающее, есть ли у человека диабет или нет. Например:

Имя	Имеет диабет (X)
Росс	1
Моника	1
Джоуи	0
Фиби	0
Чендлер	1
Рэйчел	0

Теперь предположим, что злонамеренный пользователь (часто называемый злоумышленником ) хочет выяснить, есть ли у Чендлера диабет или нет. Предположим, он также знает, в какой строке базы данных находится Чендлер. Теперь предположим, что злоумышленнику разрешено использовать только определенную форму запроса. ${\displaystyle Q_{i}}$ который возвращает частичную сумму первого ${\displaystyle i}$ строки столбца ${\displaystyle X}$ в базе данных. Чтобы определить статус диабета Чендлера, противник выполняет ${\displaystyle Q_{5}(D_{1})}$ и ${\displaystyle Q_{4}(D_{1})}$, затем вычисляет их разницу. В этом примере ${\displaystyle Q_{5}(D_{1})=3}$ и ${\displaystyle Q_{4}(D_{1})=2}$, поэтому их разница равна 1. Это указывает на то, что поле «Имеет диабет» в строке Чендлера должно быть равно 1. В этом примере показано, как индивидуальная информация может быть скомпрометирована даже без явного запроса информации о конкретном человеке.

Продолжая этот пример, если мы построим ${\displaystyle D_{2}}$ заменив (Чандлер, 1) на (Чандлер, 0), тогда этот злонамеренный противник сможет отличить ${\displaystyle D_{2}}$ от ${\displaystyle D_{1}}$ путем вычисления ${\displaystyle Q_{5}-Q_{4}}$ для каждого набора данных. Если бы противнику требовалось получить значения ${\displaystyle Q_{i}}$ через ${\displaystyle \varepsilon }$-дифференциально частный алгоритм, для достаточно малого ${\displaystyle \varepsilon }$, то он или она не сможет различить два набора данных.

Комбинируемость относится к тому факту, что совместное распределение результатов (возможно, адаптивно выбранных) дифференциально частных механизмов удовлетворяет дифференциальной конфиденциальности. ^{[ 3 ]}

• Последовательная композиция. Если мы запросим механизм ε-дифференциальной конфиденциальности ${\displaystyle t}$ раз, а рандомизация механизма независима для каждого запроса, то результат будет ${\displaystyle \varepsilon t}$- дифференциально-частный. В более общем случае, если существуют ${\displaystyle n}$ независимые механизмы: ${\displaystyle {\mathcal {M}}_{1},\dots ,{\mathcal {M}}_{n}}$, чьи гарантии конфиденциальности ${\displaystyle \varepsilon _{1},\dots ,\varepsilon _{n}}$ дифференциальная конфиденциальность, соответственно, то любая функция ${\displaystyle g}$ из них: ${\displaystyle g({\mathcal {M}}_{1},\dots ,{\mathcal {M}}_{n})}$ является ${\displaystyle \left(\sum \limits _{i=1}^{n}\varepsilon _{i}\right)}$- дифференциально-частный. ^{[ 7 ]}

• Параллельная композиция. Если предыдущие механизмы вычисляются на непересекающихся подмножествах частной базы данных, то функция ${\displaystyle g}$ было бы ${\displaystyle (\max _{i}\varepsilon _{i})}$- вместо этого дифференциально частный. ^{[ 7 ]}

Другим важным свойством модульного использования дифференциальной конфиденциальности является устойчивость к постобработке. Это означает, что для любой детерминированной или рандомизированной функции ${\displaystyle F}$ определяется над изображением механизма ${\displaystyle {\mathcal {A}}}$, если ${\displaystyle {\mathcal {A}}}$ удовлетворяет ε-дифференциальной конфиденциальности, как и ${\displaystyle F({\mathcal {A}})}$. ^{[ 3 ]}

Свойство композиции позволяет модульно строить и анализировать дифференциально частные механизмы. ^{[ 3 ]} и мотивирует концепцию бюджета потерь конфиденциальности . ^{[ нужна ссылка ]} Если все элементы, имеющие доступ к конфиденциальным данным сложных механизмов, являются по отдельности дифференциально приватными, то же самое будет и с их комбинацией с последующей произвольной постобработкой. ^{[ 3 ]}

В общем, ε-дифференциальная конфиденциальность предназначена для защиты конфиденциальности между соседними базами данных, которые различаются только одной строкой. Это означает, что ни один злоумышленник с произвольной вспомогательной информацией не сможет узнать, один предоставил ли свою информацию конкретный участник. Однако это также расширяемо. ^{[ 3 ]} Мы можем захотеть защитить базы данных, различающиеся по ${\displaystyle c}$ строк, что означает, что противник с произвольной вспомогательной информацией знает, ${\displaystyle c}$ отдельные участники представили свою информацию. Этого можно достичь, потому что если ${\displaystyle c}$ элементы меняются, расширение вероятности ограничено ${\displaystyle \exp(\varepsilon c)}$ вместо ${\displaystyle \exp(\varepsilon )}$, ^{[ 8 ]} т. е. для D ₁ и D _2, отличающихся ${\displaystyle c}$ предметы: $${\displaystyle \Pr[{\mathcal {A}}(D_{1})\in S]\leq \exp(\varepsilon c)\cdot \Pr[{\mathcal {A}}(D_{2})\in S]\,\!}$$Таким образом, установив ε вместо ${\displaystyle \varepsilon /c}$ достигает желаемого результата (защита ${\displaystyle c}$ предметы). ^{[ 3 ]} Другими словами, вместо того, чтобы каждый элемент был защищен ε-дифференциально частной защитой, теперь каждая группа ${\displaystyle c}$ элементы защищены ε-дифференциально частной защитой (и каждый элемент ${\displaystyle (\varepsilon /c)}$- дифференциально-частная защита). ^{[ 3 ]}

Можно думать о дифференциальной конфиденциальности как об ограничении частоты ошибок при проверке гипотезы. Рассмотрим две гипотезы:

• ${\displaystyle H_{0}}$: данные человека отсутствуют в наборе данных.

• ${\displaystyle H_{1}}$: данные человека находятся в наборе данных.

Тогда есть два коэффициента ошибок:

• Частота ложноположительных результатов (FPR): ${\displaystyle P_{\text{FP}}=\Pr[{\text{Adversary guesses }}H_{1}\mid H_{0}{\text{ is true}}].}$

• Ложноотрицательный уровень (FNR): ${\displaystyle P_{\text{FN}}=\Pr[{\text{Adversary guesses }}H_{0}\mid H_{1}{\text{ is true}}].}$

Идеальная защита предполагает, что обе частоты ошибок равны, но при фиксированных настройках (ε, δ) злоумышленник может достичь следующих показателей: ^{[ 9 ]}

• ${\displaystyle \{(P_{\text{FP}},P_{\text{FN}})\mid P_{\text{FP}}+e^{\varepsilon }P_{\text{FN}}\geq 1-\delta ,\ e^{\varepsilon }P_{\text{FP}}+P_{\text{FN}}\geq 1-\delta \}}$

Поскольку дифференциальная конфиденциальность является вероятностной концепцией, любой дифференциально-частный механизм обязательно рандомизирован. Некоторые из них, например механизм Лапласа, описанный ниже, основаны на добавлении контролируемого шума к функции, которую мы хотим вычислить. Другие, такие как экспоненциальный механизм ^{[ 10 ]} и задний отбор проб ^{[ 11 ]} Вместо этого используйте выборку из семейства распределений, зависящих от проблемы.

Важным определением в отношении ε-дифференциально частных механизмов является чувствительность. ^{[ 3 ]} Позволять ${\displaystyle d}$ быть положительным целым числом, ${\displaystyle {\mathcal {D}}}$ быть набором наборов данных, и ${\displaystyle f\colon {\mathcal {D}}\rightarrow \mathbb {R} ^{d}}$ быть функцией. Одно определение чувствительности функции , обозначаемое ${\displaystyle \Delta f}$, может быть определено: ^{[ 3 ]} $${\displaystyle \Delta f=\max \lVert f(D_{1})-f(D_{2})\rVert _{1},}$$где максимум относится ко всем парам наборов данных ${\displaystyle D_{1}}$ и ${\displaystyle D_{2}}$ в ${\displaystyle {\mathcal {D}}}$ отличающиеся не более чем одним элементом и ${\displaystyle \lVert \cdot \rVert _{1}}$ обозначает норму L1 . ^{[ 3 ]} В приведенном ниже примере медицинской базы данных, если мы рассмотрим ${\displaystyle f}$ быть функцией ${\displaystyle Q_{i}}$, то чувствительность функции равна единице, поскольку изменение любой из записей в базе данных приводит к изменению выходных данных функции либо на ноль, либо на единицу. Это можно обобщить на другие метрические пространства (меры расстояния), и это должно быть сделано для того, чтобы некоторые дифференциально частные алгоритмы работали, включая добавление шума из распределения Гаусса (которое требует нормы L2 ) вместо распределения Лапласа . ^{[ 3 ]}

Существуют методы (описанные ниже), с помощью которых мы можем создать дифференциально-частный алгоритм для функций с параметрами, которые варьируются в зависимости от их чувствительности. ^{[ 3 ]}

Этот раздел может быть слишком техническим для понимания большинства читателей . Пожалуйста, помогите улучшить его , чтобы он был понятен неспециалистам , не удаляя технических подробностей. ( Июль 2024 г. ) ( Узнайте, как и когда удалить это сообщение )

Механизм Лапласа добавляет шум Лапласа (т.е. шум из распределения Лапласа , который может быть выражен функцией плотности вероятности ${\displaystyle {\text{noise}}(y)\propto \exp(-|y|/\lambda )\,\!}$, который имеет нулевое среднее значение и стандартное отклонение ${\displaystyle {\sqrt {2}}\lambda \,\!}$). Теперь в нашем случае мы определяем выходную функцию ${\displaystyle {\mathcal {A}}\,\!}$ как действительнозначная функция (называемая выводом транскрипта ${\displaystyle {\mathcal {A}}\,\!}$) как ${\displaystyle {\mathcal {T}}_{\mathcal {A}}(x)=f(x)+Y\,\!}$ где ${\displaystyle Y\sim {\text{Lap}}(\lambda )\,\!\,\!}$ и ${\displaystyle f\,\!}$ — это исходный запрос/функция с действительным значением, которую мы планировали выполнить в базе данных. Теперь ясно ${\displaystyle {\mathcal {T}}_{\mathcal {A}}(x)\,\!}$ можно рассматривать как непрерывную случайную величину, где

$${\displaystyle {\frac {\mathrm {pdf} ({\mathcal {T}}_{{\mathcal {A}},D_{1}}(x)=t)}{\mathrm {pdf} ({\mathcal {T}}_{{\mathcal {A}},D_{2}}(x)=t)}}={\frac {{\text{noise}}(t-f(D_{1}))}{{\text{noise}}(t-f(D_{2}))}}\,\!}$$

что максимум ${\displaystyle e^{\frac {|f(D_{1})-f(D_{2})|}{\lambda }}\leq e^{\frac {\Delta (f)}{\lambda }}\,\!}$. Мы можем рассмотреть ${\displaystyle {\frac {\Delta (f)}{\lambda }}\,\!}$ быть фактором конфиденциальности ${\displaystyle \varepsilon \,\!}$. Таким образом ${\displaystyle {\mathcal {T}}\,\!}$ следует дифференциально-частному механизму (как видно из приведенного выше определения). Если мы попытаемся использовать эту концепцию в нашем примере с диабетом, то из приведенного выше факта вытекает, что для того, чтобы иметь ${\displaystyle {\mathcal {A}}\,\!}$ как ${\displaystyle \varepsilon \,\!}$-дифференциальный частный алгоритм, который нам нужен ${\displaystyle \lambda =1/\varepsilon \,\!}$. Хотя здесь мы использовали шум Лапласа, можно использовать и другие формы шума, такие как гауссов шум, но они могут потребовать небольшого смягчения определения дифференциальной конфиденциальности. ^{[ 8 ]}

Простой пример, особенно разработанный в социальных науках , ^{[ 12 ]} состоит в том, чтобы попросить человека ответить на вопрос «Владеете ли вы атрибутом А ?», согласно следующей процедуре:

1. Подбросьте монетку .
2. Если выпадет орел, подбросьте монету еще раз (игнорируя результат) и честно ответьте на вопрос.
3. Если решка, то подбросьте монету еще раз и ответьте «Да», если решка, «Нет», если решка.

(Казалось бы, излишнее дополнительное подбрасывание в первом случае необходимо в ситуациях, когда другие могут наблюдать сам акт подбрасывания монеты, даже если фактический результат остается скрытым.) Конфиденциальность тогда возникает из опровержимости отдельных ответов.

Но в целом эти данные со многими ответами значимы, поскольку положительные ответы на четверть дают люди, не обладающие признаком А , а три четверти - люди, действительно им обладающие. Таким образом, если p — истинная доля людей с A , то мы ожидаем получить (1/4)(1- p ) + (3/4) p = (1/4) + p /2 положительных ответов. Следовательно, можно оценить p .

В частности, если признак А является синонимом противоправного поведения, то ответ «Да» не является инкриминирующим, поскольку у человека есть вероятность ответа «Да», каким бы он ни был.

Хотя этот пример, основанный на рандомизированном ответе , может быть применим к микроданным (т. е. публикации наборов данных вместе с каждым отдельным ответом), дифференциальная конфиденциальность по определению исключает выпуск микроданных и применима только к запросам (т. е. агрегированию отдельных ответов в один результат), поскольку этот пример нарушит требования, а точнее правдоподобное отрицание того, что субъект участвовал или нет. ^{[ 13 ] [ 14 ]}

Преобразование ${\displaystyle T}$ является ${\displaystyle c}$-стабильна, если расстояние Хэмминга между ${\displaystyle T(A)}$ и ${\displaystyle T(B)}$ самое большее ${\displaystyle c}$-умноженное на расстояние Хэмминга между ${\displaystyle A}$ и ${\displaystyle B}$ для любых двух баз данных ${\displaystyle A,B}$. ^{[ нужна ссылка ]} Если есть механизм ${\displaystyle M}$ то есть ${\displaystyle \varepsilon }$-дифференциально-частный, затем составной механизм ${\displaystyle M\circ T}$ является ${\displaystyle (\varepsilon \times c)}$- дифференциально-частный. ^{[ 7 ]}

Это можно обобщить на групповую конфиденциальность, поскольку размер группы можно рассматривать как расстояние Хэмминга. ${\displaystyle h}$ между ${\displaystyle A}$ и ${\displaystyle B}$ (где ${\displaystyle A}$ содержит группу и ${\displaystyle B}$ нет). В этом случае ${\displaystyle M\circ T}$ является ${\displaystyle (\varepsilon \times c\times h)}$- дифференциально-частный. ^{[ нужна ссылка ]}

В 1977 году Торе Далениус формализовал математику подавления клеток . ^{[ 15 ]} Торе Далениус был шведским статистиком, который внес вклад в обеспечение конфиденциальности статистической информации в своей статье 1977 года, в которой раскрылся ключевой момент статистических баз данных, а именно то, что базы данных не должны раскрывать информацию о человеке, которая не была бы доступна иным образом. ^{[ 16 ]} Он также определил типологию раскрытия статистической информации. ^{[ 4 ]}

В 1979 году Дороти Деннинг , Питер Дж. Деннинг и Майер Д. Шварц формализовали концепцию трекера — злоумышленника, который мог узнать конфиденциальное содержимое статистической базы данных, создав серию целевых запросов и запомнив результаты. ^{[ 17 ]} Это и будущие исследования показали, что свойства конфиденциальности в базе данных можно сохранить только при рассмотрении каждого нового запроса в свете (возможно, всех) предыдущих запросов. Это направление работы иногда называют конфиденциальностью запросов, а конечный результат заключается в том, что отслеживание влияния запроса на конфиденциальность отдельных лиц в базе данных было NP-сложным . ^{[ нужна ссылка ]}

В 2003 году Кобби Ниссим и Ирит Динур продемонстрировали, что невозможно публиковать произвольные запросы к частной статистической базе данных, не раскрывая при этом некоторого количества частной информации, и что весь информационный контент базы данных может быть раскрыт путем публикации результатов удивительно небольшого количество случайных запросов — гораздо меньше, чем предполагалось в предыдущей работе. ^{[ 18 ]} Это общее явление известно как « Фундаментальный закон восстановления информации» , и его ключевое понимание, а именно то, что в самом общем случае конфиденциальность не может быть защищена без внесения некоторого количества шума, привело к развитию дифференциальной конфиденциальности. ^{[ нужна ссылка ]}

В 2006 году Синтия Дворк , Фрэнк МакШерри , Кобби Ниссим и Адам Д. Смит опубликовали статью. ^{[ 3 ]} формализация количества шума, который необходимо добавить, и предложение обобщенного механизма для этого. ^{[ нужна ссылка ]} В этой статье также было дано первое формальное определение дифференциальной конфиденциальности. ^{[ 4 ]} Их работа стала одним из лауреатов премии TCC Test of Time Award 2016. ^{[ 19 ]} и премия Гёделя 2017 года . ^{[ 20 ]}

С тех пор последующие исследования показали, что существует множество способов получения очень точной статистики из базы данных, сохраняя при этом высокий уровень конфиденциальности . ^{[ 1 ]}

На сегодняшний день существует более 12 реальных применений дифференциальной конфиденциальности , наиболее примечательными из которых являются:

• 2008: Бюро переписи населения США — за показ моделей поездок на работу. ^{[ 21 ]}
• 2014: RAPPOR от Google для телеметрии, например для получения статистики о нежелательном программном обеспечении, взламывающем настройки пользователей. ^{[ 22 ] [ 23 ]}
• 2015: Google за обмен исторической статистикой трафика. ^{[ 24 ]}
• 2016: Apple iOS 10 для использования в интеллектуального персонального помощника . технологии ^{[ 25 ]}
• 2017: Microsoft для телеметрии в Windows. ^{[ 26 ]}
• 2020: Social Science One и Facebook , набор данных из 55 триллионов ячеек, позволяющий исследователям узнать о выборах и демократии. ^{[ 27 ] [ 28 ]}
• 2021: Бюро переписи населения США использует дифференциальную конфиденциальность для публикации данных о перераспределении избирательных округов переписи населения 2020 года. ^{[ 29 ]}

Существует несколько соображений, касающихся общественных целей, касающихся дифференцированной конфиденциальности, которые важно учитывать, особенно для политиков и аудиторий, ориентированных на политику, заинтересованных в социальных возможностях и рисках, связанных с технологией: ^{[ 30 ]}

• Полезность и точность данных. Основная проблема, связанная с дифференциальной конфиденциальностью, — это компромисс между полезностью данных и личной конфиденциальностью. Если параметр потери конфиденциальности установлен в пользу полезности, преимущества конфиденциальности снижаются (в систему вводится меньше «шума»); если параметр потери конфиденциальности настроен в пользу строгой конфиденциальности, точность и полезность набора данных снижаются (в систему вводится больше «шума»). Для политиков важно учитывать компромиссы, связанные с дифференцированной конфиденциальностью, чтобы помочь установить соответствующие лучшие практики и стандарты использования этой практики сохранения конфиденциальности, особенно с учетом разнообразия вариантов использования в организациях. Однако стоит отметить, что снижение точности и полезности является общей проблемой для всех методов ограничения статистического раскрытия и не является уникальной для дифференциальной конфиденциальности. Однако уникально то, как политики, исследователи и исполнители могут рассмотреть возможность смягчения рисков, возникающих в результате этого компромисса.
• Конфиденциальность и безопасность данных. Дифференциальная конфиденциальность обеспечивает количественную меру потери конфиденциальности и верхнюю границу и позволяет кураторам выбирать явный компромисс между конфиденциальностью и точностью. Он устойчив к еще неизвестным атакам на конфиденциальность. Однако это поощряет более широкий обмен данными, что, если все сделано неправильно, увеличивает риск конфиденциальности. Дифференциальная конфиденциальность подразумевает, что конфиденциальность защищена, но это во многом зависит от выбранного параметра потери конфиденциальности и вместо этого может привести к ложному чувству безопасности. Наконец, хотя он устойчив к непредвиденным будущим атакам на конфиденциальность, можно разработать контрмеры, которые мы не можем предсказать.

Поскольку методы дифференциальной конфиденциальности реализованы на реальных компьютерах, они уязвимы для различных атак, которые невозможно компенсировать исключительно математическими методами самих методов. Помимо стандартных дефектов программных артефактов, которые можно выявить с помощью тестирования или фаззинга , реализации дифференциально-приватных механизмов могут страдать от следующих уязвимостей:

• Тонкие алгоритмические или аналитические ошибки. ^{[ 31 ] [ 32 ]}
• Выбор времени для атак по побочным каналам. ^{[ 33 ]} В отличие от атак по времени на реализации криптографических алгоритмов, которые обычно имеют низкую степень утечки и должны сопровождаться нетривиальным криптоанализом, канал синхронизации может привести к катастрофическому компрометации дифференциально-приватной системы, поскольку целевая атака может быть использована для проникновения в систему. ту самую часть, которую система призвана скрывать.
• Утечка через арифметику с плавающей запятой. ^{[ 34 ]} Дифференциально частные алгоритмы обычно представляются на языке вероятностных распределений, что наиболее естественно приводит к реализациям, использующим арифметику с плавающей запятой. Абстракция арифметики с плавающей запятой ненадежна , и без пристального внимания к деталям наивная реализация может не обеспечить дифференциальную конфиденциальность. (Это особенно относится к ε-дифференциальной конфиденциальности, которая не допускает никакой вероятности сбоя даже в худшем случае.) Например, поддержка сэмплера из учебника распределения Лапласа (требуемого, например, для распределения Лапласа механизм ) составляет менее 80% всех чисел двойной точности с плавающей запятой ; более того, поддержка дистрибутивов разными средствами не идентична. Одна выборка из наивной реализации механизма Лапласа позволяет различать два соседних набора данных с вероятностью более 35%.
• Канал синхронизации посредством арифметики с плавающей запятой. ^{[ 35 ]} В отличие от операций над целыми числами, которые на современных процессорах обычно выполняются с постоянным временем, арифметика с плавающей запятой демонстрирует значительную изменчивость времени в зависимости от ввода. ^{[ 36 ]} Обработка субнормальных значений может быть особенно медленной, примерно в 100 раз по сравнению с типичным случаем. ^{[ 37 ]}

• Реализация дифференцированного частного анализа – внедрение дифференцированной конфиденциальности
• Квазиидентификатор
• Экспоненциальный механизм (дифференциальная конфиденциальность) - метод разработки дифференциально частных алгоритмов.
• k-анонимность
• Дифференциально частный анализ графиков
• Защищенная медицинская информация
• Локальная дифференциальная конфиденциальность
• Конфиденциальность

• Калибровка шума на чувствительность при анализе частных данных , Синтия Дворк , Фрэнк МакШерри , Кобби Ниссим и Адам Смит. 2006. В материалах Третьей конференции по теории криптографии (TCC'06). Springer-Verlag, Берлин, Гейдельберг, 265–284. https://doi.org/10.1007/11681878_14 (Это оригинальная публикация «Дифференциальной конфиденциальности», а не одноименная статья Дворка, опубликованная в том же году.)
• Дифференциальная конфиденциальность: обзор результатов, проведенный Синтией Дворк, Microsoft Research, апрель 2008 г. (Представляется то, что было обнаружено в течение первых двух лет исследований дифференциальной конфиденциальности.)
• Дифференциальная конфиденциальность: учебник для нетехнической аудитории , Александра Вуд, Мика Альтман , Аарон Бембенек, Марк Бан, Марко Габорди и др., Журнал Vanderbilt Journal of Entertainment & Technology Law. Журнал Vanderbilt Journal of Entertainment, Том 21, Выпуск 1, осень 2018 г. (Хороший вводный документ, но определенно *не* для нетехнической аудитории!)
• Информационный бюллетень о технологиях: Дифференцированная конфиденциальность , Райна Ганди и Амрита Джаянти, Белферовский центр науки и международных отношений, осень
• Дифференциальная конфиденциальность и перепись населения США 2020 года , Тематические исследования Массачусетского технологического института по социальной и этической ответственности за использование компьютеров, вып. Зима 2022 (январь). https://doi.org/10.21428/2c646de5.7ec6ab93 .

• Практическое руководство для начинающих по дифференциальной конфиденциальности , Кристин Таск, Университет Пердью, апрель 2012 г.