TU Darmstadt / ULB / TUbiblio

Multidimensional Privacy Quantification for User Empowerment

Boukoros, Spyridon (2019):
Multidimensional Privacy Quantification for User Empowerment.
Darmstadt, Technische Universität, [Online-Edition: https://tuprints.ulb.tu-darmstadt.de/8716],
[Ph.D. Thesis]

Abstract

As we are living in an interconnected world, serious privacy concerns have been raised due to the ever increasing data collection. As a result, many privacy-preserving methodologies have been proposed for various domains. However, in order to argue about the effectiveness of such methodologies, it is necessary to quantify privacy. Furthermore, such a quantification should be within the grasp of users and developers, as an important factor of any technology is adoption. In this thesis, we design privacy metrics in order to investigate the privacy guarantees offered by various defenses. In addition, we develop tools that can be used either by system designers for developing more privacy-preserving applications, or by users to estimate their privacy. The analysis in performed on three domains where millions of users already contribute data.

The first part of this thesis investigates a previously unexplored dimension of location privacy: mobile crowdsourcing, where users share streams of their location data. In this thesis we shed light as to whether traditional location privacy mechanisms can be directly applied in this scenario. We elaborate on why this use case is radically different than the widely studied case of location-based services. Then, using novel privacy metrics, and realistic utility functions and datasets, derived directly from crowdsourcing projects, we highlight why existing privacy defenses are inadequate. In order to enable further research in this direction and spawn privacy-preserving crowdsourcing applications, we provide some best-practices guidelines, directions for the development of novel defense mechanisms, and we show how our work can be used as a tool to measure privacy and utility loss.

In the second part of the thesis, we explore the privacy guarantees of aggregation schemes in smart metering, by modeling privacy as an indistinguishability game. In particular, we explore how many household have to be aggregated in order to provide meaningful privacy guarantees. We explain why such a modeling is flexible, able to simulate a variety of adversaries with different background information, and how the proposed game can be re-purposed to investigate as to whether single profiles belong in an aggregate or not. We investigate various aggregation sizes for privacy leakage, as well as, properties of an aggregate that affect the privacy guarantees.

The last part of this thesis investigates privacy in microdata publication. A tool is proposed, that enables users to estimate their privacy level, based on a set of preferences they want to share with a service provider (eg., movies watched, music listened to etc.), a-priori sharing them. The tool does not require full access to the providers' database but rather relies on users' choices and the popularity of those. We describe the underlying privacy metric and the algorithms composing the tool. Using actual user data and comparing the tool's results with a well established privacy metric, we show that the tool is able to approximate users' privacy levels.

The privacy evaluation in the domain of mobile crowdsourcing highlights that the utility functions of the domain are different than those used in traditional location-privacy literature. For this reason, the utility-privacy trade-off of various defenses is different than the one observed in the scenario of location-based services, allowing us to understand why existing defenses are not deployed in practice by crowdsourcing projects. For the domain of smart metering, our work illustrates that aggregation-based privacy mechanisms are inadequate for small or medium sized aggregates of electricity consumption data. Users' electricity consumption patterns can be quite distinct, and with some auxiliary information sensitive data can be leaked from the aggregated report. Last, the user-friendly tool proposed for the domain of microdata publications, as well as the metrics and tools developed for the domains of mobile crowdsourcing and smart metering, can enable non-technical users to better understand the privacy risks of sharing unprotected data, and guide application developers towards developing privacy-preserving systems.

Item Type: Ph.D. Thesis
Erschienen: 2019
Creators: Boukoros, Spyridon
Title: Multidimensional Privacy Quantification for User Empowerment
Language: English
Abstract:

As we are living in an interconnected world, serious privacy concerns have been raised due to the ever increasing data collection. As a result, many privacy-preserving methodologies have been proposed for various domains. However, in order to argue about the effectiveness of such methodologies, it is necessary to quantify privacy. Furthermore, such a quantification should be within the grasp of users and developers, as an important factor of any technology is adoption. In this thesis, we design privacy metrics in order to investigate the privacy guarantees offered by various defenses. In addition, we develop tools that can be used either by system designers for developing more privacy-preserving applications, or by users to estimate their privacy. The analysis in performed on three domains where millions of users already contribute data.

The first part of this thesis investigates a previously unexplored dimension of location privacy: mobile crowdsourcing, where users share streams of their location data. In this thesis we shed light as to whether traditional location privacy mechanisms can be directly applied in this scenario. We elaborate on why this use case is radically different than the widely studied case of location-based services. Then, using novel privacy metrics, and realistic utility functions and datasets, derived directly from crowdsourcing projects, we highlight why existing privacy defenses are inadequate. In order to enable further research in this direction and spawn privacy-preserving crowdsourcing applications, we provide some best-practices guidelines, directions for the development of novel defense mechanisms, and we show how our work can be used as a tool to measure privacy and utility loss.

In the second part of the thesis, we explore the privacy guarantees of aggregation schemes in smart metering, by modeling privacy as an indistinguishability game. In particular, we explore how many household have to be aggregated in order to provide meaningful privacy guarantees. We explain why such a modeling is flexible, able to simulate a variety of adversaries with different background information, and how the proposed game can be re-purposed to investigate as to whether single profiles belong in an aggregate or not. We investigate various aggregation sizes for privacy leakage, as well as, properties of an aggregate that affect the privacy guarantees.

The last part of this thesis investigates privacy in microdata publication. A tool is proposed, that enables users to estimate their privacy level, based on a set of preferences they want to share with a service provider (eg., movies watched, music listened to etc.), a-priori sharing them. The tool does not require full access to the providers' database but rather relies on users' choices and the popularity of those. We describe the underlying privacy metric and the algorithms composing the tool. Using actual user data and comparing the tool's results with a well established privacy metric, we show that the tool is able to approximate users' privacy levels.

The privacy evaluation in the domain of mobile crowdsourcing highlights that the utility functions of the domain are different than those used in traditional location-privacy literature. For this reason, the utility-privacy trade-off of various defenses is different than the one observed in the scenario of location-based services, allowing us to understand why existing defenses are not deployed in practice by crowdsourcing projects. For the domain of smart metering, our work illustrates that aggregation-based privacy mechanisms are inadequate for small or medium sized aggregates of electricity consumption data. Users' electricity consumption patterns can be quite distinct, and with some auxiliary information sensitive data can be leaked from the aggregated report. Last, the user-friendly tool proposed for the domain of microdata publications, as well as the metrics and tools developed for the domains of mobile crowdsourcing and smart metering, can enable non-technical users to better understand the privacy risks of sharing unprotected data, and guide application developers towards developing privacy-preserving systems.

Place of Publication: Darmstadt
Divisions: 20 Department of Computer Science
20 Department of Computer Science > Security Engineering
DFG-Graduiertenkollegs
DFG-Graduiertenkollegs > Research Training Group 2050 Privacy and Trust for Mobile Users
Profile Areas
Profile Areas > Cybersecurity (CYSEC)
Date Deposited: 09 Jun 2019 19:55
Official URL: https://tuprints.ulb.tu-darmstadt.de/8716
URN: urn:nbn:de:tuda-tuprints-87166
Referees: Katzenbeisser, Professor Stefan and Troncoso, Professor Carmela and Mühlhäuser, Professor Max
Refereed / Verteidigung / mdl. Prüfung: 10 April 2019
Alternative Abstract:
Alternative abstract Language
Da wir in einer vernetzten Welt leben, treten vermehrt ernsthafte Bedenken hinsichtlich des Datenschutzes aufgrund der ständig zuneh-menden Datenerhebung auf. Infolgedessen wurden viele Methoden zum Schutz der Privatsphäre für verschiedene Domänen vorgeschlagen. Um jedoch die Wirksamkeit dieser Methoden zu zeigen, ist es erforderlich die Privatsphäre zu quantifizieren. Darüber hinaus sollte eine solche Quantifizierung unter Kontrolle der Nutzer und Entwickler liegen, da Verwendbarkeit ein wichtiger Faktor für jede Technologie ist. In dieser Arbeit entwerfen wir Datenschutzkennzahlen, um die Datenschutzgarantien zu untersuchen, die verschiedene Schutzmechanismen bieten. Darüber hinaus entwickeln wir Werkzeuge, die entweder von Systementwicklern für die Entwicklung weiterer Datenschutz-Tools verwendet werden können oder von Benutzern, um ihre Privatsphäre einzuschätzen. Die Analyse wurde in drei Datensammlungen durchgeführt, zu denen Millionen von Benutzern bereits Daten beitragen. Der erste Teil dieser Arbeit untersucht eine bisher unerforschte Dimension des Datenschutzes von Standorten: mobiles Crowdsourcing, bei dem Benutzer Streams ihrer Standortdaten gemeinsam nutzen. In dieser Arbeit untersuchen wir, ob traditionelle Mechanismen für den Schutz von Standortdaten direkt auf dieses Szenario angewendet werden können. Wir erläutern, warum sich dieser Anwendungsfall grundlegend von dem weithin untersuchten Fall ortsbasierter Dienste unterscheidet. Dann verwenden wir neuartige Datenschutzkennzahlen, realistische Hilfsfunktionen und Daten, die direkt aus Crowdsourcing-Projekten stammen, um zu zeigen, dass heutige Verteidigungsmechanismen der Privatsphäre unzureichend sind. Um weitere Forschung zu animieren Privatsphäre schützende Crowdsourcing-Anwendungen hervorzubringen, stellen wir einige Best Practice-Richtlinien sowie Anweisungen für die Entwicklung neuartiger Abwehrmechanismen vor, und wir zeigen, wie unsere Arbeit als Instrument zur Messung der Privatsphäre und des einhergehenden Verlustes von Nutzen verwendet werden kann. Im zweiten Teil der Arbeit untersuchen wir die Garantien für den Datenschutz von Aggregationsverfahren in Smart Metering durch Modellierung der Privatsphäre als Ununterscheidbarkeits-Spiel. Insbesondere untersuchen wir, wie viele Haushalte zusammengefasst werden müssen, um angemessene Privatsphäre zu gewährleisten. Wir erklären, warum eine solche Modellierung flexibel ist sowie eine Vielzahl von Angreifern mit unterschiedlichen Hintergrundinformationen simulieren kann und wie das vorgeschlagene Spiel wieder verwendet werden kann, um zu prüfen, ob ein Profil zu einem Aggregat gehört oder nicht. Wir untersuchen verschiedene Aggregationsgrößen auf das Eindringen in die Privatsphäre sowie welche Eigenschaften eines Aggregats die Datenschutzgarantien beeinflussen. Der letzte Teil dieser Arbeit untersucht den Datenschutz bei der Veröffentlichung von Mikrodaten. Es wird ein Tool vorgeschlagen, mit dem Benutzer das Privatsphäre-Niveau ihrer Sammlung von Präferenzen (z. B. angesehene Filme, gehörte Musik, usw.) einschätzen können, um zu beurteilen, ob sie diese mit den Diensteanbietern teilen möchten. Das Tool erfordert jedoch keinen vollständigen Zugriff auf die Datenbank der Anbieter sondern verlässt sich auf die Auswahl der Benutzer und deren Beliebtheit. Wir beschreiben die zugrunde liegende Datenschutzmetrik und die Algorithmen, aus denen das Tool besteht. Anhand von tatsächlichen Benutzerdaten und dem Vergleich der Ergebnisse des Tools mit einer bereits etablierten Datenschutzkennzahl zeigen wir, dass das Tool eine Schätzung des Datenschutz-Niveaus ermöglicht. Die Bewertung der Privatsphäre im Bereich des mobilen Crowdsourcing hebt hervor, dass die Utility-Funktionen der Domäne anders sind als diejenigen, die in der traditionellen Literatur zum Thema Standortdatenschutz verwendet werden. Aus diesem Grund unterscheidet sich der Kompromiss von Nutzen und Privatsphäre zwischen den verschiedenen Schutzmechanismen von dem, der im Szenario ortsbasierter Dienste beobachtet wurde. Das erlaubt uns zu verstehen, warum bestehende Abwehrmechanismen in der Praxis nicht in Crowdsourcing-Projekten eingesetzt werden. Für den Bereich Smart Metering zeigt unsere Arbeit, dass aggregationsbasierte Mechanismen zum Schutz der Privatsphäre für kleine oder mittlere Aggregate von Stromverbrauchsdaten unzureichend sind. Die Stromverbrauchsmuster der Benutzer können sehr unterschiedlich sein, sodass mit einigen Hilfsinformationen vertrauliche Daten aus dem Aggregat abgeleitet werden können. Das vorgeschlagene benutzerfreundliche Werkzeug für die Domäne von Mikrodatenpublikationen sowie die entwickelten Metriken und Werkzeuge für die Bereiche mobiles Crowdsourcing und Smart Metering können nicht-technischen Benutzern ein besseres Verständnis der Datenschutzrisiken bei ungeschützter Freigabe von Daten ermöglichen und leiten Anwendungsentwickler in Richtung Entwicklung von Systemen zum Schutz der Privatsphäre.German
Export:

Optionen (nur für Redakteure)

View Item View Item