DeZent: Decentralized z-Anonymity with Privacy-Preserving Coordination

Dit paper introduceert deZent, een gedecentraliseerde implementatie van z-anonimiteit die privacy in sensornetwerken verbetert door lokale anonimiseringsprocessen te coördineren met behulp van een stochastische telstructuur en een beveiligde som, waardoor de afhankelijkheid van een centraal entiteit wordt verminderd en de communicatie-overhead wordt verlaagd zonder in te leveren op de prestaties.

De kern

DeZent: Hoe je je energieverbruik anonimiseert zonder een "Grote Broer" te vertrouwen

Stel je voor dat je in een groot dorp woont waar iedereen een slimme meter heeft. Deze meters meten elke 15 minuten hoeveel stroom je verbruikt. Dit is heel handig voor de energieleverancier om het net stabiel te houden, maar er zit een addertje onder het gras: door te kijken naar je verbruikspatroon, kan iemand precies weten of je thuis bent, of je de tv aan hebt staan, en zelfs welk programma je kijkt.

Om dit te voorkomen, gebruiken we een techniek genaamd z-anonymiteit. In dit artikel stellen de auteurs (Carolin en Florian) een nieuwe manier voor om dit veilig te doen, zonder dat we één centrale persoon moeten vertrouwen die al onze data ziet. Ze noemen hun oplossing deZent.

Hier is hoe het werkt, vertaald naar alledaagse beelden:

1. Het oude probleem: De "Grote Broer"

Stel je voor dat alle meters hun gegevens sturen naar één centraal kantoor (de "Centrale Entiteit"). Daar wordt gekeken: "Wie heeft deze rare stroompiek?" Als een waarde heel zeldzaam is (bijvoorbeeld: iemand die precies 12,345 kWh verbruikt op een dinsdagmiddag), dan is dat een gevaar. Iedereen weet wie dat is.

De oplossing van z-anonymiteit is simpel: Verberg de rare waarden.
Als een waarde niet door minstens z mensen (bijvoorbeeld 10 mensen) tegelijk wordt gedeeld, wordt hij niet gepubliceerd. Alleen de "gewone" waarden gaan eruit.

• Het probleem: Hiervoor moet je al je data naar die ene Centrale Entiteit sturen. Die entiteit ziet dan alles voordat hij het filtert. Dat vraagt veel vertrouwen. Wat als die entiteit niet eerlijk is?

2. De nieuwe oplossing: DeZent (Decentraal)

De auteurs zeggen: "Waarom vertrouwen we die ene entiteit? Laten we het lokaal oplossen."
In hun systeem zitten er tussen de meters en het centrale kantoor poorten (Gateways). Denk aan deze poorten als de wijkhoofden in je dorp.

In plaats dat iedereen naar het centrale kantoor rent, praten de wijkhoofden onderling met elkaar. Ze vormen een ring (een kring).

Hoe werkt de magie? (De Analogie van de Wijkvergadering)

Stel je voor dat de wijkhoofden een vergadering houden in een kring. Ze willen weten: "Is er een stroomwaarde die door genoeg mensen wordt gedeeld?"

1. Het Tellen (Zonder te fluisteren):
   Elke wijkhoofd telt hoeveel mensen in zijn wijk een bepaalde waarde hebben. Maar ze mogen elkaar niet vertellen welke waarde het is of wie het precies is.

   • De truc: Ze gebruiken een willekeurige teller (een soort wiskundige magische doos). Ze gooien hun aantallen in deze doos, maar voegen er een beetje "ruis" (willekeurig getal) aan toe.
   • De doos gaat langs de hele kring. Elke wijkhoofd telt zijn eigen mensen bij de doos op.
   • Aan het einde van de ronde is de "ruis" weer weggetrokken. Nu weten ze precies hoeveel mensen er in totaal in het hele dorp een bepaalde waarde hebben, zonder dat ze weten wie dat precies waren.

2. Het Filteren:
   Als de teller laat zien dat een waarde door minder dan z mensen wordt gedeeld, wordt die waarde niet gepubliceerd. Die is te zeldzaam en te gevaarlijk.
   Als de teller laat zien dat er genoeg mensen zijn (bijv. 100 mensen), dan mag die waarde wel naar het centrale kantoor.

3. Het Resultaat:
   Het centrale kantoor krijgt alleen de "veilige" gegevens. Het ziet niet meer wie er precies wat heeft verbruikt, en het ziet zelfs niet eens de rare, zeldzame waarden die de privacy zouden kunnen schaden.

3. Waarom is dit zo slim?

• Minder vertrouwen: Je hoeft niet meer te vertrouwen op die ene centrale entiteit om eerlijk te zijn. Zelfs als die entiteit kwaadwillig is, krijgt hij alleen al gefilterde, veilige data.
• Efficiëntie: Het is alsof je in plaats van dat iedereen naar het stadhuis rent om een formulier in te vullen, de wijkhoofden het even snel onderling regelen. Het kost iets meer communicatie tussen de wijkhoofden (de "coördinatie"), maar het bespaart enorm veel data die naar het stadhuis hoeft.
• Veiligheid: Zelfs als een paar wijkhoofden samenzweren, is het heel moeilijk om de privacy van een buurman te kraken, omdat de ring willekeurig is opgebouwd en de "ruis" in de teller de echte aantallen verbergt.

Conclusie in één zin

deZent is een slimme manier om je privacy te beschermen in een netwerk van slimme meters, door de "gevaarlijke" zeldzame gegevens te laten filteren door een team van wijkhoofden die samenwerken, zodat de centrale baas nooit meer dan hij mag weten te zien.

Het is alsof je een geheim deelt met je buren zonder dat de postbode (de centrale entiteit) ooit hoeft te weten wat je fluistert, zolang je maar zeker weet dat er genoeg buren hetzelfde fluisteren om het niet meer als een geheim te beschouwen.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "deZent: Decentralized z-Anonymity with Privacy-Preserving Coordination" in het Nederlands.

Titel: deZent: Gedecentraliseerde z-Anonimiteit met Privacybehoudende Coördinatie

Auteurs: Carolin Brunn en Florian Tschorsch (TU Dresden)

---

1. Het Probleem

Het analyseren van grote hoeveelheden gegevens uit sensornetwerken (bijv. slimme meters voor elektriciteitsverbruik) is essentieel voor moderne toepassingen, maar roept ernstige privacyproblemen op. Continue metingen kunnen gevoelige informatie onthullen, zoals het identificeren van specifieke gebruikers of zelfs het bepalen welke TV-serie wordt gekeken.

Bestaande privacyoplossingen voor datastromen, zoals k-anonimiteit en differentiële privacy, zijn effectief maar soms zwaar of niet optimaal voor resource-beperkte omgevingen. z-anonimiteit is een lichtgewicht methode die rare waarden onderdrukt (suppressie) om heridentificatie te voorkomen. Echter, de oorspronkelijke implementatie van z-anonimiteit is centraal: alle data moet naar een vertrouwde centrale entiteit (CE) worden gestuurd voordat anonimiseren plaatsvindt. Dit creëert een "trust issue": de CE heeft toegang tot alle ruwe data en kan potentiële privacy-inbreuken maken. In gedecentraliseerde sensornetwerken is het wenselijk om deze afhankelijkheid van een centrale trust-entiteit te verminderen.

2. Methodologie en Oplossing (deZent)

De auteurs stellen deZent voor, een gedecentraliseerde implementatie van z-anonimiteit die lokale anonimiteit realiseert met minimale coördinatie tussen gateways (GW's), zonder dat een centrale entiteit de ruwe data hoeft te zien.

Systeemarchitectuur:

• Sensornodes (SN's): Meten data en sturen deze naar een lokaal Gateway (GW).
• Gateways (GW's): Robuuste entiteiten die data verzamelen en verwerken. Ze vormen een ringtopologie onderling.
• Centrale Entiteit (CE): Ontvangt alleen al geanonimiseerde data.

Het deZent-protocol:
Het protocol werkt in cyclus (clock cycles) en omvat twee communicatie rondes tussen de GW's in een ring:

1. Verzameling (Collection Round): GW's wisselen telpunten uit over hun lokale metingen.
2. Publicatie (Publication Round): GW's bepalen welke waarden aan de CE worden gestuurd op basis van de drempelwaarde $z$ (minimaal aantal voorkomens).

Privacybehoudende Technieken:
Om te voorkomen dat GW's tijdens de uitwisseling inzicht krijgen in de exacte data van buren, combineert deZent twee technieken:

• Stochastische Telfstructuur (Counting Bloom Filter - CBF): In plaats van exacte lijsten van waarden, gebruiken GW's een Bloom Filter om frequenties bij te houden. Dit vermindert de ruimtecomplexiteit en voorkomt dat individuele data-punten direct leesbaar zijn.
• Veilige Som (Secure Sum): Een "honest-but-curious" aanval wordt afgeschermd door een willekeurige verstoring (perturbatie $R$) toe te voegen aan de initiële teller. Deze verstoring wordt pas aan het einde van de cyclus door de coördinator (CCC) verwijderd. Hierdoor kunnen tussenliggende GW's geen exacte bijdragen van andere GW's afleiden.
• ID-maskering: De IDs van individuele sensoren worden vervangen door de ID van de GW, wat de link tussen sensor en gebruiker verder verzwakt.

3. Belangrijkste Bijdragen

• Decentralisatie van z-anonimiteit: Het is de eerste implementatie die z-anonimiteit toepast in een gedecentraliseerd netwerk, waarbij de trust in een centrale entiteit wordt geminimaliseerd.
• Lichtgewicht Coördinatie: Het introduceert een protocol dat privacybehoudende coördinatie mogelijk maakt tussen GW's zonder zware cryptografische methoden (zoals MPC), wat geschikt is voor resource-beperkte sensornetwerken.
• Combinatie van CBF en Secure Sum: Een unieke combinatie die het risico op reverse-engineering van metingen uit de tellers minimaliseert terwijl de communicatie-overhead laag blijft.
• Proces voor Bias-vermindering: Het introduceert een publicatiekans ($p_{pub}$) om te voorkomen dat GW's die direct na de coördinator zitten vaker data publiceren dan andere, wat een vertekening zou kunnen veroorzaken.

4. Resultaten en Evaluatie

De auteurs hebben drie scenario's gesimuleerd op basis van slimme meter-data:

1. Centraal: Traditionele z-anonimiteit op de CE.
2. Volledig gedecentraliseerd: Elke GW anonimiseert lokaal zonder coördinatie (slechte anonimiteit).
3. deZent: Gedecentraliseerd met coördinatie.

Kernbevindingen:

• Publicatie-ratio: De ratio van gepubliceerde data in deZent is bijna identiek aan die van de centrale oplossing. Dit betekent dat de nuttigheid (utility) van de data behouden blijft, in tegenstelling tot de volledig gedecentraliseerde variant die veel minder data publiceert vanwege de lokale beperkingen.
• Communicatie-overhead:
  • Het aantal berichten naar de CE is in deZent aanzienlijk lager dan in het centrale scenario, omdat alleen geanonimiseerde data (niet de ruwe metingen) wordt doorgestuurd.
  • De coördinatie tussen GW's (ring-communicatie) introduceert wel extra berichten, maar deze overhead is acceptabel gezien de capaciteit van GW's.
• Privacy: DeZent biedt dezelfde privacygaranties als de centrale versie voor de gepubliceerde data. De CE ziet geen data die minder dan $z$ keer voorkomt.
• Collusie: De kans op succesvolle collusie tussen GW's is probabilistisch laag, vooral omdat de ringtopologie en de coördinator willekeurig worden gekozen.

5. Betekenis en Conclusie

deZent is een veelbelovende oplossing voor privacy in IoT- en sensornetwerken. Het slaat een brug tussen de noodzaak van efficiënte data-analyse en de eis voor privacy.

• Vertrouwen: Het reduceert de trust-eisen aan de centrale entiteit drastisch; de CE kan geen ruwe data analyseren.
• Efficiëntie: Het behoudt de systemefficiëntie en data-utility van centrale systemen, maar verspreidt de verantwoordelijkheid.
• Toepasbaarheid: Door het gebruik van lichte mechanismen (CBF, Secure Sum) in plaats van zware cryptografie, is de oplossing geschikt voor real-world sensornetwerken met beperkte energie en rekenkracht.

De auteurs concluderen dat deZent een haalbare, lichtgewicht strategie biedt om z-anonimiteit te implementeren in gedecentraliseerde netwerken, waarbij privacy en nut van de data optimaal in evenwicht worden gebracht.