Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » pan » recbdddattack
pan:recbdddattack

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
pan:recbdddattack [2024/09/18 16:00] thejuanvisupan:recbdddattack [2024/09/18 16:22] (actual) thejuanvisu
Línea 28: Línea 28:
   - Tras eso se encuentra una lista de candidatos válidos, esta lista suele ser bastante pequeña, el vector secreto va a estar en esta lista de candidatos.   - Tras eso se encuentra una lista de candidatos válidos, esta lista suele ser bastante pequeña, el vector secreto va a estar en esta lista de candidatos.
   - Hay una propiedad tal que c^(k^(-1))   - Hay una propiedad tal que c^(k^(-1))
 +
 +Corolario: a menos que haya un limite en las peticiones de la base de datos, una reconstrucción casi perfecta es posible dentro de 4E posiciones. Por lo que es posible reconstruir la base de datos hasta el 99% de las posiciones. 
 +
 +A la hora de la verdad esto se puede hacer con un número de peticiones mucho más reducido por lo
 +Aunque el ruido que se añada esté acotado como $E = √(a√n)$, si se le deja al atacante hacer peticiones de orden n, entonces es capaz de reconstruir la base de datos en casi todas las posiciones. Este ataque utiliza programación lineal, que es un ataque estadístico.
 +
 +
 +==== Desafío Aircloak's Diffix ====
 +La compañía Aircloak, que vendía el producto Diffix, prometía privacidad en base a curar las respuestas. Puso un concurso de 5000$ para ver si su producto respondía a los ataques de reconstrucción como se esperaba. La cantidad de ruido que se añadía a cada respuesta era de la raiz cuadrada del número de condiciones. Estaban prohibidas operaciones de tipo OR en la base de datos y en caso de que la salida tuviera pocas entradas la base de datos no respondería. Se planteó una forma de interrogar la base de datos de forma que las peticiones cubrieran muchos elementos de la base de datos de una forma más o menos aleatoria y que tuvieran un número de condiciones muy pequeño. Como resultado se obtuvo la siguiente consulta SQL:
 +<code SQL>
 +SELECT count(clientId)
 +FROM loans
 +WHERE floor(100*((clientId*2)^0,7)+0.5) = floor(100*(clientId*2)^0.7)
 +AND clientID BETWEEN 2000 and 3000
 +AND loanStatus = 'C'
 +</code>
 +Con esta consulta se pudo reconstruir la base de datos a pesar de las medidas tomadas por Aircloak.
pan/recbdddattack.1726675216.txt.gz · Última modificación: 2024/09/18 16:00 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki