第10章 计算中的隐私.ppt

10.6.4 匿名电子邮件和转发 同样有许多原因让电子邮件需要匿名。正如使用电话一样，顾客希望能匿名地提出建议或意见。免费的邮箱可以在Yahoo，Microsoft Hotmail以及其他地方得到。人们对于这些邮箱报以用完就丢的态度。 简单的邮件转发 邮件转发系统使用可靠的第三方来发送信息到发送者所希望的接受者。这里第三方可以使用假名技术。 复杂的邮件转发 这项技术依靠一组相互协作的主机，这些主机同意转发邮件，每个主机公布自己的公钥。但其过量的负载意味着这种方法只有在匿名显得非常重要的时候才会使用。 10.6.5 欺骗和垃圾邮件 电子邮件很少有真实性的保证。SMTP协议并不会验证列表发送者是否准确或合法。源地址欺骗技术用于电子邮件并不困难。这种局限性促进了垃圾邮件的发送，原因是不可能跟踪到真正的垃圾邮件发起者。 钓鱼欺诈(Phishing)类型的邮件信息引诱易受欺骗的用户透露敏感的个人信息。由于因特网的局限性，很难控制这种威胁。最好的防御方法是提高用户自身的保护意识。 10.6.6 小结 电子邮件暴露在从发送方到接受方的传播过程中，这其中有许多的节点会拦截电子邮件。除非电子邮件是加密的，否则无法保证邮件不会被其他人访问。对于商业、政府、学校和其他机构，网络管理员和管理者可以阅读任何发出的电子邮件信息。 10.7 新技术与隐私 这里讨论三项技术：第一项是用于追踪物体或人的广播技术。第二项是促进选举的一组技术。最后一项是用于语音电话的新方法。它们都不存在内在的、影响隐私的东西，但是这些技术的应用过程都存在风险。 10.7.1 RFID 射频身份鉴别采用了一种小的、低功率无线电波发射器，称为RFID标签(RFID tag)。RFID标签的现实应用包括： (1) 通行费用支付。 (2) 运输系统费用卡。 (3) 库存物或清单的标签。 (4) 通行证和身份证。 10.7.1 RFID(续) 消费类产品 用户的衬衣、鞋子、钢笔、钱包、手机、CD机以及糖果包装纸都可以有RFID标签。所有这些东西的任何一种均可用于跟踪，其他的则提供冗余信息。 当一座城市的每一个角落都被安装了接收器时，就可以收集到用户的完整活动情况。时间戳可以提供用户在两个接收器间逗留的时间。这样，设计一个跟踪用户所有活动的系统是可能的。 雇员的标签可以告诉别人用户在为谁工作；药瓶标签可以透露用户的病证状况；昂贵的钥匙链标签可暗示用户的财产。在RFID出现以前，用户可以将自己的雇员ID放在兜里，隐藏自己的身份；而RFID出现以后，用户需要更加警惕不可察觉的无线电磁波信号。 10.7.1 RFID(续) 个体RFID标签 一些人无论穿什么都希望有身份标识。还有一些处于特殊病证状况的人则把RFID标签注入手臂。尽管有人愿意将标签植入体内，但他们也必须知道，一旦标签植入，他们就会对任何适当的接收器做出反馈，包括在大街上行走的时候。 RFID的倡导者指出：这项技术现在还不能在发射器和接收器相距较远的情况下实现，并且接收器的价格昂贵。这使得构建跟踪网络并不实际。但我们不能把安全保障仅仅寄托于当前技术的可能性和经济上的可行性。 10.7.1 RFID(续) 安全与隐私问题 这里讨论了察觉个人敏感信息与跟踪个人行踪。与之相关的还有正确性问题。读装置(接收器)可能出现故障，软件也可能出故障。这两种故障都可以导致错误信息。 Juels提出了几种针对RFID的隐私保护方法：(1) 破坏标签；(2) 屏蔽标签；(3) 给标签赋予另一个ID号；(4) 信号加密。 10.7.2 电子投票选举 我们希望匿名投票，同时也希望所有的匿名投票是有效的。我们希望电子选票既能给我们带来高效率，同时又不失隐私保护和准确性。 计算机投票选举 Shamos列举了公平选举的几个必要条件： (1) 必须对每个投票人的选择保密。 (2) 每个投票人只能在一个投票点投票一次。 (3) 投票系统必须能够防作弊，而且也要防止负责该系统的人去篡改。 (4) 要精确计算票数。 (5) 在投票期间，投票系统必须随时可用。 (6) 检查跟踪系统要一直不停地探测在投票中的不规范行为，但不能泄露任何个人投票的选择。 10.7.2 电子投票选举(续) 就目前主机服务器的不安全性、因特网使用的脆弱性以及拒绝服务攻击的情况而言，是无法安全地使用远程投票来圆满完成重要公共选举的。 隐私和竞选过程 实际上，与选举相关的隐私问题包括了注册过程的隐私、投票者信息的隐私和竞选过程的公众信任度。但是考虑到因特网对隐私