Differen'al Privacy and Risk Ra'os: The seman'cs of - - PowerPoint PPT Presentation

differen al privacy and risk ra os the seman cs of privacy
SMART_READER_LITE
LIVE PREVIEW

Differen'al Privacy and Risk Ra'os: The seman'cs of - - PowerPoint PPT Presentation

Mar 03, 2024 45 likes •346 views

Differen'al Privacy and Risk Ra'os: The seman'cs of privacy CompSci 590.03 Instructor: Ashwin Machanavajjhala Lecture 5 : 590.03 Fall 16 1

slide-1
SLIDE 1

Differen'al ¡Privacy ¡and ¡Risk ¡Ra'os: ¡ ¡ The ¡seman'cs ¡of ¡privacy ¡

CompSci ¡590.03 ¡ Instructor: ¡Ashwin ¡Machanavajjhala ¡

1 ¡ Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡

slide-2
SLIDE 2

Differen'al ¡Privacy ¡

For ¡every ¡output ¡… ¡ O ¡ D2 ¡ D1 ¡ Adversary ¡should ¡not ¡be ¡able ¡to ¡dis'nguish ¡ between ¡any ¡D1 ¡and ¡D2 ¡based ¡on ¡any ¡O ¡ ¡ ¡ ¡Pr[A(D1) ¡= ¡O] ¡ ¡ ¡ ¡ ¡ ¡Pr[A(D2) ¡= ¡O] ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡. ¡ For ¡every ¡pair ¡of ¡inputs ¡ that ¡differ ¡in ¡one ¡row ¡ ¡ ¡< ¡ ¡ε ¡ ¡ ¡(ε>0) ¡

log ¡

[Dwork ¡ICALP ¡2006] ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 2 ¡

slide-3
SLIDE 3

Privacy ¡Desiderata ¡

  • Privacy ¡of ¡an ¡individual ¡is ¡some ¡measure ¡of ¡informa'on ¡leaked ¡by ¡

A(D) ¡in ¡comparison ¡to ¡A(D ¡without ¡that ¡individual) ¡

  • Privacy ¡should ¡be ¡ensured ¡even ¡if ¡adversary ¡has ¡background ¡

knowledge ¡

  • Privacy ¡mechanisms ¡should ¡compose ¡(and ¡not ¡degrade ¡under ¡

postprocessing) ¡

  • Privacy ¡should ¡not ¡be ¡achieved ¡by ¡obscurity ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 3 ¡

slide-4
SLIDE 4

Does ¡differen'al ¡privacy ¡sa'sfy ¡all ¡these ¡ desiderata? ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 4 ¡

slide-5
SLIDE 5

Privacy ¡Desiderata ¡

  • Privacy ¡of ¡an ¡individual ¡is ¡some ¡measure ¡of ¡informa'on ¡leaked ¡by ¡

A(D) ¡in ¡comparison ¡to ¡A(D ¡without ¡that ¡individual) ¡

  • Privacy ¡should ¡be ¡ensured ¡even ¡if ¡adversary ¡has ¡background ¡

knowledge ¡

  • Privacy ¡mechanisms ¡should ¡compose ¡(and ¡not ¡degrade ¡under ¡

postprocessing) ¡

  • Privacy ¡should ¡not ¡be ¡achieved ¡by ¡obscurity ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 5 ¡

slide-6
SLIDE 6

Neighboring ¡databases ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 6 ¡

D2 ¡ D1 ¡ For ¡every ¡pair ¡of ¡inputs ¡ that ¡differ ¡in ¡one ¡row ¡

slide-7
SLIDE 7

What ¡are ¡neighboring ¡databases ¡for ¡… ¡? ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 7 ¡

slide-8
SLIDE 8

Neighboring ¡Databases ¡… ¡

¡… ¡differ ¡in ¡one ¡record. ¡ ¡ ¡

  • In ¡graphs, ¡a ¡record ¡can ¡be: ¡

– An ¡edge ¡(u,v) ¡ – The ¡adjacency ¡list ¡of ¡node ¡u ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 8 ¡

slide-9
SLIDE 9

What ¡are ¡neighboring ¡databases ¡for ¡… ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 9 ¡

slide-10
SLIDE 10

Neighboring ¡Databases ¡… ¡

¡… ¡differ ¡in ¡one ¡record. ¡ ¡ ¡

  • In ¡loca'on ¡trajectories, ¡a ¡record ¡can ¡be: ¡

– Each ¡loca'on ¡in ¡the ¡trajectory ¡ – A ¡sequence ¡of ¡loca'ons ¡spanning ¡a ¡window ¡of ¡'me ¡ – The ¡en're ¡trajectory ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 10 ¡

slide-11
SLIDE 11

What ¡do ¡different ¡neighbor ¡defini'ons ¡ mean? ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 11 ¡

slide-12
SLIDE 12

The ¡seman'cs ¡of ¡privacy ¡

  • Suppose ¡we ¡did ¡not ¡want ¡an ¡adversary ¡to ¡tell ¡whether ¡or ¡not ¡an ¡

individual ¡record ¡was ¡in ¡or ¡out ¡of ¡the ¡table. ¡ ¡

  • Formally, ¡ ¡

¡ Let ¡θ(r) ¡be ¡adversary’s ¡prior ¡over ¡whether ¡record ¡r ¡is ¡in ¡the ¡table ¡ Let ¡X ¡denote ¡the ¡domain ¡of ¡record ¡r ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 12 ¡

slide-13
SLIDE 13

Single ¡Record ¡Computa'on ¡Case ¡

  • Let ¡A ¡be ¡a ¡computa'on ¡on ¡the ¡single ¡record ¡r ¡
  • Let ¡y ¡= ¡A(r) ¡be ¡the ¡output ¡of ¡the ¡computa'on. ¡
  • Does ¡not ¡make ¡sense ¡for ¡a ¡computa'on ¡to ¡work ¡on ¡no ¡records. ¡ ¡

¡ That ¡is, ¡given ¡any ¡output, ¡one ¡can’t ¡dis'nguish ¡between ¡any ¡two ¡ possible ¡values ¡that ¡the ¡record ¡can ¡take. ¡ ¡ ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 13 ¡

max

!!,!!!∈!!

max

!∈!"#$%(!)

Pr![! !! = !] Pr![! !! = !]!≤!!!!!!

slide-14
SLIDE 14

Adversary’s ¡odds ¡

  • Do ¡not ¡want ¡an ¡adversary ¡to ¡be ¡able ¡to ¡tell ¡whether ¡or ¡not ¡a ¡

record ¡sa'sfies ¡any ¡property ¡(male ¡vs ¡female, ¡red ¡vs ¡blue, ¡etc). ¡ ¡

  • Any ¡property ¡of ¡a ¡record ¡can ¡be ¡captured ¡by ¡a ¡set ¡of ¡values ¡S ¡
  • The ¡adversary’s ¡odds ¡that ¡record ¡r ¡has ¡a ¡value ¡in ¡S ¡is: ¡ ¡ ¡

¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 14 ¡

Pr ! ∈ !! ! ! = !] Pr ! ∉ !! ! ! = !]!!! Pr![! ∈ !] Pr![! ∉ !]!!!

Posterior ¡Odds ¡ Prior ¡Odds ¡

slide-15
SLIDE 15

Bayes ¡Risk ¡Ra'o ¡

  • Do ¡not ¡want ¡an ¡adversary ¡to ¡be ¡able ¡to ¡tell ¡whether ¡or ¡not ¡a ¡

record ¡sa'sfies ¡any ¡property ¡(male ¡vs ¡female, ¡red ¡vs ¡blue, ¡etc). ¡ ¡

  • Bayes ¡Risk ¡Ra'o: ¡ ¡

That ¡is, ¡the ¡ra'o ¡of ¡the ¡adversary’s ¡posterior ¡odds ¡that ¡r ¡is ¡in ¡S ¡ versus ¡r ¡is ¡not ¡in ¡S ¡and ¡his ¡prior ¡odds ¡is ¡bounded ¡for ¡all ¡S ¡and ¡for ¡all ¡

  • utputs ¡y. ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 15 ¡

max

!!⊂!

max

!∈!"#$%(!)

Pr ! ∈ !! ! ! = !] Pr![! ∈ !] Pr ! ∉ !! ! ! = !] Pr![! ∉ !]!≤!!!!!!

slide-16
SLIDE 16

An ¡equivalence? ¡

¡ ¡

A ¡sa'sfies ¡ε-­‑differen'al ¡privacy ¡ ¡ if ¡and ¡only ¡if ¡ A ¡has ¡Bayes ¡risk ¡bounded ¡by ¡exp(ε) ¡ ¡ ¡ Independent ¡of ¡the ¡adversary’s ¡prior! ¡ ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 16 ¡

slide-17
SLIDE 17

DP ¡=> ¡Bounded ¡Bayes ¡Risk ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 17 ¡

Pr ! ∈ !! ! ! = !] Pr ! ∈ ! Pr ! ∉ !! ! ! = !] Pr ! ∉ ! ! =! Pr ! = !! ! ! = !]

!∈!

Pr ! ∈ ! Pr ! = !! ! ! = !]

!∉!

Pr ! ∈ ! !! =! Pr ! ! = ! Pr ! = !

!∈!

Pr ! ! = ! Pr ! ∈ ! Pr ! ! = ! Pr ! = !

!∉!

Pr ! ! = ! Pr ! ∈ ! ! ≤ max

!!,!!!∈!!Pr ! !1 = !

Pr ! !2 = ! Pr ! = !

!∈!

Pr ! ! = ! Pr ! ∈ ! Pr ! = !

!∉!

Pr ! ! = ! Pr ! ∈ ! ! =!!!!

Cancels ¡out ¡ Bounded ¡by ¡DP ¡

slide-18
SLIDE 18

Bounded ¡Bayes ¡Risk ¡=> ¡DP ¡

  • For ¡every ¡pair ¡of ¡values ¡x1, ¡x2 ¡in ¡X, ¡consider ¡an ¡adversary ¡whose ¡

prior ¡is: ¡ ¡ ¡ ¡Pr[r ¡= ¡x1] ¡= ¡p ¡ ¡ ¡and ¡ ¡ ¡Pr[r ¡= ¡x2] ¡= ¡1-­‑p ¡ ¡

  • Let ¡S ¡= ¡{x1}, ¡then ¡ ¡
  • Since ¡Bayes ¡Risk ¡is ¡bounded, ¡DP ¡is ¡ensured. ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 18 ¡

Pr ! ∈ !! ! ! = !] Pr ! ∈ ! Pr ! ∉ !! ! ! = !] Pr ! ∉ ! ! =!Pr ! = !1! ! ! = !] Pr ! = !1 Pr ! = !2! ! ! = !] Pr ! = !2 ! =!Pr![! ! = !|! = !1] Pr![! ! = !|! = !2] =!Pr![! !1 = !] Pr![! !2 = !]! !

slide-19
SLIDE 19

Extending ¡to ¡databases ¡

  • Suppose ¡we ¡did ¡not ¡want ¡an ¡adversary ¡to ¡tell ¡whether ¡or ¡not ¡an ¡

individual ¡record ¡was ¡in ¡or ¡out ¡of ¡the ¡table. ¡ ¡

  • Formally, ¡ ¡

¡ Let ¡θ ¡be ¡adversary’s ¡prior ¡over ¡the ¡en@re ¡database ¡ Let ¡X ¡denote ¡the ¡domain ¡of ¡each ¡record ¡r ¡in ¡the ¡database ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 19 ¡

slide-20
SLIDE 20

Bayes ¡risk ¡

  • Let ¡A ¡be ¡a ¡computa'on ¡on ¡the ¡en're ¡database ¡D ¡
  • Let ¡y ¡= ¡A(D) ¡be ¡the ¡output ¡of ¡the ¡computa'on. ¡
  • Bayes ¡Risk: ¡

¡ ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 20 ¡

max

!!∈!,!

max

!∈!"#$%(!)

Pr ! ∈ !! ! ! = !] Pr![! ∈ !] Pr ! ∉ !! ! ! = !] Pr![! ∉ !]!≤!!!!!!

slide-21
SLIDE 21

An ¡equivalence ¡

¡ ¡

An ¡algorithm ¡A ¡sa'sfies ¡ε-­‑differen'al ¡privacy ¡ ¡ if ¡and ¡only ¡if ¡ A ¡has ¡Bayes ¡risk ¡bounded ¡by ¡exp(ε) ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 21 ¡

NO ¡

slide-22
SLIDE 22

Example ¡

  • Adversary ¡thinks ¡there ¡are ¡only ¡two ¡databases ¡with ¡equal ¡

probability ¡

  • But ¡adversary ¡can ¡tell ¡whether ¡a ¡record ¡is ¡red ¡or ¡blue ¡ajer ¡seeing ¡
  • utput ¡of ¡algorithm ¡that ¡uses ¡Laplace ¡mechanism ¡to ¡release ¡

number ¡of ¡red ¡records. ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 22 ¡

slide-23
SLIDE 23

An ¡equivalence ¡

¡ ¡

An ¡algorithm ¡A ¡sa'sfies ¡ε-­‑differen'al ¡privacy ¡ ¡ if ¡and ¡only ¡if ¡ A ¡has ¡Bayes ¡risk ¡bounded ¡by ¡exp(ε) ¡ ¡ For ¡an ¡adversary ¡who ¡thinks ¡the ¡records ¡are ¡independent! ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 23 ¡

slide-24
SLIDE 24

Consequences ¡

  • 1. Choose ¡what ¡is ¡a ¡record ¡carefully. ¡The ¡privacy ¡guarantee ¡is ¡

about ¡the ¡record. ¡ ¡

  • 2. Is ¡there ¡a ¡beker ¡defini'on ¡than ¡differen'al ¡privacy ¡that ¡protects ¡

against ¡all ¡adversaries ¡in ¡terms ¡of ¡Bayes ¡Risk? ¡ ¡

  • 3. Is ¡the ¡independence ¡assump'on ¡valid? ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡ 24 ¡

slide-25
SLIDE 25

Correla'ons ¡and ¡DP ¡

  • Want ¡to ¡release ¡the ¡number ¡of ¡edges ¡between ¡blue ¡and ¡green ¡

communi'es. ¡

  • Should ¡not ¡disclose ¡the ¡presence/absence ¡of ¡Bob-­‑Alice ¡edge. ¡ ¡

25 ¡

Bob Alice

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡

[KM11] ¡

slide-26
SLIDE 26

Adversary ¡knows ¡how ¡social ¡networks ¡evolve ¡

26 ¡

Depending ¡on ¡the ¡social ¡network ¡evolu'on ¡model, ¡ ¡ (d2-­‑d1) ¡is ¡linear ¡or ¡even ¡super-­‑linear ¡in ¡the ¡size ¡of ¡the ¡

  • network. ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡

[KM11] ¡

slide-27
SLIDE 27

Differen'al ¡privacy ¡fails ¡to ¡avoid ¡breach ¡

27 ¡

Output ¡ ¡ ¡(d1 ¡+ ¡δ) ¡ Output ¡ ¡ ¡(d2 ¡+ ¡δ) ¡ δ ¡ ¡~ ¡Laplace(1/ε) ¡ ¡

Adversary ¡can ¡disMnguish ¡between ¡the ¡two ¡ worlds ¡if ¡d2 ¡– ¡d1 ¡is ¡large. ¡ ¡ ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡

[KM11] ¡

slide-28
SLIDE 28

Reason ¡for ¡Privacy ¡Breach ¡

28 ¡

  • ¡Pairs ¡of ¡tables ¡that ¡differ ¡ ¡ ¡

in ¡one ¡tuple ¡

¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡

  • ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡cannot ¡dis'nguish ¡them ¡

Tables ¡that ¡do ¡not ¡ sa'sfy ¡background ¡ knowledge ¡ Space ¡of ¡all ¡ possible ¡tables ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡

[KM11] ¡

slide-29
SLIDE 29

Reason ¡for ¡Privacy ¡Breach ¡

29 ¡

¡ ¡ ¡ ¡ ¡ ¡can ¡dis'nguish ¡between ¡ every ¡pair ¡of ¡these ¡tables ¡based ¡

  • n ¡the ¡output ¡

Space ¡of ¡all ¡ possible ¡tables ¡

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡

[KM11] ¡

slide-30
SLIDE 30

No ¡Free ¡Lunch ¡Theorem ¡

It ¡is ¡not ¡possible ¡to ¡guarantee ¡any ¡u'lity ¡in ¡addi'on ¡to ¡privacy, ¡ without ¡making ¡assump@ons ¡about ¡ ¡ ¡

  • the ¡data ¡genera'ng ¡distribu'on ¡ ¡
  • the ¡background ¡knowledge ¡available ¡ ¡

to ¡an ¡adversary ¡ ¡

30 ¡

[KM11]

Lecture ¡5 ¡: ¡590.03 ¡Fall ¡16 ¡

[DN ¡10]