Sistemi di Trust
Francesco Santini IMT - Lucca
Alice is a friend of Bob, and trusts Bob’s opinion
Bob likes this website
Alice has never heard of this website, but will
Alice
Bob
Website
Esempio di Trust
Contenuti
• Definizioni di Trust e Reputation
• Obiettivi
• Multitrust e un esempio di propagazione
• Linguaggi di trust
• Sistemi di Reputazione on-line
– Alcuni consigli per e-bay
• Trust e Small World
Contenuti
• Definizioni
• Obiettivi
• Multitrust e un esempio di propagazione
• Linguaggi di trust
• Sistemi di Reputazione on-line
– Alcuni consigli per e-bay
• Trust e Small World
Due definizioni
• Reliability trust
– The subjective probability by which an individual, A, expects that another individual, B, performs a given action on which its welfare depends. (Gambetta 1988)
• Decision trust
– The willingness to depend on something or
somebody in a given situation with a feeling of relative security, even though negative consequences are
possible. (McKnight & Chervany 1996)
Trust management
• Definition. The activity of creating
systems and methods that allow relying parties to make assessments and
decisions regarding the dependability of potential transactions involving risk, and
that also allow players and system owners to increase and correctly represent the
reliability of themselves and their systems.
Due aspetti separati
Trusting party
Wants to assess and make decisions w.r.t.
the dependability of the trusted party for a given transaction and context
Trusted party
Wants to represent and put in a positive light own competence, honesty, reliability and quality of service.
trust
Reputation
• Definition. Reputation is what is generally said or believed about a person’s or
thing’s character or standing.
• (1) “I trust you because of your good reputation.”
• (2) “I trust you despite your bad
Reputazione e Trust
REPUTATION
• Based on public info
• Common/average opinion
• Not necessarily objective
TRUST
• Based on both private and public info
• Personal
• Private info weighs more than public
Implicazioni sui sistemi
• Trust systems
• Private and public ratings as input
• Computes score for target entity only
• Private scores
• Explicit transitivity
• Reputation systems
• Public ratings/info as input
• Computes scores for all entities
• Public scores
• Implicit transitivity
Contesto di Trust e Reputation
• Prima di tutto, definire lo scope del trust
• Le relazioni sono definite solo in un certo contesto, per esempio:
– Gli impiegati di un’azienda possono ricevere fiducia per compiere transazioni finanziarie fino ad una certa somma, ma non possono rilasciare dichiarazioni pubbliche
– Sto cercando un buon meccanico….
Classi di Trust
• Provision: servizio e provider
• Access: accedere a risorse
• Delegation: delegare per decisioni
• Identity: identità, es X.509 e PGP
• Context: infrastruttura e sistemi di
Criteri
• Oggettivi/soggettivi
• Specifici/generici
Relazioni transitive
Combinazione parallela
Contenuti
• Definizioni
• Obiettivi
• Multitrust e un esempio di propagazione
• Linguaggi di trust
• Sistemi di Reputazione on-line
– Alcuni consigli per e-bay
• Trust e Small World
A cosa serve
• Supporto alle decisioni
• Dopo un’interazione, le parti si valutano e a vicenda
• Il risultato può servire per una transazione futura
• Problemi in partenza?
Proprietà astratte
• 3 caratteristiche per funzionare al meglio
– Le entità devono essere stabili: difficile cambiare nome
– Le valutazioni devono essere effettuate e distribuite: protocollo e incentivi
– Le valutazioni passate devono servire per guidare quelle attuali
Trust e sicurezza
• trust preexists security
– all security mechanisms require some level of trust in various components of the system
– security mechanisms can help to transfer trust in one component to trust in another component, but they cannot create trust by themselves
• cooperation reinforces trust
– trust is about the ability to predict the behavior of another party
– cooperation (i.e., adherence to certain rules for the benefit of the entire system) makes predictions more
Soft security
• Implementano una specie di controllo sociale
• Hard: password, prog verification, access control, negano la presenza di intrusi
• Una volta bypassati, si consente tutto
• Con soft, si cerca di individuarli ed
eliminarli su basi personali (la scelta è
Altre proprietà
• malice
– willingness to do harm
• selfishness
– overuse of common resources (network, radio spectrum, etc.) for one’s own benefit
• traditionally, security is concerned only with malice
• but in the future, malice and selfishness must be considered jointly if we want to seriously protect wireless networks
From discrete to continuous
The more subtle case of commercial applications:
Bad guys (they) Attacker
Good guys (we)
System (or country) to be defended
0 1
Undesirable behavior
Desirable behavior
0 1
Sistemi di reputazione centralizzati
• Un protocollo di comunicazione generale
• Un motore per calcolare il trust
Distribuiti
• Protocollo distribuito
• Più metodi per calcolare trust
• Simile a reti peer-to-peer
Real security is bad for e- business
• e-business revolution not possible with real security
• Thank God the Internet isn’t secure
=
Real
security
e-Business
Functiona lity
e-Business
Real
security
Functionality
+
Perceived security is good for e- business
Trus t
e-Business
+
Perceived security
Trust
=
Perceived security
e-Business
• e-business growth needs perceived security
The security dilemma
Real
security
Functionality
+
Functionali ty
e-Business
=
Real &
perceived security e-Business poten
tial
+
e-Business Trust
Jøsang’s law of security and e- business
The potential of e-business is bounded by:
• The lack of functionality caused by real security
• The lack of trust caused by perceived insecurity
e-Busines poten
Real Perceived
Public-Key Infrastructures
Root CA
CA2 CA3 CA4
A B C D E F Trust providers
• Key distribution mechanism
• User keys are certified by CAs
• Chain of certificates
• Ultimately certified by root CA
• Keys are distributed online
• Only guarantees authenticity
Not reliability
Infrastrutture PKI
Strict hierarchy General hierarchy Anarchic structure
“The PGP PKI”
Phishing and spoofing
B
Client Attacker Server
Spam email Access
HTML
B HTML
B
Login page
A
Cert SSL setup A
User
Hijacked login
Bank
Pretty Good Privacy (PGP)
• Created by Phil Zimmermann
• Selected the best available cryptographic algorithms as building blocks
• Integrated these algorithms into a general-purpose
application that is independent of operating system and processor and that is based on a small set of easy-to- use commands
• Made the package and its documentation including the source code freely available via the Internet and bulletin boards and commercial networks such as AOL.
• Entered into agreement with a company (Network Associates) to provide a fully compatible, low-cost
Pretty Good Privacy (PGP)
• There are certificates in PGP, but each user is responsible for maintaining their own set of
public keys on a key ring.
• Users decide for themselves who to trust
• How are the public keys acquired?
– Keys can be sent signed by someone already trusted by the user.
– Keys are initially acquired in person.
– A chain of certificates is trusted if the user trusts
every link in the chain, that is, believes that the signer gave the correct association of name and public key at every link
Pretty Good Privacy (PGP)
• PGP asks each user to assign a "trust rating" to each public key that is on the user's public key ring
• There are two parameters:
– valid -- the user believes that the key is associated with whom the user was told it is associated with, and – trust -- a measure of how much the user trusts the
principal as a signer.
• The trust parameter is three-valued: none, partial, and
Pretty Good Privacy (PGP)
• If a certificate is signed by a principal the user completely trusts, then that key is valid
• If a certificate is signed by two partially trusted users, then again the key is valid
• it is possible to devise very intricate trust management/key validity schemes.
Attacchi
• Mettere/togliere archi
• Cambiare valori
Forgery
• Grafico di certificazione
• La metrica di trust valuta quanto affidabile sia la relazione chiave-nome
• L’attacco consiste nell’inserire una
associazione chiave-nome falsa: forgery
Metriche
• Raggiungibilità: se esiste un path tra I due nodi
• Raggiungibilità limitata: (X.509) lunghezza cammino < k
• Aberer-Despotovic: numero lamentele ricevute per quelle create = media
• Altre metriche che pesano tra loro tutti i
Metriche sicure:
• Metriche somiglianti a flusso su reti
• Il flusso parte da una sorgente
• La quantità di trust di un nodo corrisponde alla quantità di flusso che lo attraversa
• Esempio: Levien
Levien (1)
• Visita del
grafo: distanza di ogni nodo
dal seed
• Ad ogni nodo, una capacità in base alla distanza
Levien(2)
• Se passa flusso da x- a x+, allora un unità deve
essere inviata la supersink
Levien(3)
Sicurezza di Levien
• Limitato da da cx-1 per ogni x confuso
• Più resistente:
il numero di bad server dipende solo dal numero di confused
Usata in Advogato / Reputation
• Advogato è una comunità di programmatori open source
• Le capacità sono [1..800]
• I riferimenti (archi) tra individui si dividono in Apprentice, Journeyer, Master: skills
• Se in più grafi (A,J,M) il flusso raggiunge il nodo, si sceglie il lvl migliore
Contenuti
• Definizioni
• Obiettivi
• Multitrust e un esempio di propagazione
• Linguaggi di trust
• Sistemi di Reputazione on-line
– Alcuni consigli per e-bay
• Trust e Small World
Multitrust
• Definizione: dato un insieme di entità S nel
dominio di Trust considerato, multitrust è definita come una relazione Rmt tra un trustor t che
appartiene a S e un insieme T di trustee incluso in S, tali che t non appartiene a T e il numero di elementi in T è ≥ 1.
• La relazione può essere descritta in termini di correlazione temporale (allo stesso tempo), di comportamento (con le stesse modalità) o di
Multitrust(2)
• In poche parole, mi posso fidare
contemporaneamente di più individui
• L’azione di fidarsi mette in correlazione più trustee allo stesso tempo
• Da tale correlazione, la fiducia può
giovarne (il valore di trust aumenta) o no (diminuisce se non proficua)
Mulitrust(3)
Team composition
Team compostion(2)
Peer-to-Peer
Un esempio
n1 è il trustor e n2 e n4 sono i trustees
Contenuti
• Definizioni
• Obiettivi
• Multitrust e un esempio di propagazione
• Linguaggi di trust
• Sistemi di Reputazione on-line
– Alcuni consigli per e-bay
• Trust e Small World
Linguaggi di Trust
• Policy statements
– Access rules
– Credentials (riguardano attributi e sono firmate)
• Authorizer e Requester
• Authorizer: “le regole di accesso e le credenziali, autorizzano il Requester?”
• Esempio:
– “uno studente può utilizzare la stampante del dipartimento?”
– “un tesista può utilizzare la stampante del
Linguaggi Role-based
• Un Ruolo è formato da un’entità seguita da un nome di Ruolo: “clei.studente”
• Regole
– Tipo 1: A.R ← B (A dice che B appartiene al suo ruolo R)
– Tipo 2: A.R ← B.R1 (R include tutti i membri R1)
– Tipo 3: A.R ← A.R1.R2 (include tutti i B.R2 dove B è membro di A.R1)
– Tipo 4: A.R ← B.R1 ∩ C.R2 (intersezione ruoli)
Esempio
Contenuti
• Definizioni
• Obiettivi
• Multitrust e un esempio di propagazione
• Linguaggi di trust
• Sistemi di Reputazione on-line
– Alcuni consigli per e-bay
• Trust e Small World
Sistemi di reputazione on-line
• Feedback su aste
• Consulenza di esperti
• Consulenza su prodotti
• Discussioni forum
E-Bay
• Feedback forum: dopo il completamento della transazione +1,0,-1
• Commenti e suddivisione in i) past six
months, ii) past month, and iii) past 7 days
• Compratori lasciano un feedback il 51.7%
delle volte, mentre i venditori 60.6%
• 1% negativo, 0.5% neutrale
• Alta correlazione
Transazioni false
Consigli per le aste
• Puntate più efficaci, entro i 10 secondi
• Sniper!
– Evita guerre di offerte – Offerte in gruppo
– http://www.auctionsniper.com, http://www.esnipe.com http://www.gixen.com (free)
http://www.jbidwatcher.com/ (PC acceso)
Costo in base al prezzo, solo aste vinte
• eBay Hacks, Second Edition 2005, O’Reilly
Consigli(2)
• Valutare il feedback in base al numero di transizioni
• Negativi o neutri possono essere concetrati in un periodo corto
• Guardare il feedback lasciato non solo ricevuto
• Attenzione ai costi di consegna
• Di solito, puntate multiple di 5: puntare pochi centesimi in più, 50,01 euro
AllExperts
• http://www.allexperts.com/
• Esperti gratis su vari argomenti
• Knowledgeable, Clarity of Response, Timeliness e Politeness
• Punteggi [1..10]
• La maggior parte riceve punteggi vicini a 10
• I punteggi sono medie
Epinions
• http://www.epinions.com/
• Recensioni di prodotti e negozi
• Produttori/negozi pagano in base a click
• Varie categorie di punteggio in base a prodotto (camera: photo quality)
• Negozi: ontime delivery etc
• Punteggi alle review Advisor, Top
Epinions web of trust
• I Lead vengono scelti periodicamente dallo staff per nomination
• I top reviewer sono scelti ogni mese in base a wot
• Numero e status membri che bloccano o si fidano
• Income Share Program, si guadagna per
Amazon
• Principalmente libri
• Recensione di testo più un voto da 1 a 5
• La recensione può essere helpful o not.
• Top 1000, #1 in funzione del numero di commenti helpful
• Vari episodi di attacchi ballot stuffing o bad mouthing
Slashdot
• News for nerds: articoli e commenti
• Tutti possono lasciare commenti
• Due livelli di moderazione M1 e M2 (logged users)
• Ogni 30 minuti un gruppo M1: 5 commenti a disposizione in 3 giorni
• Negativi: offtopic, flamebait, troll, redundant, overrated
• Positivi: insightful, interesting, informative, funny,
Slashdot(2)
• +1 e -1 ogni commento: score in [-1..5]
• Karma: Terrible, Bad, Neutral, Positive, Good and Excellent
• Karma buono da più punti (2), cattivo -1
• Karma buono = più punti moderazione
• M2 modera M1: 10 commenti a caso, il risultato influenza Karma e futuro in M1
Google PageRank
• Rank in base a reputazione della pagina
Google bombs
• <a href="http://www.abbassomrx.org">“Mr x"</a>
Contenuti
• Definizioni
• Obiettivi
• Multitrust e un esempio di propagazione
• Linguaggi di trust
• Sistemi di Reputazione on-line
– Alcuni consigli per e-bay
• Trust e Small World
6 degree of separations
• Stanley Milgram (psicologo), fine ’60
• 296 lettere da Wichita e Omaha verso Boston
• Informazioni basilari
• In ogni lettera, lista dei salti e cartolina per tenere traccia
• 64 arrivate a detinazione, 5.5 lunghezza media del cammino
Esempio
Caratteristiche
• Distanza media bassa
• Elevato Clustering Coefficient
Casualità
• Alto CC come in reti regolari
• Basso shortest path come in reti casuali
Conseguenze
• In pochi passi, è possibile raggiungere molti individui
• La comunità e partizionata in sottocomunità
• Possono esistere individui hub che connettono più sottocomunità
• Individui con più interessi / con molte relazioni
Folcklore
• Un film del 1993: “6 degrees of separation”
• Un gioco: distanza degli attori da Kevin Bacon
Distanza media
= 2.96
I “centri” di hollywood
Kevin Bacon è in posizione1049
Altre reti small world
• Reazioni chimiche
• Reti di collaborazione
• Reti sociali in genere
• Reti di comuniczione: aeroporti
• Pagine web
• Reti di computer: Internet
Il piccolo mondo degli sport
• Pivots
• Weak and Strong Ties
Trust e small world
• In pochi passi è possibile avere un giudizio su una grande quantità di individui
• 300, 90000, 27 milioni = molti cammini verso gli stessi individui
• È possibile calcolare ogni sottocomunità a parte e poi unire i risultati attraverso gli
hub
Riferimenti
• A. Jøsang, R. Ismail, and C. Boyd. “A survey of trust and reputation systems for online service provision”. Decis. Support Syst., 43(2):618{644, 2007.
• A. Jøsang, E. Gray, and M. Kinateder.
“Simplification and analysis of transitive trust
networks”. Web Intelli. and Agent Sys. 4, 2 (Apr.
2006), 139-161. 2006.
• A. Twigg and N. Dimmock. “Attack-resistance of computational trust models”. In WETICE '03,
Riferimenti(2)
• R. Levien. “Attack-resistant trust metrics”. PhD Thesis, 2001.
• S. Bistarelli and F. Santini. "Propagating
Multitrust within Trust Networks", To appear, SAC 2008 (TRECK)
• A. Genkina, A. Friedman and J. Camp, “Net Trust”, TIIPP Workshop (ppt online)
• A. Jøsang, “Security and Trust: What's the connection?”, Keynote at Privacy Security &
Contatti:
f.santini@imtlucca.it