16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Sistemi di TrustFrancesco SantiniIMT - Lucca

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Alice is a friend of Bob, and trusts Bob’s opinion

Bob likes this website

Alice has never heard of this website, but will transfer her trust for Bob to the website

Alice

Bob

Website

Esempio di Trust

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contenuti

• Definizioni di Trust e Reputation

• Obiettivi

• Multitrust e un esempio di propagazione

• Linguaggi di trust

• Sistemi di Reputazione on-line – Alcuni consigli per e-bay

• Trust e Small World

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contenuti

• Definizioni

• Obiettivi

• Multitrust e un esempio di propagazione

• Linguaggi di trust

• Sistemi di Reputazione on-line – Alcuni consigli per e-bay

• Trust e Small World

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Due definizioni

• Reliability trust– The subjective probability by which an individual, A,

expects that another individual, B, performs a given action on which its welfare depends. (Gambetta 1988)

• Decision trust– The willingness to depend on something or

somebody in a given situation with a feeling of relative security, even though negative consequences are possible. (McKnight & Chervany 1996)

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Trust management

• Definition. The activity of creating systems and methods that allow relying parties to make assessments and decisions regarding the dependability of potential transactions involving risk, and that also allow players and system owners to increase and correctly represent the reliability of themselves and their systems.

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Due aspetti separati

Trusting party

Wants to assess and make decisions w.r.t. the dependability of the trusted party for a given transaction and context

Trusted party

Wants to represent and put in a positive light own competence, honesty, reliability and quality of service.

trust

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Reputation

• Definition. Reputation is what is generally said or believed about a person’s or thing’s character or standing.

• (1) “I trust you because of your good reputation.”

• (2) “I trust you despite your bad reputation.”

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Reputazione e Trust

REPUTATION• Based on public info• Common/average

opinion• Not necessarily

objective

TRUST• Based on both private and

public info• Personal• Private info weighs more

than public

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Implicazioni sui sistemi

• Trust systems• Private and public

ratings as input• Computes score for

target entity only• Private scores• Explicit transitivity

• Reputation systems• Public ratings/info as

input• Computes scores for all

entities• Public scores• Implicit transitivity

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contesto di Trust e Reputation

• Prima di tutto, definire lo scope del trust

• Le relazioni sono definite solo in un certo contesto, per esempio:– Gli impiegati di un’azienda possono ricevere

fiducia per compiere transazioni finanziarie fino ad una certa somma, ma non possono rilasciare dichiarazioni pubbliche

– Sto cercando un buon meccanico….

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Classi di Trust

• Provision: servizio e provider

• Access: accedere a risorse

• Delegation: delegare per decisioni

• Identity: identità, es X.509 e PGP

• Context: infrastruttura e sistemi di recovery

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Criteri

• Oggettivi/soggettivi

• Specifici/generici

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Relazioni transitive

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Combinazione parallela

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contenuti

• Definizioni

• Obiettivi

• Multitrust e un esempio di propagazione

• Linguaggi di trust

• Sistemi di Reputazione on-line – Alcuni consigli per e-bay

• Trust e Small World

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

A cosa serve

• Supporto alle decisioni

• Dopo un’interazione, le parti si valutano e a vicenda

• Il risultato può servire per una transazione futura

• Problemi in partenza?

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Proprietà astratte

• 3 caratteristiche per funzionare al meglio– Le entità devono essere stabili: difficile

cambiare nome– Le valutazioni devono essere effettuate e

distribuite: protocollo e incentivi– Le valutazioni passate devono servire per

guidare quelle attuali

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Trust e sicurezza

• trust preexists security– all security mechanisms require some level of trust in

various components of the system– security mechanisms can help to transfer trust in one

component to trust in another component, but they cannot create trust by themselves

• cooperation reinforces trust– trust is about the ability to predict the behavior of

another party– cooperation (i.e., adherence to certain rules for the

benefit of the entire system) makes predictions more reliable

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Soft security

• Implementano una specie di controllo sociale

• Hard: password, prog verification, access control, negano la presenza di intrusi

• Una volta bypassati, si consente tutto

• Con soft, si cerca di individuarli ed eliminarli su basi personali (la scelta è personale)

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Altre proprietà

• malice– willingness to do harm

• selfishness– overuse of common resources (network, radio

spectrum, etc.) for one’s own benefit

• traditionally, security is concerned only with malice

• but in the future, malice and selfishness must be considered jointly if we want to seriously protect wireless networks

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

From discrete to continuous

The more subtle case of commercial applications:

Bad guys (they)Attacker

Good guys (we)System (or country) to be defended

0 1

Undesirablebehavior

Desirablebehavior

0 1

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Sistemi di reputazione centralizzati

• Un protocollo di comunicazione generale

• Un motore per calcolare il trust

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Distribuiti

• Protocollo distribuito

• Più metodi per calcolare trust

• Simile a reti peer-to-peer

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Real security is bad for e-business

• e-business revolution not possible with real security• Thank God the Internet isn’t secure

=

Real security

e-Business

Functionality

e-Business

Real security

Functionality

+

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Perceived security is good for e-business

Trust

e-Business

+

Perceived security

Trust =

Perceived security

e-Business

• e-business growth needs perceived security

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

The security dilemma

Real security

Functionality

+

Functionality

e-Business

=Real & perceived

security

e-Business potential

+

Trust

e-Business

Perceived securityTrust

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Jøsang’s law of security and e-business

The potential of e-business is bounded by:• The lack of functionality caused by real security• The lack of trust caused by perceived insecurity

Real & perceived security

e-Business

potential

RealPerceive

d

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Public-Key Infrastructures

Root CA

CA2 CA3 CA4

A B C D E Users

F

Trust providers • Key distribution mechanism

• User keys are certified by CAs• Chain of certificates• Ultimately certified by root CA• Keys are distributed online• Only guarantees authenticity

Not reliability

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Infrastrutture PKI

Strict hierarchy General hierarchy

Anarchic structure “The PGP PKI ”

I solated strict hierarchies “The Web PKI ”

Cross certified strict hierarchies

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Phishing and spoofing

B

Client Attacker Server

Spam email

Access

HTMLB

HTMLB

Login page

A

SSL

Cert A

SSL setup

User

Hijacked login

Bank

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Pretty Good Privacy (PGP)

• Created by Phil Zimmermann• Selected the best available cryptographic algorithms as

building blocks• Integrated these algorithms into a general-purpose

application that is independent of operating system and processor and that is based on a small set of easy-to-use commands

• Made the package and its documentation including the source code freely available via the Internet and bulletin boards and commercial networks such as AOL.

• Entered into agreement with a company (Network Associates) to provide a fully compatible, low-cost commercial version of PGP.

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Pretty Good Privacy (PGP)

• There are certificates in PGP, but each user is responsible for maintaining their own set of public keys on a key ring.

• Users decide for themselves who to trust • How are the public keys acquired?

– Keys can be sent signed by someone already trusted by the user.

– Keys are initially acquired in person.– A chain of certificates is trusted if the user trusts

every link in the chain, that is, believes that the signer gave the correct association of name and public key at every link

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Pretty Good Privacy (PGP)

• PGP asks each user to assign a "trust rating" to each public key that is on the user's public key ring

• There are two parameters: – valid -- the user believes that the key is associated

with whom the user was told it is associated with, and – trust -- a measure of how much the user trusts the

principal as a signer. • The trust parameter is three-valued: none, partial, and

complete

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Pretty Good Privacy (PGP)

• If a certificate is signed by a principal the user completely trusts, then that key is valid

• If a certificate is signed by two partially trusted users, then again the key is valid

• it is possible to devise very intricate trust management/key validity schemes.

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Attacchi

• Mettere/togliere archi

• Cambiare valori

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Forgery

• Grafico di certificazione

• La metrica di trust valuta quanto affidabile sia la relazione chiave-nome

• L’attacco consiste nell’inserire una associazione chiave-nome falsa: forgery

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Metriche

• Raggiungibilità: se esiste un path tra I due nodi

• Raggiungibilità limitata: (X.509) lunghezza cammino < k

• Aberer-Despotovic: numero lamentele ricevute per quelle create = media

• Altre metriche che pesano tra loro tutti i cammini tra due nodi.

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Metriche sicure:

• Metriche somiglianti a flusso su reti

• Il flusso parte da una sorgente

• La quantità di trust di un nodo corrisponde alla quantità di flusso che lo attraversa

• Esempio: Levien

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Levien (1)

• Visita del grafo: distanza di ogni nodo dal seed

• Ad ogni nodo, una capacità in base alla distanza

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Levien(2)

• Se passa flusso da x- a x+, allora un unità deve essere inviata la supersink

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Levien(3)

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Sicurezza di Levien

• Limitato da da cx-1 per ogni x confuso

• Più resistente: il numero di bad server dipende solo dal numero di confused

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Usata in Advogato / Reputation

• Advogato è una comunità di programmatori open source

• Le capacità sono [1..800]

• I riferimenti (archi) tra individui si dividono in Apprentice, Journeyer, Master: skills

• Se in più grafi (A,J,M) il flusso raggiunge il nodo, si sceglie il lvl migliore

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contenuti

• Definizioni

• Obiettivi

• Multitrust e un esempio di propagazione

• Linguaggi di trust

• Sistemi di Reputazione on-line – Alcuni consigli per e-bay

• Trust e Small World

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Multitrust

• Definizione: dato un insieme di entità S nel dominio di Trust considerato, multitrust è definita come una relazione Rmt tra un trustor t che appartiene a S e un insieme T di trustee incluso in S, tali che t non appartiene a T e il numero di elementi in T è ≥ 1.

• La relazione può essere descritta in termini di correlazione temporale (allo stesso tempo), di comportamento (con le stesse modalità) o di collaborazione da parte dei trustee in T.

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Multitrust(2)

• In poche parole, mi posso fidare contemporaneamente di più individui

• L’azione di fidarsi mette in correlazione più trustee allo stesso tempo

• Da tale correlazione, la fiducia può giovarne (il valore di trust aumenta) o no (diminuisce se non proficua)

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Mulitrust(3)

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Team composition

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Team compostion(2)

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Peer-to-Peer

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Un esempio

n1 è il trustor e n2 e n4 sono i trustees

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contenuti

• Definizioni

• Obiettivi

• Multitrust e un esempio di propagazione

• Linguaggi di trust

• Sistemi di Reputazione on-line – Alcuni consigli per e-bay

• Trust e Small World

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Linguaggi di Trust

• Policy statements– Access rules– Credentials (riguardano attributi e sono firmate)

• Authorizer e Requester• Authorizer: “le regole di accesso e le credenziali,

autorizzano il Requester?”• Esempio:

– “uno studente può utilizzare la stampante del dipartimento?”

– “un tesista può utilizzare la stampante del dipartimento?”

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Linguaggi Role-based

• Un Ruolo è formato da un’entità seguita da un nome di Ruolo: “clei.studente”

• Regole– Tipo 1: A.R ← B (A dice che B appartiene al suo ruolo

R)

– Tipo 2: A.R ← B.R1 (R include tutti i membri R1)

– Tipo 3: A.R ← A.R1.R2 (include tutti i B.R2 dove B è membro di A.R1)

– Tipo 4: A.R ← B.R1 ∩ C.R2 (intersezione ruoli)

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Esempio

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contenuti

• Definizioni

• Obiettivi

• Multitrust e un esempio di propagazione

• Linguaggi di trust

• Sistemi di Reputazione on-line – Alcuni consigli per e-bay

• Trust e Small World

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Sistemi di reputazione on-line

• Feedback su aste

• Consulenza di esperti

• Consulenza su prodotti

• Discussioni forum

• Google

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

E-Bay

• Feedback forum: dopo il completamento della transazione +1,0,-1

• Commenti e suddivisione in i) past six months, ii) past month, and iii) past 7 days

• Compratori lasciano un feedback il 51.7% delle volte, mentre i venditori 60.6%

• 1% negativo, 0.5% neutrale

• Alta correlazione

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Transazioni false

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Consigli per le aste

• Puntate più efficaci, entro i 10 secondi• Sniper!

– Evita guerre di offerte– Offerte in gruppo– http://www.auctionsniper.com, http://www.esnipe.com

http://www.gixen.com (free) http://www.jbidwatcher.com/ (PC acceso)

Costo in base al prezzo, solo aste vinte• eBay Hacks, Second Edition 2005, O’Reilly

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Consigli(2)

• Valutare il feedback in base al numero di transizioni

• Negativi o neutri possono essere concetrati in un periodo corto

• Guardare il feedback lasciato non solo ricevuto• Attenzione ai costi di consegna• Di solito, puntate multiple di 5: puntare pochi

centesimi in più, 50,01 euro• Aprire contenziosi paypal per tutelarvi

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

AllExperts

• http://www.allexperts.com/

• Esperti gratis su vari argomenti

• Knowledgeable, Clarity of Response, Timeliness e Politeness

• Punteggi [1..10]

• La maggior parte riceve punteggi vicini a 10

• I punteggi sono medie

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Epinions

• http://www.epinions.com/

• Recensioni di prodotti e negozi

• Produttori/negozi pagano in base a click

• Varie categorie di punteggio in base a prodotto (camera: photo quality)

• Negozi: ontime delivery etc

• Punteggi alle review Advisor, Top Reviewer or Category Lead

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Epinions web of trust

• I Lead vengono scelti periodicamente dallo staff per nomination

• I top reviewer sono scelti ogni mese in base a wot

• Numero e status membri che bloccano o si fidano

• Income Share Program, si guadagna per recensioni positive e negative

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Amazon

• Principalmente libri

• Recensione di testo più un voto da 1 a 5

• La recensione può essere helpful o not.

• Top 1000, #1 in funzione del numero di commenti helpful

• Vari episodi di attacchi ballot stuffing o bad mouthing

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Slashdot

• News for nerds: articoli e commenti• Tutti possono lasciare commenti• Due livelli di moderazione M1 e M2 (logged

users)• Ogni 30 minuti un gruppo M1: 5 commenti a

disposizione in 3 giorni• Negativi: offtopic, flamebait, troll, redundant,

overrated• Positivi: insightful, interesting, informative, funny,

underrated

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Slashdot(2)

• +1 e -1 ogni commento: score in [-1..5]

• Karma: Terrible, Bad, Neutral, Positive, Good and Excellent

• Karma buono da più punti (2), cattivo -1

• Karma buono = più punti moderazione

• M2 modera M1: 10 commenti a caso, il risultato influenza Karma e futuro in M1

• Obiettivo è filtrare commenti in base score

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Google PageRank

• Rank in base a reputazione della pagina

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Google bombs• <a href="http://www.abbassomrx.org">“Mr x"</a>

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contenuti

• Definizioni

• Obiettivi

• Multitrust e un esempio di propagazione

• Linguaggi di trust

• Sistemi di Reputazione on-line – Alcuni consigli per e-bay

• Trust e Small World

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

6 degree of separations

• Stanley Milgram (psicologo), fine ’60• 296 lettere da Wichita e Omaha verso

Boston• Informazioni basilari• In ogni lettera, lista dei salti e cartolina per

tenere traccia• 64 arrivate a detinazione, 5.5 lunghezza

media del cammino• Altro exp: 24 su 160, 16 da Mr. Jacob

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Esempio

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Caratteristiche

• Distanza media bassa

• Elevato Clustering Coefficient

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Casualità

• Alto CC come in reti regolari

• Basso shortest path come in reti casuali

probability0 1

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Conseguenze

• In pochi passi, è possibile raggiungere molti individui

• La comunità e partizionata in sottocomunità

• Possono esistere individui hub che connettono più sottocomunità

• Individui con più interessi / con molte relazioni

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Folcklore

• Un film del 1993: “6 degrees of separation”

• Un gioco: distanza degli attori da Kevin Bacon

Distanza media

=

2.96

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

I “centri” di hollywood

Kevin Bacon è in posizione1049

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Altre reti small world

• Reazioni chimiche

• Reti di collaborazione

• Reti sociali in genere

• Reti di comuniczione: aeroporti

• Pagine web

• Reti di computer: Internet

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Il piccolo mondo degli sport

• Pivots

• Weak and Strong Ties

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Trust e small world

• In pochi passi è possibile avere un giudizio su una grande quantità di individui

• 300, 90000, 27 milioni = molti cammini verso gli stessi individui

• È possibile calcolare ogni sottocomunità a parte e poi unire i risultati attraverso gli hub

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Riferimenti

• A. Jøsang, R. Ismail, and C. Boyd. “A survey of trust and reputation systems for online service provision”. Decis. Support Syst., 43(2):618{644, 2007.

• A. Jøsang, E. Gray, and M. Kinateder. “Simplification and analysis of transitive trust networks”. Web Intelli. and Agent Sys. 4, 2 (Apr. 2006), 139-161. 2006.

• A. Twigg and N. Dimmock. “Attack-resistance of computational trust models”. In WETICE '03, pages 275{280. IEEE Computer Society, 2003.

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Riferimenti(2)

• R. Levien. “Attack-resistant trust metrics”. PhD Thesis, 2001.

• S. Bistarelli and F. Santini. "Propagating Multitrust within Trust Networks", To appear, SAC 2008 (TRECK)

• A. Genkina, A. Friedman and J. Camp, “Net Trust”, TIIPP Workshop (ppt online)

• A. Jøsang, “Security and Trust: What's the connection?”, Keynote at Privacy Security & Trust, (ppt online)

16/11/2007 Corso di Laurea in Economia Informatica - Pescara

Contatti:f.santini@imtlucca.it