Birleştirme Hizmeti, verilerin gizli ve güvende kalmasını sağlamak için diferansiyel gizliliği (DP) destekleyen bir çerçeve kullanır. Araçlar ve mekanizmalar, tek bir kullanıcı tarafından açıklanan bilgi miktarını ölçmek ve sınırlamak için tasarlanmıştır. Bu gizlilik korumalarından birkaçını ele alalım.
Özet raporlara alakasız veriler eklendi
Reklam teknolojisi, birleştirilebilir raporları toplu olarak işlediğinde Toplama Hizmeti bir özet raporu oluşturur. Özet rapor, eklenen istatistiksel gürültü ile önceden tanımlanmış tüm alan anahtarlarının katkılarının toplamıdır.
Raporlara eklenen gürültü; birleştirilmiş rapor sayısına, bağımsız rapor değerlerine veya toplu rapor değerlerine bağlı değildir.
Gürültü, istemci tarafından ilgili ölçüm API'sine ve gizlilik parametresi epsilon'a bağlı olarak uygulanan katkı bütçesine (L1 duyarlılığı) göre ölçeklendirilmiş Laplace dağılımının ayrık bir sürümünden alınır. Gürültü hakkında daha fazla bilgi edinin.
Katkı Sınırlama
Kullanılan ölçüm istemcisi API'lerine (Attribution Reporting API veya Private Aggregation API) bağlı olarak, bir çağrıda iletilen katkıların sayısı, özet raporunun hassasiyetini kontrol etmek için belirli bir katkı sınırlama sınırına bağlanır.
API başına katkı bütçeleri hakkında daha fazla bilgi edinmek için her API'nin aşağıdaki bölümlerinde bulabilirsiniz:
"Yinelenen öğe yok" kuralı
Kural, report_id ile benzersiz şekilde tanımlanan birleştirilebilir bir raporun tek bir grupta yalnızca bir kez görünebileceğini belirtir. Toplanabilir bir rapor her grupta birden fazla kez görünürse ilk rapor toplama işlemine dahil edilir ve aynı report_id değerine sahip sonraki raporlar atılır. Grup başarıyla tamamlanır.
Kural, aynı raporun birden fazla grupta görünemeyeceğini de belirtir. Bir rapor daha önce başarılı bir toplu işlemde gruplandırıldıysa aynı rapor daha sonraki bir toplu işlemde bulunamaz. İkinci grup hata ile sonlandırılır.
Bu kurallar olmadan saldırganlar, bir raporun kopyalarını tek bir toplu işleme veya birden fazla toplu işleme ekleyerek toplu işlemlerin içeriğini değiştirerek belirli bir toplu işlemin içeriği hakkında bilgi edinebilir.
Toplama Hizmeti'nin kullanıma sunduğu bir diğer kavram da ayrı gruplardır. Diğer bir deyişle, iki veya daha fazla grupta ortak bir paylaşılan kimliği paylaşan raporlar bulunmamalıdır.
Paylaşılan kimlik, toplanabilir bir raporun shared_info alanından toplanan verilerin kombinasyonudur. Örnek bir shared_info alanı aşağıda görülebilir. İlişkilendirme raporlaması için version, attribution_destination, reporting_origin, scheduled_report_time ve source_registration_time API'sini görebiliriz. report_id hariç tüm bu alanlar paylaşılan kimliğe katkıda bulunur.
"shared_info": {
"API": "attribution-reporting",
"attribution_destination": "https://privacy-sandbox-demos-shop.dev",
"report_id": "5b052748-f5fb-4f14-b291-de03484ed59e",
"reporting_origin": "https://privacy-sandbox-demos-dsp.dev",
"scheduled_report_time": "1707786751",
"source_registration_time": "0",
"version": "0.1"
}
source_registration_time gün, scheduled_report_time ise saat bazında kısaltıldığı için aynı paylaşılan kimliği paylaşan raporlar olacaktır.
İki raporun aynı paylaşılan kimliği nasıl paylaşabileceğine göz atın. Rapor1 ve Rapor2'deki Paylaşılan Bilgi alanlarına ait aşağıdaki örneği inceleyebilirsiniz.
Her iki rapor da aynı API, sürüm, attribution_destination, reporting_origin ve source_registration_time değerine sahiptir. report_id, paylaşılan kimliğin bir parçası olmadığı için bu farkı yok sayabiliriz. Diğer tek fark scheduled_report_time. Bu konuyu daha ayrıntılı olarak incelediğimizde, Rapor1 için scheduled_report_time February 19, 2024 9:08:10 PM, Rapor2 için ise February 19, 2024 9:55:10 PM değerindedir. scheduled_report_time saate kısaltıldığından, her iki raporda da scheduled_report_time olarak February 19, 2024 9 PM bulunduğunu görebiliriz. Tüm alanlar aynı olduğu için her iki raporun da aynı ortak kimliğe sahip olduğunu onaylayabiliriz.
scheduled_report_time şartlarına uyun.
| Rapor1 Paylaşılan Bilgiler | Report2 Paylaşılan Bilgiler |
|---|---|
| "shared_info": { | "shared_info": { |
| "API": "ilişkilendirme-raporlama", | "API": "attribution-reporting", |
| "attribution_destination": "https://shop.dev", | "attribution_destination": "https://shop.dev", |
| "report_id": "5b052748-...", | "report_id": "1a1b25aa-...", |
| "reporting_origin": "https://dsp.dev", | "reporting_origin": "https://dsp.dev", |
| "scheduled_report_time": "1708376890", | "scheduled_report_time": "1708379710", |
| "source_registration_time": "0", | "source_registration_time": "0", |
| "version": "0.1" | "version": "0.1" |
| } | } |
Her iki raporun da aynı paylaşılan kimliğe sahip olduğu doğrulandığına göre, her iki raporun da aynı gruba eklenmesi gerekir.
Rapor1 daha önce başarılı olan bir grupta toplu olarak işlenir ve Rapor2 bir sonraki grupta işlenirse Rapor2'yi içeren grup, PRIVACY_BUDGET_EXHAUSTED hatasıyla başarısız olur. Böyle bir durumda, önceki gruplarda başarıyla gruplandırılmış ortak kimliğe sahip raporları kaldırıp tekrar deneyin.
Gruplandırma hakkında daha fazla bilgi edinmek için gruplandırma stratejisi kılavuzunu inceleyin.
Toplama anahtarlarını önceden bildirme
Toplama Hizmeti'ne bir grup gönderirken hem raporlama kaynağından hem de çıkış alan adı dosyasından alınan toplanabilir raporları dahil etmeniz gerekir. Çıkış alanı, toplanabilir raporlardan alınacak anahtarları veya paketleri içerir.
Gizlilik açısından bakıldığında, belirli bir anahtarla eşleşen gerçek bir rapor olmasa bile çıkış alanında önceden bildirilen tüm anahtarlara gürültü eklenir. Çıkış alanını belirtmek, çıkışta bir anahtarın bulunmasının tek bir kullanıcı/etkinlikle ilgili bir şey ortaya çıkardığı saldırılara karşı koruma sağlar. Örneğin, bir kampanyayı yalnızca bir kullanıcıya gösterdiyseniz çıkışta bir anahtar aldığınızda (gürültü eklenmiş olsa bile) kullanıcının daha sonra dönüşüm gerçekleştirdiği gösterilir. Bu alanı önceden belirterek kullanıcı katkıları hakkında hiçbir şey göstermediğinden emin olabiliriz.
Anahtarlar veya gruplar, reklam teknolojisi tarafından Attribution Reporting API veya Private Aggregation API'de tanımlanan 128 bitlik anahtarlardır. Reklam teknolojileri, izlemek istedikleri boyutları kodlamak için bu anahtarları kullanabilir.
Yalnızca önceden beyan edilmiş anahtarlar toplama için dikkate alınır ve özet raporuna dahil edilir. Özet raporundaki paketlerin toplam değerlerine istatistiksel gürültü eklenir ve bu gürültü, oluşturulan özet raporuna yansıtılır.
Özünde, bir toplama anahtarı çıkış alan dosyasına dahil edilirse ve herhangi bir toplu raporda yer almıyorsa, birleştirilen değer sıfır olsa bile gizliliği korumak için eklenen gürültü nedeniyle nihai özet rapor muhtemelen sıfırdan farklı olacaktır.
Bu makalenin yazıldığı sırada key-discovery adlı bir özelliğin üzerinde çalışıldığını unutmayın. Anahtar bulma, reklam teknolojisinin önceden tanımlanmış anahtarlara gerek kalmadan birleştirilebilir dosyaları işlemesine olanak tanır ancak daha önce belirtilen senaryoda gizliliği korumak için ek bir eşik adımı uygulanır.