סקירה כללית של שירות הצבירה

צריך לפרוס ולנהל את השירות הזה כדי להפיק דוחות סיכום עבור Attribution Reporting API או עבור Private Aggregation API.

פריסה וניהול של שירות צבירה כדי לעבד דוחות נצברים מ-Attribution Reporting API או מ-Private Aggregation API כדי ליצור דוח סיכום.

סטטוס הטמעה

ההסבר מתאר את מונחי המפתח כדי לעזור לכם להבין את שירות הצבירה.

זמינות

建议 状态
Attribution Reporting API 和 Private Aggregation API 为 Amazon Web Services (AWS) 提供的汇总服务支持
说明		 可用
Attribution Reporting API 和 Private Aggregation API 为 Google Cloud 提供的汇总服务支持
说明		 推出 Beta 版
注册汇总服务网站以及将网站映射到云账号(AWS 或 GCP)
GitHub 上的常见问题解答		 可用
汇总服务的 epsilon 值将保持在 64 这一范围内,以便于针对不同参数进行实验和提供反馈。
提交 ARA epsilon 反馈
提交 PAA epsilon 反馈		 可用。在 epsilon 范围值更新之前,我们会提前向生态系统发出通知。
针对汇总服务查询更灵活的贡献过滤
说明		 预计 2024 年第 2 季度
灾难恢复后的预算恢复流程(错误、配置错误等)
GitHub 问题		 预计 2024 年第 2 季度
Accenture 是 AWS 的协调员之一
开发者博客		 可用
担任 Google Cloud 协调员之一的独立方
开发者博客		 预计 2024 年第 3 季度

עיבוד מאובטח של נתונים

שירות הצבירה מפענח ומשלב את הנתונים שנאספו מהדוחות המצטברים, מוסיף רעש ומחזיר את דוח הסיכום הסופי. השירות הזה פועל בסביבת הפעלה מהימנה (TEE), שפרוסה בשירות ענן שתומך באמצעי האבטחה הנחוצים כדי להגן על הנתונים האלה.

קוד ה-TEE הוא המקום היחיד בשירות הצבירה שיש לו גישה לדוחות גולמיים – הקוד הזה ייבדק על ידי חוקרי אבטחה, מומחי פרטיות וטכנולוגיות פרסום. כדי לוודא שסביבת TEE מפעילה את התוכנה המאושרת המדויקת ושהנתונים נשארים מאובטחים, המתאם מבצע אימות.

דוחות נצברים נאספים, מקובצים ושולחים אותם בסביבת TEE כדי להפוך אותם לדוח סיכום סופי.
דוחות נצברים נאספים, מקובצים ושולחים אל שירות הצבירה שפועל בסביבת TEE. סביבת שירות הצבירה נמצאת בבעלות ובהפעלה של אותו צד שאוסף את הנתונים.

אימות (attestation) מתאם של סביבת TEE

המתאם הוא ישות שאחראית על ניהול מפתחות וחשבונאות מצטברת של דוחות.

למתאם יש מספר תחומי אחריות:

  • נהלו רשימה של תמונות בינאריות מורשות. התמונות האלה הן גיבובים קריפטוגרפיים של גרסאות ה-build של התוכנה של Aggregation Service, ש-Google תפרסם מדי פעם. תוכלו לשחזר את התמונות כדי שכל הצדדים יוכלו לוודא שהתמונות זהות לגרסאות ה-build של שירות הצבירה.
  • הפעלת מערכת ניהול מפתחות. כדי להצפין דוחות נצברים, דפדפן Chrome צריך להשתמש במפתחות הצפנה במכשיר של המשתמש. מפתחות הפענוח נדרשים כדי להוכיח שהקוד של שירות הצבירה תואם לתמונות הבינאריות.
  • לעקוב אחרי הדוחות המצטברים כדי למנוע שימוש חוזר בדוחות נצברים, מכיוון ששימוש חוזר עלול לחשוף פרטים אישיים מזהים (PII).

כלל מסוג 'אין כפילויות'

כדי להבין טוב יותר את התוכן של דוח ספציפי ניתן, התוקף עלול ליצור מספר עותקים של הדוח ולכלול את העותקים האלה באצווה אחת או יותר. לכן, שירות הצבירה אוכף כלל 'ללא כפילויות':

  • באצווה: דוח ניתן לצבור יכול להופיע רק פעם אחת בכל קבוצה.
  • בקבוצות שונות: דוחות נצברים לא יכולים להופיע ביותר מאצווה אחת, והם לא יכולים להיכלל ביותר מדוח סיכום אחד.

לשם כך, הדפדפן מקצה לכל דוח ניתן לצבור מזהה משותף. הדפדפן יוצר את המזהה המשותף מכמה נתונים, כולל: גרסת ה-API, מקור הדיווח, אתר היעד, מועד הרישום של המקור והזמן המתוזמן של הדוח. הנתונים האלה מגיעים מהשדה shared_info בדוח.

שירות הצבירה מאשר שכל הדוחות שנצברו עם אותו מזהה משותף נמצאים באותו אצווה, ומדווח למתאם שהמזהה המשותף עבר עיבוד. אם נוצרות כמה קבוצות עם אותו מזהה, רק אצווה אחת תאושר לצבירה, וקבוצות אחרות יידחו.

כשמבצעים הרצת ניפוי באגים, הכלל 'ללא כפילויות' לא נאכף בכל הקבוצות. במילים אחרות, דוחות מחבילות קודמות עשויים להופיע בהרצה של ניפוי באגים. עם זאת, הכלל עדיין נאכף בתוך אצווה. כך אפשר להתנסות בשירות ובאסטרטגיות קיבוץ שונות, בלי להגביל את העיבוד העתידי בסביבת הייצור.

רעש וקנה מידה

כדי להגן על פרטיות המשתמשים, שירות הצבירה מחיל מנגנון רעש נוסף על הנתונים הגולמיים מדוחות נצברים. כלומר, כמות מסוימת של רעש סטטיסטי מתווספת לכל ערך מצטבר לפני הפרסום בדוח סיכום.

אין לכם שליטה ישירה על הדרכים שבהן רעש נוסף, אבל אתם יכולים להשפיע על ההשפעה של הרעש על נתוני המדידה שלו.

הרעש קבוע, בלי קשר לערך המצטבר.

ערך הרעש נגזר באופן אקראי מהתפלגות ההסתברות של Laplace, וההתפלגות זהה ללא קשר לכמות הנתונים שנאספים בדוחות שנצברו. ככל שאוספים יותר נתונים, כך לרעש תהיה פחות השפעה על התוצאות של דוח הסיכום. על מנת לצמצם את השפעת הרעש, תוכלו להכפיל את נתוני הדוח המצטברים בגורם קנה מידה.

כדי להבין איך הוספת רעש, אמצעי הבקרה וההשפעה על הדוחות שלכם, תוכלו להיעזר במאמרים תקציב התרומה והתאמה לתקציב התרומה בקטע עבודה עם רעש.

יצירת דוחות סיכום

יצירת הדוח 'סיכום' תלויה בשימוש ב-API. תוכלו לקרוא מידע נוסף על יצירת דוחות סיכום ל-Private Aggregation API ול-Attribution Reporting API.

בדיקת שירות הצבירה

מומלץ לקרוא את המדריך המתאים לכל ממשק API שבודקים:

כדי לבדוק את שירות הצבירה ב-AWS, אתם יכולים להיעזר בהוראות האלה.

אפשר גם להשתמש בכלי בדיקה מקומית לעיבוד דוחות נצברים עבור דוחות השיוך (Attribution) ו-Private Aggregation API.

אפשר לקבל המלצה למסגרת בדיקה באמצעות Aggregation Service Load Testing Framework.

יצירת מעורבות ושיתוף משוב

שירות הצבירה הוא חלק מרכזי בממשקי ה-API למדידה של ארגז החול לפרטיות. כמו ממשקי API אחרים של ארגז החול לפרטיות, הדבר מתועד ונדון באופן ציבורי ב-GitHub.