Internet Architecture Board (IAB)                           M. Kühlewind
Request for Comments: 9614                                              
Category: Informational                                         T. Pauly
ISSN: 2070-1721                                                         
                                                              C. A. Wood
                                                               July 2024
        
Partitioning as an Architecture for Privacy
プライバシーのアーキテクチャとしての分割
Abstract
概要

This document describes the principle of privacy partitioning, which selectively spreads data and communication across multiple parties as a means to improve privacy by separating user identity from user data. This document describes emerging patterns in protocols to partition what data and metadata is revealed through protocol interactions, provides common terminology, and discusses how to analyze such models.

このドキュメントでは、ユーザーのアイデンティティをユーザーデータから分離することによりプライバシーを改善する手段として、複数の関係者にデータと通信を選択的に広めるプライバシーパーティションの原則について説明します。このドキュメントは、プロトコルの新たなパターンについて説明して、プロトコルの相互作用を通じて明らかにされるデータとメタデータがどのようなデータとメタデータが明らかにされ、一般的な用語を提供し、そのようなモデルを分析する方法について説明します。

Status of This Memo
本文書の位置付け

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。

This document is a product of the Internet Architecture Board (IAB) and represents information that the IAB has deemed valuable to provide for permanent record. It represents the consensus of the Internet Architecture Board (IAB). Documents approved for publication by the IAB are not candidates for any level of Internet Standard; see Section 2 of RFC 7841.

このドキュメントは、インターネットアーキテクチャボード(IAB)の製品であり、IABが恒久的な記録を提供する価値があると判断した情報を表しています。インターネットアーキテクチャボード(IAB)のコンセンサスを表しています。IABによって公開されることが承認された文書は、インターネット標準のレベルの候補者ではありません。RFC 7841のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9614.

このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9614で取得できます。

著作権表示

Copyright (c) 2024 IETF Trust and the persons identified as the document authors. All rights reserved.

著作権(c)2024 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document.

このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。

Table of Contents
目次
   1.  Introduction
   2.  Privacy Partitioning
     2.1.  Privacy Contexts
     2.2.  Context Separation
     2.3.  Approaches to Partitioning
   3.  A Survey of Protocols Using Partitioning
     3.1.  CONNECT Proxying and MASQUE
     3.2.  Oblivious HTTP and DNS
     3.3.  Privacy Pass
     3.4.  Privacy Preserving Measurement
   4.  Applying Privacy Partitioning
     4.1.  User-Identifying Information
     4.2.  Selecting Client Identifiers
     4.3.  Incorrect or Incomplete Partitioning
     4.4.  Selecting Information within a Context
   5.  Limits of Privacy Partitioning
     5.1.  Violations by Collusion
     5.2.  Violations by Insufficient or Incorrect Partitioning
       5.2.1.  Violations from Application Information
       5.2.2.  Violations from Network Information
       5.2.3.  Violations from Side Channels
       5.2.4.  Identifying Partitions
   6.  Partitioning Impacts
   7.  Security Considerations
   8.  IANA Considerations
   9.  Informative References
   IAB Members at the Time of Approval
   Acknowledgments
   Authors' Addresses
        
1. Introduction
1. はじめに

Protocols such as TLS and IPsec provide a secure (authenticated and encrypted) channel between two endpoints over which endpoints transfer information. Encryption and authentication of data in transit are necessary to protect information from being seen or modified by parties other than the intended protocol participants. As such, this kind of security is necessary for ensuring that information transferred over these channels remains private.

TLSやIPSECなどのプロトコルは、エンドポイントが情報を転送する2つのエンドポイント間で安全な(認証および暗号化された)チャネルを提供します。輸送中のデータの暗号化と認証は、意図したプロトコル参加者以外の当事者によって情報が見られたり変更されたりしないように保護するために必要です。そのため、この種のセキュリティは、これらのチャネルを介して転送された情報がプライベートのままであることを確認するために必要です。

However, a secure channel between two endpoints is insufficient for the privacy of the endpoints themselves. In recent years, privacy requirements have expanded beyond the need to protect data in transit between two endpoints. Some examples of this expansion include:

ただし、2つのエンドポイント間の安全なチャネルは、エンドポイント自体のプライバシーには不十分です。近年、プライバシー要件は、2つのエンドポイント間の輸送中のデータを保護する必要性を超えて拡大しています。この拡張のいくつかの例は次のとおりです。

* A user accessing a service on a website might not consent to reveal their location, but if that service is able to observe the client's IP address, it can learn something about the user's location. This is problematic for privacy since the service can link user data to the user's location.

* ウェブサイト上のサービスにアクセスするユーザーは、自分の場所を明らかにすることに同意しない場合がありますが、そのサービスがクライアントのIPアドレスを遵守できる場合、ユーザーの場所について何かを学ぶことができます。サービスはユーザーデータをユーザーの場所にリンクできるため、これはプライバシーに問題があります。

* A user might want to be able to access content for which they are authorized, such as a news article; but the news service might track which users access which articles, even if the user doesn't want their activity to be tracked. This is problematic for privacy since the service can link user activity to the user's account.

* ユーザーは、ニュース記事など、許可されているコンテンツにアクセスできるようにする場合があります。しかし、ニュースサービスは、ユーザーがアクティビティを追跡したくない場合でも、どのユーザーにアクセスするかを追跡する場合があります。これは、サービスがユーザーのアクティビティをユーザーのアカウントにリンクできるため、プライバシーに問題があります。

* A client device might need to upload metrics to an aggregation service and in doing so allow the service to attribute the specific metrics contributions to that client device. This is problematic for privacy since the service can link client contributions to the specific client.

* クライアントデバイスは、メトリックを集約サービスにアップロードする必要がある場合があり、そうすることで、サービスが特定のメトリックの貢献をそのクライアントデバイスに帰属させることができます。これは、サービスが特定のクライアントにクライアントの貢献をリンクできるため、プライバシーにとって問題があります。

The commonality in these examples is that clients want to interact with or use a service without exposing too much user-specific or identifying information to that service. In particular, separating the user-specific identity information from user-specific data is necessary for privacy. Thus, in order to protect user privacy, it is important to keep identity (who) and data (what) separate.

これらの例の共通性は、クライアントがユーザー固有または識別情報をそのサービスに公開することなく、サービスと対話または使用したいということです。特に、ユーザー固有のID情報をユーザー固有のデータから分離することは、プライバシーに必要です。したがって、ユーザーのプライバシーを保護するためには、アイデンティティ(WHO)とデータ(何)を分離することが重要です。

This document defines "privacy partitioning," sometimes also referred to as the "decoupling principle" [DECOUPLING], as the general technique used to separate the data and metadata visible to various parties in network communication, with the aim of improving user privacy. Although privacy partitioning cannot guarantee there is no link between user-specific identity and user-specific data, when applied properly it helps ensure that user privacy violations become more technically difficult to achieve over time.

このドキュメントは、ユーザーのプライバシーを改善することを目的として、ネットワーク通信のさまざまな関係者に見えるデータとメタデータを分離するために使用される一般的な手法として、「プライバシーパーティション」を定義します。プライバシーパーティション化は、ユーザー固有のIDとユーザー固有のデータの間にリンクがないことを保証することはできませんが、適切に適用されると、ユーザーのプライバシー違反が時間の経過とともに達成がより技術的に困難になるようにします。

Several IETF working groups are working on protocols or systems that adhere to the principle of privacy partitioning, including Oblivious HTTP Application Intermediation (OHAI), Multiplexed Application Substrate over QUIC Encryption (MASQUE), Privacy Pass, and Privacy Preserving Measurement (PPM). This document summarizes work in those groups and describes a framework for thinking about the resulting privacy posture of different endpoints in practice.

いくつかのIETFワーキンググループは、忘れられないHTTPアプリケーション仲介(OHAI)、QUIC暗号化(MASQUE)を介した多重化アプリケーション基板、プライバシーパス、プライバシー保存測定(PPM)など、プライバシーパーティションの原則を順守するプロトコルまたはシステムに取り組んでいます。このドキュメントは、これらのグループでの作業を要約し、実際のさまざまなエンドポイントのプライバシー姿勢について考えるためのフレームワークを説明しています。

Privacy partitioning is particularly relevant as a tool for data minimization, which is described in Section 6.1 of [RFC6973]. [RFC6973] provides guidance for privacy considerations in Internet protocols, along with a set of questions on how to evaluate the data minimization of a protocol in Section 7.1 of [RFC6973]. Protocols that employ privacy partitioning ought to consider the questions in that section when evaluating their design, particularly with regard to how identifiers and data can be correlated by protocol participants and observers in each context that has been partitioned. Privacy partitioning can also be used as a way to separate identity providers from relying parties (see Section 6.1.4 of [RFC6973]), as in the case of Privacy Pass (see Section 3.3).

プライバシー分割は、[RFC6973]のセクション6.1で説明されているデータ最小化のツールとして特に関連しています。[RFC6973]は、[RFC6973]のセクション7.1のプロトコルのデータ最小化を評価する方法に関する一連の質問とともに、インターネットプロトコルのプライバシーに関する考慮事項のガイダンスを提供します。プライバシーパーティションを採用するプロトコルは、特に識別子とデータをプロトコル参加者とオブザーバーが分割された各コンテキストでどのように相関させることができるかに関して、設計を評価する際にそのセクションの質問を考慮する必要があります。プライバシーパーティションは、プライバシーパスの場合(セクション3.3を参照)のように、IDプロバイダーを依存している当事者から分離する方法として使用することもできます([RFC6973]のセクション6.1.4を参照)。

Privacy partitioning is not a panacea; applying it well requires holistic analysis of the system in question to determine whether or not partitioning as a tool, and as implemented, offers meaningful privacy improvements. See Section 5 for more information.

プライバシーパーティション化は万能薬ではありません。適用するには、問題のシステムの全体的な分析が必要であり、ツールとして分割するかどうかを判断し、実装されたように有意義なプライバシーの改善を提供します。詳細については、セクション5を参照してください。

2. Privacy Partitioning
2. プライバシー分割

For the purposes of user privacy, this document focuses on user-specific information. This might include any identifying information that is specific to a user, such as their email address or IP address, or any data about the user, such as their date of birth. Informally, the goal of privacy partitioning is to ensure that each party in a system beyond the user themselves only has access to one type of user-specific information.

ユーザープライバシーの目的のために、このドキュメントはユーザー固有の情報に焦点を当てています。これには、電子メールアドレスやIPアドレスなど、ユーザーに固有の識別情報、または生年月日などのユーザーに関するデータが含まれる場合があります。非公式には、プライバシー分割の目標は、ユーザー自体を超えたシステム内の各パーティが1つのタイプのユーザー固有の情報にのみアクセスできるようにすることです。

This is a simple application of the principle of least privilege, wherein every party in a system only has access to the minimum amount of information needed to fulfill their function. Privacy partitioning advocates for this minimization by ensuring that protocols, applications, and systems only reveal user-specific information to parties that need access to the information for their intended purpose.

これは、システム内のすべての当事者が機能を満たすために必要な最小の情報にのみアクセスできるように、最小特権の原則の単純なアプリケーションです。プライバシー分割は、プロトコル、アプリケーション、およびシステムが、意図した目的のために情報にアクセスする必要がある当事者にのみユーザー固有の情報を明らかにすることを保証することにより、この最小化を支持します。

Put simply, privacy partitioning aims to separate _who_ someone is from _what_ they do. In the rest of this section, we describe how privacy partitioning can be used to achieve this goal.

簡単に言えば、プライバシーパーティションは_ who_誰かが彼らがしていることから分離することを目的としています。このセクションの残りの部分では、この目標を達成するためにプライバシーパーティションを使用する方法について説明します。

2.1. Privacy Contexts
2.1. プライバシーコンテキスト

Each piece of user-specific information exists within some context, where a context is abstractly defined as a set of data, metadata, and the entities that share access to that information. In order to prevent the correlation of user-specific information across contexts, partitions need to ensure that any single entity (other than the client itself) does not participate in more than one context where the information is visible.

ユーザー固有の各情報は、コンテキストの一部に存在します。コンテキストは、データ、メタデータ、およびその情報へのアクセスを共有するエンティティとして抽象的に定義されます。コンテキスト間でユーザー固有の情報の相関を防ぐために、パーティションは、単一のエンティティ(クライアント自体以外)が、情報が表示されている複数のコンテキストに参加しないようにする必要があります。

[RFC6973] discusses the importance of identifiers in reducing correlation as a way of improving privacy:

[RFC6973]プライバシーを改善する方法として相関を減らす際の識別子の重要性について説明します。

Correlation is the combination of various pieces of information related to an individual or that obtain that characteristic when combined....

相関とは、個人に関連するさまざまな情報の組み合わせ、または組み合わされたときにその特性を取得するものです。

Correlation is closely related to identification. Internet protocols can facilitate correlation by allowing individuals' activities to be tracked and combined over time....

相関は識別と密接に関連しています。インターネットプロトコルは、個人の活動を時間の経過とともに追跡して組み合わせることにより、相関を促進できます。

Pseudonymity is strengthened when less personal data can be linked to the pseudonym; when the same pseudonym is used less often and across fewer contexts; and when independently chosen pseudonyms are more frequently used for new actions (making them, from an observer's or attacker's perspective, unlinkable).

個人データが少ない場合、仮名にリンクできる場合、仮名が強化されます。同じ仮名が使用され、より少ないコンテキストで使用される場合。そして、独立して選択された仮名が新しいアクションにより頻繁に使用されると(オブザーバーや攻撃者の視点からリンクできないようにします)。

Context separation is foundational to privacy partitioning and reducing correlation. As an example, consider an unencrypted HTTP session over TCP, wherein the context includes both the content of the transaction as well as any metadata from the transport and IP headers; and the participants include the client, routers, other network middleboxes, intermediaries, and the server. Middleboxes or intermediaries might simply forward traffic or might terminate the traffic at any layer (such as terminating the TCP connection from the client and creating another TCP connection to the server). Regardless of how the middlebox interacts with the traffic, for the purposes of privacy partitioning, it is able to observe all of the data in the context.

コンテキストの分離は、プライバシーの分割と相関の削減の基礎です。例として、TCPを介した暗号化されていないHTTPセッションを検討してください。コンテキストには、トランザクションの内容と、輸送およびIPヘッダーからのメタデータの両方が含まれます。参加者には、クライアント、ルーター、その他のネットワークミドルボックス、仲介者、およびサーバーが含まれます。ミドルボックスまたは仲介業者は、単にトラフィックを転送するか、任意のレイヤーでトラフィックを終了する場合があります(クライアントからのTCP接続の終了やサーバーへの別のTCP接続の作成など)。ミドルボックスがトラフィックとどのように相互作用するかに関係なく、プライバシーパーティション化の目的で、コンテキスト内のすべてのデータを観察することができます。

   +-------------------------------------------------------------------+
   | Context A                                                         |
   |  +--------+                +-----------+              +--------+  |
   |  |        +------HTTP------+           +--------------+        |  |
   |  | Client |                | Middlebox |              | Server |  |
   |  |        +------TCP-------+           +--------------+        |  |
   |  +--------+      flow      +-----------+              +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
        

Figure 1: Diagram of a Basic Unencrypted Client-to-Server Connection with Middleboxes

図1:基本的に暗号化されていないクライアントとサーバーへの接続の図

Adding TLS encryption to the HTTP session is a simple partitioning technique that splits the previous context into two separate contexts. The content of the transaction is now only visible to the client, TLS-terminating intermediaries, and server, while the metadata in transport and IP headers remain in the original context. In this scenario, without any further partitioning, the entities that participate in both contexts can allow the data in both contexts to be correlated.

TLS暗号化をHTTPセッションに追加することは、以前のコンテキストを2つの別々のコンテキストに分割する簡単なパーティション化手法です。トランザクションのコンテンツは、クライアント、TLSを終了する仲介者、およびサーバーにのみ表示されるようになりましたが、輸送およびIPヘッダーのメタデータは元のコンテキストに残ります。このシナリオでは、それ以上のパーティションをかけることなく、両方のコンテキストに参加するエンティティは、両方のコンテキストのデータを相関させることができます。

   +-------------------------------------------------------------------+
   | Context A                                                         |
   |  +--------+                                           +--------+  |
   |  |        |                                           |        |  |
   |  | Client +-------------------HTTPS-------------------+ Server |  |
   |  |        |                                           |        |  |
   |  +--------+                                           +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Context B                                                         |
   |  +--------+                +-----------+              +--------+  |
   |  |        |                |           |              |        |  |
   |  | Client +-------TCP------+ Middlebox +--------------+ Server |  |
   |  |        |       flow     |           |              |        |  |
   |  +--------+                +-----------+              +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
        

Figure 2: Diagram of How Adding Encryption Splits the Context into Two

図2:暗号化を追加する方法の図

Another way to create a partition is to simply use separate connections. For example, to split two separate HTTP requests from one another, a client could issue the requests on separate TCP connections, each on a different network and at different times, and avoid including obvious identifiers like HTTP cookies across the requests.

パーティションを作成する別の方法は、単純に個別の接続を使用することです。たとえば、2つの個別のHTTPリクエストを互いに分割するために、クライアントは、それぞれ異なるネットワークと異なる時間に、個別のTCP接続でリクエストを発行し、リクエスト全体にHTTP Cookieなどの明白な識別子を含めることを避けることができます。

   +-------------------------------------------------------------------+
   | Context A                                                         |
   |  +--------+                +-----------+              +--------+  |
   |  |        | IP A           |           |              |        |  |
   |  | Client +-------TCP------+ Middlebox +--------------+ Server |  |
   |  |        |      flow A    |     A     |              |        |  |
   |  +--------+                +-----------+              +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Context B                                                         |
   |  +--------+                +-----------+              +--------+  |
   |  |        | IP B           |           |              |        |  |
   |  | Client +-------TCP------+ Middlebox +--------------+ Server |  |
   |  |        |      flow B    |     B     |              |        |  |
   |  +--------+                +-----------+              +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
        

Figure 3: Diagram of Making Separate Connections to Generate Separate Contexts

図3:個別のコンテキストを生成するために個別の接続を作成する図

Using separate connections to create separate contexts can reduce or eliminate the ability of specific parties to correlate activity across contexts. However, any identifier at any layer that is common across different contexts can be used as a way to correlate activity. Beyond IP addresses, many other factors can be used together to create a fingerprint of a specific device (such as Media Access Control (MAC) addresses, device properties, software properties and behavior, application state, etc.).

個別の接続を使用して個別のコンテキストを作成すると、特定の当事者がコンテキスト間でアクティビティを相関させる能力を低下または排除できます。ただし、さまざまなコンテキストで一般的な任意のレイヤーの識別子は、アクティビティを相関させる方法として使用できます。IPアドレスを超えて、他の多くの要因を一緒に使用して、特定のデバイス(メディアアクセス制御(MAC)アドレス、デバイスプロパティ、ソフトウェアプロパティ、動作、アプリケーション状態など)の指紋を作成できます。

2.2. Context Separation
2.2. コンテキスト分離

In order to define and analyze how various partitioning techniques work, the boundaries of what is being partitioned need to be established. This is the role of context separation. In particular, in order to prevent the correlation of user-specific information across contexts, partitions need to ensure that any single entity (other than the client itself) does not participate in contexts where both identifiers are visible.

さまざまな分割技術がどのように機能するかを定義および分析するには、分割されているものの境界を確立する必要があります。これがコンテキスト分離の役割です。特に、コンテキスト間でユーザー固有の情報の相関を防ぐために、パーティションは、単一のエンティティ(クライアント自体以外)が両方の識別子が表示されているコンテキストに参加しないことを確認する必要があります。

Context separation can be achieved in different ways, for example, over time, across network paths, based on (en)coding, etc. The privacy-oriented protocols described in this document generally involve more complex partitioning, but the techniques to partition communication contexts still employ the same techniques:

コンテキスト分離は、たとえば、(EN)コーディングなどに基づいて、ネットワークパス全体の時間の経過とともに、さまざまな方法で達成できます。このドキュメントで説明されているプライバシー指向のプロトコルには、一般に、より複雑なパーティション化が含まれますが、通信コンテキストをパーティションする技術にそれでも同じテクニックを採用しています。

* Cryptographic protection, such as the use of encryption to specific parties, allows partitioning of contexts between different parties (those with the ability to remove cryptographic protections, and those without).

* 特定の関係者への暗号化の使用などの暗号化保護により、さまざまな関係者(暗号化保護を削除する能力があるものとないもの)間のコンテキストを分割することができます。

* Connection separation across time or space to allow partitioning of contexts for different application transactions over the network.

* ネットワーク上のさまざまなアプリケーショントランザクションのコンテキストをパーティション化するための時間またはスペース全体での接続分離。

These techniques are frequently used in conjunction for context separation. For example, encrypting an HTTP exchange using TLS between the client and TLS-terminating server might prevent a network middlebox that sees a client IP address from seeing the user account identifier, but it doesn't prevent the TLS-terminating server from observing both identifiers and correlating them. As such, preventing correlation requires separating contexts, such as by using proxying to conceal a client's IP address that would otherwise be used as an identifier.

これらの手法は、コンテキスト分離のために頻繁に使用されます。たとえば、クライアントとTLSターミネートサーバーの間でTLSを使用してHTTP交換を暗号化すると、クライアントIPアドレスがユーザーアカウント識別子が表示されないことを確認するネットワークミドルボックスを防ぐことができますが、TLS終了サーバーが両方の識別子を観察することを妨げません。それらを相関させます。そのため、相関を防ぐには、プロキシを使用して識別子として使用されるクライアントのIPアドレスを隠すなど、コンテキストを分離する必要があります。

2.3. Approaches to Partitioning
2.3. 分割へのアプローチ

While all of the partitioning protocols described in this document create separate contexts using cryptographic protection and/or connection separation, each one has a unique approach that results in different sets of contexts. Since many of these protocols are new, it is yet to be seen how each approach will be used at scale across the Internet and what new models will emerge in the future.

このドキュメントで説明されているすべてのパーティションプロトコルは、暗号化保護および/または接続分離を使用して個別のコンテキストを作成しますが、それぞれに異なるコンテキストセットをもたらす独自のアプローチがあります。これらのプロトコルの多くは新しいため、各アプローチがインターネット全体で規模でどのように使用されるか、そして将来どのような新しいモデルが出現するかはまだわかりません。

There are multiple factors that lead to a diversity in approaches to partitioning, including:

以下を含む、分割へのアプローチの多様性につながる複数の要因があります。

* Adding privacy partitioning to existing protocol ecosystems places requirements and constraints on how contexts are constructed. CONNECT-style proxying is intended to work with servers that are unaware of privacy contexts, requiring more intermediaries to provide strong separation guarantees. On the other hand, Oblivious HTTP assumes servers that cooperate with context separation and, thus, reduces the overall number of elements in the solution.

* 既存のプロトコルエコシステムにプライバシーパーティションを追加すると、コンテキストの構築方法に関する要件と制約があります。Connectスタイルのプロキシは、プライバシーコンテキストを知らないサーバーと連携することを目的としており、より多くの仲介者が強力な分離保証を提供する必要があります。一方、Oblivious HTTPは、コンテキスト分離に協力するサーバーを想定しているため、ソリューション内の要素の全体的な数を減らします。

* Whether or not information exchange needs to happen bidirectionally in an interactive fashion determines how contexts can be separated. Some use cases, like metrics collection for PPM, can occur whereby information only flows from clients to servers and can function even when clients are no longer connected. Privacy Pass is an example of a case that can be either interactive or not, depending on whether tokens can be cached and reused. CONNECT-style proxying and Oblivious HTTP often require bidirectional and interactive communication.

* 情報交換がインタラクティブな方法で双方向に発生する必要があるかどうかは、コンテキストをどのように分離できるかを決定します。PPMのMetrics Collectionなどの一部のユースケースは、情報がクライアントからサーバーにのみ流れ、クライアントが接続されなくなった場合でも機能する可能性があるため、発生する可能性があります。プライバシーパスは、トークンをキャッシュして再利用できるかどうかに応じて、インタラクティブであるかどうかのいずれかのケースの例です。接続スタイルのプロキシと忘却のHTTPは、多くの場合、双方向およびインタラクティブなコミュニケーションを必要とします。

* The degree to which contexts need to be partitioned depends in part on the client's threat models and level of trust in various protocol participants. For example, in Oblivious HTTP, clients allow relays to learn that clients are accessing a particular application-specific gateway. If clients do not trust relays with this information, they can instead use a multi-hop CONNECT-style proxy approach wherein no single party learns whether specific clients are accessing a specific application. This is the default trust model for systems like Tor, where multiple hops are used to drive down the probability of privacy violations due to collusion or related attacks.

* コンテキストを分割する必要がある程度は、クライアントの脅威モデルと、さまざまなプロトコル参加者の信頼レベルに一部依存します。たとえば、忘れられないHTTPでは、クライアントがリレーが特定のアプリケーション固有のゲートウェイにアクセスしていることを学習できるようにします。クライアントがこの情報でリレーを信頼していない場合、代わりに、特定のクライアントが特定のアプリケーションにアクセスしているかどうかを単一の当事者が学習しないマルチホップコネクトスタイルプロキシアプローチを使用できます。これは、TORのようなシステムのデフォルトの信頼モデルであり、複数のホップを使用して、共謀または関連する攻撃によるプライバシー違反の確率を押し下げます。

3. A Survey of Protocols Using Partitioning
3. パーティション化を使用したプロトコルの調査

The following section discusses current on-going work in the IETF that is applying privacy partitioning.

次のセクションでは、プライバシーパーティションを適用しているIETFでの現在の進行中の作業について説明します。

3.1. CONNECT Proxying and MASQUE
3.1. プロキシとマスクを接続します

When using encryption on the connection between the client and the proxy, HTTP forward proxies provide privacy partitioning by separating a connection into multiple segments. When connections to targets via the proxy themselves are encrypted, the proxy cannot see the end-to-end content. HTTP has historically supported forward proxying for TCP-like streams via the CONNECT method. More recently, the Multiplexed Application Substrate over QUIC Encryption (MASQUE) Working Group has developed protocols to similarly proxy UDP [CONNECT-UDP] and IP packets [CONNECT-IP] based on tunneling.

クライアントとプロキシ間の接続で暗号化を使用する場合、HTTPフォワードプロキシは、接続を複数のセグメントに分離することにより、プライバシーパーティションを提供します。プロキシ自体を介してターゲットへの接続が暗号化されている場合、プロキシはエンドツーエンドのコンテンツを見ることができません。HTTPは、Connectメソッドを介してTCPのようなストリームの前向きのプロキシをサポートしてきました。最近では、QUIC暗号化(MASQUE)ワーキンググループを介した多重化アプリケーション基板は、トンネリングに基づいて同様にプロキシUDP [Connect-UDP]およびIPパケット[Connect-IP]にプロトコルを開発しました。

In a single-proxy setup, there is a tunnel connection between the client and proxy and an end-to-end connection that is tunneled between the client and target. This setup, as shown in Figure 4, partitions communication into:

単一プロキシのセットアップでは、クライアントとプロキシの間にトンネル接続があり、クライアントとターゲットの間にトンネルが付けられたエンドツーエンドの接続があります。図4に示すように、このセットアップは、通信を次のように分割します。

* a Client-to-Target encrypted context, which contains the end-to-end content within the TLS session to the target, such as HTTP content;

* HTTPコンテンツなど、TLSセッション内のTLSセッション内のエンドツーエンドコンテンツをターゲットに含むクライアントからターゲット間暗号化されたコンテキスト。

* a Client-to-Target proxied context, which is the end-to-end data exchanged with the target that is also visible to the proxy, such as a TLS session;

* TLSセッションなど、プロキシにも表示されるターゲットと交換されるエンドツーエンドのデータであるクライアントからターゲットのプロキシコンテキスト。

* a Client-to-Proxy context, which contains the transport metadata between the client and the target, and the request to the proxy to open a connection to the target; and

* クライアントとターゲットの間のトランスポートメタデータと、ターゲットへの接続を開くプロキシへの要求を含むクライアントからプロキシまでのコンテキスト。そして

* a Proxy-to-Target context, which for TCP and UDP proxying contains any packet header information that is added or modified by the proxy, e.g., the IP and TCP/UDP headers.

* TCPおよびUDPプロキシには、プロキシによって追加または変更されるパケットヘッダー情報、たとえばIPおよびTCP/UDPヘッダーが含まれるプロキシからターゲット間コンテキスト。

   +-------------------------------------------------------------------+
   | Client-to-Target Encrypted Context                                |
   |  +--------+                                           +--------+  |
   |  |        |                                           |        |  |
   |  | Client +------------------HTTPS--------------------+ Target |  |
   |  |        |                 content                   |        |  |
   |  +--------+                                           +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Client-to-Target Proxied Context                                  |
   |  +--------+                +-----------+              +--------+  |
   |  |        |                |           |              |        |  |
   |  | Client +----Proxied-----+   Proxy   +--------------+ Target |  |
   |  |        |    TLS flow    |           |              |        |  |
   |  +--------+                +-----------+              +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Client-to-Proxy Context                                           |
   |  +--------+                +-----------+                          |
   |  |        |                |           |                          |
   |  | Client +---Transport----+   Proxy   |                          |
   |  |        |     flow       |           |                          |
   |  +--------+                +-----------+                          |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Proxy-to-Target Context                                           |
   |                            +-----------+              +--------+  |
   |                            |           |              |        |  |
   |                            |   Proxy   +--Transport---+ Target |  |
   |                            |           |    flow      |        |  |
   |                            +-----------+              +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
        

Figure 4: Diagram of One-Hop Proxy Contexts

図4:ワンホッププロキシコンテキストの図

Using two (or more) proxies provides better privacy partitioning. In particular, with two proxies, each proxy sees the Client metadata but not the Target, the Target but not the Client metadata, or neither.

2つ(またはそれ以上)のプロキシを使用すると、プライバシーパーティションが向上します。特に、2つのプロキシを使用すると、各プロキシはクライアントメタデータを見ますが、ターゲット、ターゲットではなく、クライアントメタデータ、またはどちらでもありません。

In addition to the contexts described above for the single proxy case, the two-hop proxy case shown in Figure 5 changes the contexts in several ways:

単一のプロキシケースについて上記のコンテキストに加えて、図5に示す2ホッププロキシケースは、いくつかの方法でコンテキストを変更します。

* the Client-to-Target proxied context only includes the second proxy (referred to here as "Proxy B");

* クライアントからターゲットのプロキシコンテキストには、2番目のプロキシのみが含まれます(ここでは「プロキシB」と呼ばれます)。

* a new Client-to-Proxy B context is added, which is the TLS session from the client to Proxy B that is also visible to the first proxy (referred to here as "Proxy A");

* 新しいクライアントからプロキシBのコンテキストが追加されます。これは、クライアントからプロキシBへのTLSセッションであり、最初のプロキシにも表示されます(ここでは「プロキシA」と呼ばれます)。

* the contexts that see transport data only (TCP or UDP over IP) are separated out into three separate contexts, a Client-to-Proxy A context, a Proxy A-to-Proxy B context, and a Proxy B-to-Target context.

* トランスポートデータのみ(TCPまたはUDP over IP)を見るコンテキストは、3つの別々のコンテキスト、クライアントからプロキシAコンテキスト、プロキシA-to-Proxy Bコンテキスト、およびプロキシB対ターゲットコンテキストに分離されます。。

   +-------------------------------------------------------------------+
   | Client-to-Target Encrypted Context                                |
   |  +--------+                                           +--------+  |
   |  |        |                                           |        |  |
   |  | Client +------------------HTTPS--------------------+ Target |  |
   |  |        |                 content                   |        |  |
   |  +--------+                                           +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Client-to-Target Proxied Context                                  |
   |  +--------+                           +-------+       +--------+  |
   |  |        |                           |       |       |        |  |
   |  | Client +----------Proxied----------+ Proxy +-------+ Target |  |
   |  |        |          TLS flow         |   B   |       |        |  |
   |  +--------+                           +-------+       +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Client-to-Proxy B Context                                         |
   |  +--------+         +-------+         +-------+                   |
   |  |        |         |       |         |       |                   |
   |  | Client +---------+ Proxy +---------+ Proxy |                   |
   |  |        |         |   A   |         |   B   |                   |
   |  +--------+         +-------+         +-------+                   |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Client-to-Proxy A Context                                         |
   |  +--------+         +-------+                                     |
   |  |        |         |       |                                     |
   |  | Client +---------+ Proxy |                                     |
   |  |        |         |   A   |                                     |
   |  +--------+         +-------+                                     |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Proxy A-to-Proxy B Context                                        |
   |                     +-------+         +-------+                   |
   |                     |       |         |       |                   |
   |                     | Proxy +---------+ Proxy |                   |
   |                     |   A   |         |   B   |                   |
   |                     +-------+         +-------+                   |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Proxy B-to-Target Context                                         |
   |                                       +-------+       +--------+  |
   |                                       |       |       |        |  |
   |                                       | Proxy +-------+ Target |  |
   |                                       |   B   |       |        |  |
   |                                       +-------+       +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
        

Figure 5: Diagram of Two-Hop Proxy Contexts

図5:2ホッププロキシコンテキストの図

Forward proxying, such as the modes of proxying in the protocols developed in MASQUE, uses both encryption (via TLS) and separation of connections (via proxy hops that see only the next hop) to achieve privacy partitioning.

マスクで開発されたプロトコルでプロキシのモードなどの前進プロキシは、プライバシーパーティションを実現するために、暗号化(TLS経由)と接続の分離(次のホップのみを介して)の両方を使用します。

3.2. Oblivious HTTP and DNS
3.2. 忘れられないHTTPおよびDNS

Oblivious HTTP [OHTTP], developed in the Oblivious HTTP Application Intermediation (OHAI) Working Group, adds per-message encryption to HTTP exchanges through a relay system. Clients send requests through an Oblivious Relay, which cannot read message contents, to an Oblivious Gateway, which can decrypt the messages but cannot communicate directly with the client or observe client metadata like an IP address. Oblivious HTTP relies on Hybrid Public Key Encryption [HPKE] to perform encryption.

忘却のHTTPアプリケーション中間化(OHAI)ワーキンググループで開発された忘却のHTTP [OHTTP]は、リレーシステムを介してHTTP交換に暗号化ごとに追加されます。クライアントは、メッセージコンテンツを読み取ることができない忘れられないゲートウェイに忘れられないリレーを介してリクエストを送信します。これは、メッセージを復号化できますが、クライアントと直接通信したり、IPアドレスのようにクライアントメタデータを観察したりすることはできません。忘れられないHTTPは、ハイブリッド公開キー暗号化[HPKE]に依存して、暗号化を実行します。

Oblivious HTTP uses both encryption and separation of connections to achieve privacy partitioning.

Oblivious HTTPは、接続の暗号化と分離の両方を使用して、プライバシーパーティションを実現します。

* End-to-end messages are encrypted between the Client and Gateway. The content of these inner messages are visible to the Client, Gateway, and Target. This is the Client-to-Target context.

* エンドツーエンドのメッセージは、クライアントとゲートウェイの間で暗号化されます。これらの内側のメッセージの内容は、クライアント、ゲートウェイ、およびターゲットに表示されます。これはクライアントからターゲット間のコンテキストです。

* The encrypted messages exchanged between the Client and Gateway are visible to the Relay, but the Relay cannot decrypt the messages. This is the Client-to-Gateway context.

* クライアントとゲートウェイの間で交換される暗号化されたメッセージはリレーに表示されますが、リレーはメッセージを復号化することはできません。これは、クライアント間のコンテキストです。

* The transport (such as TCP and TLS) connections between the Client, Relay, and Gateway form two separate contexts: a Client-to-Relay context and a Relay-to-Gateway context. It is important to note that the Relay-to-Gateway connection can be a single connection, even if the Relay has many separate Clients. This provides better anonymity by making the pseudonym presented by the Relay to be shared across many Clients.

* クライアント、リレー、およびゲートウェイ間のトランスポート(TCPやTLSなど)は、クライアント間コンテキストとリレーからゲートウェイのコンテキストという2つの別々のコンテキストを形成します。リレーにリレーに多くの個別のクライアントがある場合でも、リレーからゲートウェイへの接続は単一の接続になる可能性があることに注意することが重要です。これは、多くのクライアントで共有されるリレーによって提示された仮名を作成することにより、より良い匿名性を提供します。

   +-------------------------------------------------------------------+
   | Client-to-Target Context                                          |
   |  +--------+                           +---------+     +--------+  |
   |  |        |                           |         |     |        |  |
   |  | Client +---------------------------+ Gateway +-----+ Target |  |
   |  |        |                           |         |     |        |  |
   |  +--------+                           +---------+     +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Client-to-Gateway Context                                         |
   |  +--------+         +-------+         +---------+                 |
   |  |        |         |       |         |         |                 |
   |  | Client +---------+ Relay +---------+ Gateway |                 |
   |  |        |         |       |         |         |                 |
   |  +--------+         +-------+         +---------+                 |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Client-to-Relay Context                                           |
   |  +--------+         +-------+                                     |
   |  |        |         |       |                                     |
   |  | Client +---------+ Relay |                                     |
   |  |        |         |       |                                     |
   |  +--------+         +-------+                                     |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Relay-to-Gateway Context                                          |
   |                     +-------+         +---------+                 |
   |                     |       |         |         |                 |
   |                     + Relay +---------+ Gateway |                 |
   |                     |       |         |         |                 |
   |                     +-------+         +---------+                 |
   |                                                                   |
   +-------------------------------------------------------------------+
        

Figure 6: Diagram of Oblivious HTTP Contexts

図6:忘れられないHTTPコンテキストの図

Oblivious DNS over HTTPS (ODoH) [ODOH] applies the same principle as Oblivious HTTP but operates on DNS messages only. As a precursor to the more generalized Oblivious HTTP, it relies on the same HPKE cryptographic primitives and can be analyzed in the same way.

HTTPS(ODOH)[ODOH]上の忘却のDNSは、忘却のHTTPと同じ原理を適用しますが、DNSメッセージのみで動作します。より一般化された忘却のHTTPの前身として、同じHPKE暗号化プリミティブに依存しており、同じ方法で分析できます。

3.3. Privacy Pass
3.3. プライバシーパス

Privacy Pass is an architecture [RFC9576] and a set of protocols being developed in the Privacy Pass Working Group that allows clients to present proof of verification in an anonymous and unlinkable fashion via tokens. These tokens were originally designed as a way to prove that a client had solved a CAPTCHA, but they can be applied to other types of user or device attestation checks as well. In Privacy Pass, clients interact with an attester and issuer for the purposes of issuing a token, and clients then interact with an origin server to redeem said token.

プライバシーパスは、アーキテクチャ[RFC9576]であり、プライバシーパスワーキンググループで開発されている一連のプロトコルが開発されており、クライアントはトークンを介して匿名でリンクできないファッションで検証の証明を提示できます。これらのトークンはもともと、クライアントがCaptchaを解決したことを証明する方法として設計されていましたが、他のタイプのユーザーまたはデバイスの証明チェックにも適用できます。プライバシーパスでは、クライアントはトークンを発行する目的でアテスターと発行者と対話し、クライアントはオリジンサーバーと対話して、前述のトークンを引き換えます。

In Privacy Pass, privacy partitioning is achieved with cryptographic protection (in the form of blind signature protocols or similar) and separation of connections across two contexts: a "redemption context" between clients and origins (servers that request and receive tokens), and an "issuance context" between clients, attestation servers, and token issuance servers. The cryptographic protection ensures that information revealed during the issuance context is separated from information revealed during the redemption context.

プライバシーパスでは、プライバシーパーティションは、暗号化保護(ブラインドシグネチャプロトコルなどの形式で)と2つのコンテキストにわたる接続の分離によって達成されます。クライアントとオリジン(トークンを要求および受信するサーバー)、およびクライアント、証明サーバー、およびトークン発行サーバー間の「発行コンテキスト」。暗号化の保護により、発行コンテキスト中に明らかにされた情報が、償還のコンテキスト中に明らかにされた情報から分離されます。

   +-------------------------------------------------------------------+
   | Redemption Context                                                |
   |  +--------+         +--------+                                    |
   |  |        |         |        |                                    |
   |  | Origin +---------+ Client |                                    |
   |  |        |         |        |                                    |
   |  +--------+         +--------+                                    |
   |                                                                   |
   +-------------------------------------------------------------------+
   | Issuance Context                                                  |
   |                     +--------+      +----------+      +--------+  |
   |                     |        |      |          |      |        |  |
   |                     | Client +------+ Attester +------+ Issuer |  |
   |                     |        |      |          |      |        |  |
   |                     +--------+      +----------+      +--------+  |
   |                                                                   |
   +-------------------------------------------------------------------+
        

Figure 7: Diagram of Contexts in Privacy Pass

図7:プライバシーパスのコンテキストの図

Since the redemption context and issuance context are separate connections that involve separate entities, they can also be further decoupled by running those parts of the protocols at different times. Clients can fetch tokens through the issuance context early and cache the tokens for later use in redemption contexts. This can aid in partitioning identifiers and data.

償還のコンテキストと発行コンテキストは、個別のエンティティを含む個別の接続であるため、プロトコルの部分を異なる時期に実行することでさらに分離することもできます。クライアントは、発行コンテキストを早期にトークンを取得し、償還のコンテキストで後で使用するためにトークンをキャッシュできます。これにより、識別子とデータの分割に役立ちます。

[RFC9576] describes different deployment models for which entities operate origins, attesters, and issuers; in some models, they are all separate entities, and in others they can be operated by the same entity. The model impacts the effectiveness of partitioning, and some models (such as when all three are operated by the same entity) only provide effective partitioning when the timing of connections on the two contexts are not correlated and when the client uses different identifiers (such as different IP addresses) on each context.

[RFC9576]は、エンティティがオリジン、アサイザー、および発行者を運用するさまざまな展開モデルを説明しています。一部のモデルでは、それらはすべて別個のエンティティであり、他のモデルでは同じエンティティによって運用される可能性があります。モデルはパーティション化の有効性に影響を与え、一部のモデル(3つすべてが同じエンティティによって動作している場合など)は、2つのコンテキストでの接続のタイミングが相関せず、クライアントが異なる識別子を使用する場合にのみ効果的なパーティションを提供します(各コンテキストで異なるIPアドレス)。

3.4. Privacy Preserving Measurement
3.4. プライバシー保存測定

The Privacy Preserving Measurement (PPM) Working Group is chartered to develop protocols and systems that help a data aggregation or collection server (or multiple non-colluding servers) compute aggregate values without learning the value of any one client's individual measurement. The Distributed Aggregation Protocol (DAP) is the primary working item of the group.

プライバシー保存測定(PPM)ワーキンググループは、データの集約またはコレクションサーバー(または複数の非共有サーバー)が、いずれかのクライアントの個々の測定値の値を学習せずに集約値を計算するのに役立つプロトコルとシステムを開発するためにチャーターされています。分散集約プロトコル(DAP)は、グループの主要な作業項目です。

At a high level, DAP uses a combination of cryptographic protection (in the form of secret sharing amongst non-colluding servers) to establish two contexts:

高レベルでは、DAPは暗号化保護の組み合わせを使用して(非colling的なサーバー間の秘密共有の形で)、2つのコンテキストを確立します。

* an "upload context" between clients and non-colluding aggregation servers (in which the servers are separated into "Helper" and "Leader" roles) wherein aggregation servers possibly learn client identity but nothing about their individual measurement reports; and

* クライアントと非共有の集約サーバー(サーバーが「ヘルパー」と「リーダー」の役割に分離されている」との間の「アップロードコンテキスト」は、アグリゲーションサーバーがクライアントのアイデンティティを学習する可能性がありますが、個々の測定レポートについては何も学習しません。そして

* a "collect context" wherein a collector learns aggregate measurement results and nothing about individual client data.

* コレクターが集計測定結果を学習し、個々のクライアントデータについて何も学習しない「コンテキストを収集」します。

   +-------------------------------------+--------------------+
   | Upload Context                      | Collect Context    |
   |                     +------------+  |                    |
   |              +----->|   Helper   |  |                    |
   | +--------+   |      +------------+  |                    |
   | |        +---+             ^        |   +-----------+    |
   | | Client |                 |        |   | Collector |    |
   | |        +---+             v        |   +-----+-----+    |
   | +--------+   |      +------------+  |         |          |
   |              +----->|   Leader   |<-----------+          |
   |                     +------------+  |                    |
   +-------------------------------------+--------------------+
        

Figure 8: Diagram of Contexts in DAP

図8:DAPのコンテキストの図

4. Applying Privacy Partitioning
4. プライバシーパーティションの適用

Applying privacy partitioning to an existing or new system or protocol requires the following steps:

プライバシーパーティションを既存または新しいシステムまたはプロトコルに適用するには、次の手順が必要です。

1. Identify the types of information used or exposed in a system or protocol, some of which can be used to identify a user or correlate to other contexts.

1. システムまたはプロトコルで使用または公開されている情報の種類を特定します。その一部は、ユーザーを識別するために使用したり、他のコンテキストと相関したりすることができます。

2. Partition data to minimize the amount of user-identifying or correlatable information in any given context to only include what is necessary for that context and prevent the sharing of data across contexts wherever possible.

2. パーティションデータは、特定のコンテキストでユーザー識別化または相関可能な情報の量を最小化して、そのコンテキストに必要なもののみを含め、可能な限りコンテキスト間でデータの共有を防止します。

The most impactful types of information to partition are (a) user-identifying information, such as user identifiers (including account names or IP addresses) that can be linked and (b) non-user-identifying information (including content a user generates or accesses), which can be often sensitive when combined with a user identifier.

パーティションへの最もインパクトのあるタイプの情報は、(a)リンクできるユーザー識別子(アカウント名またはIPアドレスを含む)や(b)非ユーザー識別情報(ユーザーが生成するコンテンツまたはコンテンツを含むまたはアクセス)、ユーザー識別子と組み合わせると、しばしば敏感になります。

In this section, we discuss considerations for partitioning these types of information.

このセクションでは、これらのタイプの情報を分割するための考慮事項について説明します。

4.1. User-Identifying Information
4.1. ユーザー識別情報

User data can itself be user-identifying, in which case it should be treated as an identifier. For example, Oblivious DoH and Oblivious HTTP partition the client IP address and client request data into separate contexts, thereby ensuring that no entity beyond the client can observe both. Collusion across contexts could reverse this partitioning and cause non-user-identifying information to become user-identifying information. For example, in CONNECT proxy systems that use QUIC, the QUIC connection ID is inherently non-user-identifying since it is generated randomly (Section 5.1 of [QUIC]). However, if combined with another context that has user-identifying information such as the client IP address, the QUIC connection ID can become user-identifying information.

ユーザーデータ自体はユーザー識別化である可能性があります。その場合、識別子として扱う必要があります。たとえば、忘れられないDOHと忘却のHTTPパーティションクライアントIPアドレスとクライアントの要求データを個別のコンテキストに要求するため、クライアント以外のエンティティが両方を観察できないようにします。コンテキスト全体の共謀は、このパーティションを逆転させ、非ユーザーを特定する情報をユーザー識別情報にすることができます。たとえば、QUICを使用する接続プロキシシステムでは、QUIC接続IDはランダムに生成されるため、本質的に非ユーザー識別化です([QUIC]のセクション5.1)。ただし、クライアントIPアドレスなどのユーザーを識別する情報を持つ別のコンテキストと組み合わせると、QUIC接続IDはユーザー識別情報になります。

Some information is innate to client user-agents, including details of the network location and implementation of protocols in hardware and software. This information can be used to construct user-identifying information, which is a process sometimes referred to as "fingerprinting". Depending on the application and system constraints, users may not be able to prevent fingerprinting in privacy contexts. As a result, fingerprinting information, when combined with non-user-identifying user data, could turn that otherwise innocuous user data into user-identifying information.

一部の情報は、ネットワークの場所の詳細やハードウェアとソフトウェアのプロトコルの実装など、クライアントのユーザーエージェントにとって生来的です。この情報は、「フィンガープリント」と呼ばれるプロセスであるユーザー識別情報を構築するために使用できます。アプリケーションとシステムの制約に応じて、ユーザーはプライバシーコンテキストでの指紋の防止を防ぐことができない場合があります。その結果、フィンガープリント情報は、使用されていないユーザーデータと組み合わせると、その場合は無害なユーザーデータをユーザー識別情報に変える可能性があります。

4.2. Selecting Client Identifiers
4.2. クライアント識別子の選択

The selection of client identifiers used in the contexts used for privacy partitioning has a large impact on the effectiveness of partitioning. Identifier selection can either undermine or improve the value of partitioning. Generally, each context involves some form of client identifier, which might be directly associated with a client identity but can also be a pseudonym or a random one-time identifier.

プライバシーパーティション化に使用されるコンテキストで使用されるクライアント識別子の選択は、パーティション化の有効性に大きな影響を与えます。識別子の選択は、パーティション化の価値を損なうか改善することができます。一般に、各コンテキストには何らかの形のクライアント識別子が含まれます。クライアント識別子は、クライアントのアイデンティティに直接関連付けられている可能性がありますが、仮名またはランダムな1回限りの識別子でもあります。

Using the same client identifier across multiple contexts can partly or wholly undermine the effectiveness of partitioning by allowing the various contexts to be linked back to the same client. For example, if a client uses proxies as described in Section 3.1 to separate connections but uses the same email address to authenticate to two servers in different contexts, those actions can be linked back to the same client. While this does not undermine all of the partitioning achieved through proxying (the contexts along the network path still cannot correlate the client identity and what servers are being accessed), the overall effect of partitioning is diminished.

複数のコンテキストで同じクライアント識別子を使用すると、さまざまなコンテキストを同じクライアントにリンクできるようにすることで、パーティション化の有効性を部分的または完全に損なう可能性があります。たとえば、セクション3.1で説明されているようにプロキシを使用して接続を分離するが、同じメールアドレスを使用して異なるコンテキストで2つのサーバーに認証する場合、それらのアクションは同じクライアントにリンクできます。これは、プロキシを通じて達成されるすべてのパーティション化を損なうことはありませんが(ネットワークパスに沿ったコンテキストは、クライアントのアイデンティティとアクセスするサーバーをまだ相関させることはできません)、パーティション化の全体的な効果は減少します。

When possible, using per-context unique client identifiers provides better partitioning properties. For example, a client can use a unique email address as an account identifier with each different server it needs to log into. The same approach can apply across many layers, as seen with per-network MAC address randomization [RANDOM-MAC], use of multiple temporary IP addresses across connections and over time [RFC8981], and use of unique per-subscription identifiers for HTTP Web Push [RFC8030].

可能であれば、コンテキストごとの一意のクライアント識別子を使用すると、より良いパーティション化プロパティが提供されます。たとえば、クライアントは、ログインする必要がある各サーバーを持つアカウント識別子として一意のメールアドレスを使用できます。ネットワークごとのMACアドレスのランダム化[ランダムMAC]、接続間での複数の一時的なIPアドレスの使用[RFC8981]、およびHTTP Webの一意のサブスクリプション識別子の使用で見られるように、同じアプローチが多くのレイヤーに適用できます。プッシュ[RFC8030]。

4.3. Incorrect or Incomplete Partitioning
4.3. 不正または不完全なパーティション

Privacy partitioning can be applied incorrectly or incompletely. Contexts may contain more user-identifying information than desired, or some information in a context may be more user-identifying than intended. Moreover, splitting user-identifying information over multiple contexts has to be done with care, as creating more contexts can increase the number of entities that need to be trusted to not collude. Nevertheless, partitions can help improve the client's privacy posture when applied carefully.

プライバシーの分割は、誤ってまたは不完全に適用できます。コンテキストには、希望するよりも多くのユーザー識別情報が含まれる場合があります。または、コンテキストの一部の情報は、意図したものよりもユーザー識別化が多い場合があります。さらに、より多くのコンテキストを作成すると、共謀しないと信頼する必要があるエンティティの数を増やすと、複数のコンテキストでユーザーを特定する情報を分割する必要があります。それにもかかわらず、パーティションは、慎重に適用すると、クライアントのプライバシー姿勢を改善するのに役立ちます。

Evaluating and qualifying the resulting privacy of a system or protocol that applies privacy partitioning depends on the contexts that exist and the types of user-identifying information in each context. Such evaluation is helpful for identifying ways in which systems or protocols can improve their privacy posture. For example, consider DNS over HTTPS [DOH], which produces a single context that contains both the client IP address and client query. One application of privacy partitioning results in ODoH, which produces two contexts, one with the client IP address and the other with the client query.

プライバシーパーティションを適用するシステムまたはプロトコルの結果として生じるプライバシーの評価と適格は、存在するコンテキストと各コンテキストでのユーザー識別情報の種類によって異なります。このような評価は、システムまたはプロトコルがプライバシーの姿勢を改善できる方法を特定するのに役立ちます。たとえば、クライアントIPアドレスとクライアントクエリの両方を含む単一のコンテキストを生成するHTTPS [DOH]を介してDNSを検討します。プライバシーパーティション化の1つのアプリケーションは、2つのコンテキストを生成するODOHになります。1つはクライアントIPアドレスを使用し、もう1つはクライアントクエリを使用します。

4.4. Selecting Information within a Context
4.4. コンテキスト内で情報を選択します

Recognizing potential applications of privacy partitioning requires identifying the contexts in use, the information exposed in a context, and the intent of information exposed in a context. Unfortunately, determining what information to include in a given context is a non-trivial task. In principle, the information contained in a context should be fit for purpose. As such, new systems or protocols developed should aim to ensure that all information exposed in a context serves as few purposes as possible. Designing with this principle from the start helps mitigate issues that arise if users of the system or protocol inadvertently ossify on the information available in contexts. Legacy systems that have ossified on information available in contexts may be difficult to change in practice. As an example, many existing anti-abuse systems depend on some client identifier, such as the client IP address, coupled with client data to provide value. Partitioning contexts in these systems such that they no longer determine the client identity requires new solutions to the anti-abuse problem.

プライバシーパーティションの潜在的なアプリケーションを認識するには、使用中のコンテキスト、コンテキストで公開された情報、およびコンテキストで公開される情報の意図を特定する必要があります。残念ながら、特定のコンテキストにどの情報を含めるかを決定することは、自明ではないタスクです。原則として、コンテキストに含まれる情報は目的に適合する必要があります。そのため、開発された新しいシステムまたはプロトコルは、コンテキストで公開されているすべての情報が可能な限り少ない目的を果たすことを保証することを目的とする必要があります。最初からこの原則を使用して設計することで、コンテキストで利用可能な情報を不注意に誤って閉じるシステムまたはプロトコルのユーザーが発生する問題を軽減するのに役立ちます。コンテキストで利用可能な情報で骨化したレガシーシステムは、実際には変更するのが難しい場合があります。例として、多くの既存の虐待防止システムは、クライアントIPアドレスなどのクライアント識別子に依存し、クライアントデータと相まって価値を提供します。これらのシステムでコンテキストを分割するので、クライアントのIDがもはや乱用の問題に対する新しいソリューションが必要になります。

5. Limits of Privacy Partitioning
5. プライバシーパーティションの制限

Privacy partitioning aims to increase user privacy, though, as stated, it is merely one of possibly many architectural tools that help manage privacy risks. Understanding the limits of its benefits requires a more comprehensive analysis of the system in question. Such analysis also helps determine whether or not the tool has been applied correctly. In particular, the value of privacy partitioning depends on numerous factors, including, though not limited to, the following:

プライバシーの分割は、ユーザーのプライバシーを増やすことを目的としていますが、述べたように、プライバシーのリスクの管理に役立つおそらく多くのアーキテクチャツールの1つにすぎません。その利点の限界を理解するには、問題のシステムのより包括的な分析が必要です。このような分析は、ツールが正しく適用されているかどうかを判断するのにも役立ちます。特に、プライバシーパーティションの価値は、以下を含むものですが、以下を含む多くの要因に依存します。

* non-collusion across contexts and

* コンテキストを越えて非委任

* the type of information exposed in each context.

* 各コンテキストで公開される情報のタイプ。

We elaborate on each in the following sections.

次のセクションでそれぞれについて詳しく説明します。

5.1. Violations by Collusion
5.1. 共謀による違反

Privacy partitions ensure that only the client, i.e., the entity that is responsible for partitioning, can independently link all user-specific information. No other entity individually knows how to link all the user-specific information as long as they do not collude with each other across contexts. Thus, non-collusion is a fundamental requirement for privacy partitioning to offer meaningful privacy for end users. In particular, the trust relationships that users have with different parties affect the resulting impact on the user's privacy.

プライバシーパーティションにより、クライアント、つまりパーティションを担当するエンティティがすべてのユーザー固有の情報を独立してリンクできるようになります。他のエンティティが、コンテキストを越えて互いに共謀しない限り、すべてのユーザー固有の情報をリンクする方法を個別に知っていることはありません。したがって、非共謀は、エンドユーザーに有意義なプライバシーを提供するためのプライバシー分割の基本的な要件です。特に、ユーザーが異なる関係者と持つ信頼関係は、結果として生じるユーザーのプライバシーへの影響に影響します。

As an example, consider Oblivious HTTP (OHTTP), wherein the Oblivious Relay knows the client identity but not the client data, and the Oblivious Gateway knows the client data but not the client identity. If the Oblivious Relay and Gateway collude, they can link client identity and data together for each request and response transaction by simply observing requests in transit.

例として、気まぐれなHTTP(OHTTP)を検討します。これは、クライアントデータではなくクライアントのアイデンティティを認識し、気まぐれなゲートウェイはクライアントのデータを知っているが、クライアントのIDではなく、クライアントのアイデンティティを知っています。気まぐれなリレーとゲートウェイが共謀する場合、輸送中のリクエストを単純に観察することで、各リクエストと応答のトランザクションごとにクライアントのIDとデータを一緒にリンクできます。

It is not currently possible to guarantee with technical protocol measures that two entities are not colluding. Even if two entities do not collude directly, if both entities reveal information to other parties, it will not be possible to guarantee that the information won't be combined. However, there are some mitigations that can be applied to reduce the risk of collusion happening in practice:

現在、2つのエンティティが共謀していないことを技術的なプロトコル測定で保証することは不可能です。2つのエンティティが直接共謀しない場合でも、両方のエンティティが他の関係者に情報を公開する場合、情報が組み合わされないことを保証することはできません。ただし、実際に発生する共謀のリスクを減らすために適用できるいくつかの緩和があります。

* Policy and contractual agreements between entities involved in partitioning to disallow logging or sharing of data, along with auditing to validate that the policies are being followed. For cases where logging is required (such as for service operation), such logged data should be minimized and anonymized to prevent it from being useful for collusion.

* データのロギングまたは共有を禁止するための分割に関与するエンティティ間のポリシーと契約上の合意と、ポリシーが守られていることを検証するための監査とともに。ロギングが必要な場合(サービス操作など)、そのような記録されたデータを最小化して匿名化して、共謀に役立つことを防ぐ必要があります。

* Protocol requirements to make collusion or data sharing more difficult.

* 共謀またはデータ共有をより困難にするためのプロトコル要件。

* Adding more partitions and contexts to make it increasingly difficult to collude with enough parties to recover identities.

* パーティションとコンテキストを追加して、アイデンティティを回復するのに十分なパーティーと共謀することをますます困難にします。

5.2. Violations by Insufficient or Incorrect Partitioning
5.2. 不十分または不正確なパーティション化による違反

Insufficient or incorrect application of privacy partitioning can lessen or negate benefits to users. In particular, it is possible to apply partitioning in a way that is either insufficient or incorrect for meaningful privacy. For example, partitioning at one layer in the stack can fail to account for linkable information at different layers in the stack. Privacy violations can stem from partitioning failures in a multitude of ways, some of which are described in the following sections.

プライバシーパーティション化の不十分または誤った適用は、ユーザーにとって利益を軽減または無効にする可能性があります。特に、意味のあるプライバシーに対して不十分または間違っている方法でパーティション化を適用することが可能です。たとえば、スタック内の1つのレイヤーでのパーティションは、スタック内の異なるレイヤーでのリンク可能な情報を考慮していない可能性があります。プライバシー違反は、多くの方法で障害を分割することに起因する可能性があり、その一部は以下のセクションで説明されています。

5.2.1. Violations from Application Information
5.2.1. アプリケーション情報からの違反

Partitioning at the network layer can be insufficient when the application layer fails to properly partition. As an example, consider OHTTP used for the purposes of hiding client-identifying information for a browser telemetry system. It is entirely possible for reports in such a telemetry system to contain both client-specific telemetry data, such as information about their specific browser instance, as well as client-identifying information, such as the client's email address, location, or IP address. Even though OHTTP separates the client IP address from the server via a relay, the server can still learn this directly from the client's telemetry report.

ネットワークレイヤーでのパーティションは、アプリケーションレイヤーが適切にパーティションをかけない場合、不十分です。例として、ブラウザテレメトリーシステムのクライアントを特定する情報を隠すために使用されるOHTTPを検討してください。このようなテレメトリシステムのレポートは、特定のブラウザインスタンスに関する情報や、クライアントの電子メールアドレス、場所、IPアドレスなどのクライアントを特定する情報など、クライアント固有のテレメトリデータの両方を含めることができます。OHTTPはリレーを介してクライアントIPアドレスをサーバーから分離しますが、サーバーはクライアントのテレメトリレポートから直接これを学習できます。

5.2.2. Violations from Network Information
5.2.2. ネットワーク情報からの違反

It is also possible to inadequately partition at the network layer. As an example, consider both TLS Encrypted Client Hello (ECH) [TLS-ESNI] and VPNs. ECH uses cryptographic protection (encryption) to hide information from unauthorized parties, but both clients and servers (two entities) can link user-specific data to a user-specific identifier (IP address). Similarly, while VPNs hide identifiers from end servers, the VPN server can still see the identifiers of both the client and server. Applying privacy partitioning would advocate for at least two additional entities to avoid revealing both identity (who) and user actions (what) from each involved party.

ネットワークレイヤーでのパーティションを不十分にすることもできます。例として、TLS暗号化されたクライアントHello(ECH)[TLS-ESNI]とVPNの両方を検討してください。ECHは暗号化保護(暗号化)を使用して不正な関係者から情報を非表示にしますが、クライアントとサーバー(2つのエンティティ)の両方がユーザー固有のデータをユーザー固有の識別子(IPアドレス)にリンクできます。同様に、VPNSはエンドサーバーから識別子を非表示にしているが、VPNサーバーはクライアントとサーバーの両方の識別子を見ることができる。プライバシーパーティションを適用すると、少なくとも2つの追加のエンティティを提唱して、関係する各当事者からアイデンティティ(WHO)とユーザーアクション(何)の両方を明らかにしないようにします。

5.2.3. Violations from Side Channels
5.2.3. サイドチャネルからの違反

Beyond the information that is intentionally revealed by applying privacy partitioning, it is also possible for the information to be unintentionally revealed through side channels. For example, in the two-hop proxy arrangement described in Section 3.1, Proxy A sees and proxies TLS data between the client and Proxy B. While it does not directly learn information that Proxy B sees, it does learn information through metadata, such as the timing and size of encrypted data being proxied. Traffic analysis could be exploited to learn more information from such metadata, including, in some cases, application data that Proxy A was never meant to see. Although privacy partitioning does not obviate such attacks, it does increase the cost necessary to carry them out in practice. See Section 7 for more discussion on this topic.

プライバシーパーティションを適用することで意図的に明らかにされる情報を超えて、情報をサイドチャネルを通じて意図せずに明らかにすることも可能です。たとえば、セクション3.1で説明されている2ホッププロキシの配置では、プロキシAがクライアントとプロキシBの間でTLSデータが表示され、プロキシBが表示される情報を直接学習していませんが、メタデータを通じて情報を学習します。暗号化されたデータのタイミングとサイズがプロキシ化されています。交通分析を悪用して、そのようなメタデータから詳細情報を学ぶことができます。場合によっては、プロキシAが表示されることのないアプリケーションデータなどです。プライバシーの分割はそのような攻撃を回避しませんが、実際にそれらを実行するために必要なコストが増加します。このトピックの詳細については、セクション7を参照してください。

5.2.4. Identifying Partitions
5.2.4. パーティションの識別

While straightforward violations of user privacy that stem from insufficient partitioning may seem straightforward to mitigate, it remains an open problem to rigorously determine what information needs to be partitioned for meaningful privacy and to implement it in a way that achieves the desired properties. In essence, it is difficult to determine whether a certain set of information reveals "too much" about a specific user, and it is similarly challenging to determine whether or not an implementation of partitioning works as intended. There is ample evidence of data being assumed "private" or "anonymous" but, in hindsight, winds up revealing too much information such that it allows one to link back to individual clients; see [DataSetReconstruction] and [CensusReconstruction] for more examples of this in the real world.

不十分なパーティション化に起因するユーザープライバシーの簡単な違反は、軽減するために簡単に思えるかもしれませんが、意味のあるプライバシーのためにどの情報をパーティション化する必要があるかを厳密に決定し、望ましいプロパティを達成する方法で実装することはオープンな問題のままです。本質的に、特定の情報セットが特定のユーザーについて「多すぎる」かどうかを判断することは困難であり、パーティション化の実装が意図したとおりに機能するかどうかを判断することも同様に困難です。データが「プライベート」または「匿名」と想定されているという十分な証拠がありますが、後知恵では、個々のクライアントに戻ることができるように、あまりにも多くの情報を明らかにしています。現実の世界では、[DataSetReconstruction]および[CensusReconstruction]を参照してください。

6. Partitioning Impacts
6. パーティションの影響

Applying privacy partitioning to communication protocols leads to a substantial change in communication patterns. For example, instead of sending traffic directly to a service, essentially all user traffic is routed through a set of intermediaries, possibly adding more end-to-end round trips in the process (depending on the system and protocol). This has a number of practical implications, described below.

プライバシーパーティションを通信プロトコルに適用すると、通信パターンが大幅に変化します。たとえば、トラフィックをサービスに直接送信する代わりに、基本的にすべてのユーザートラフィックは、一連の仲介者を介してルーティングされ、プロセスにエンドツーエンドのラウンド旅行を追加する可能性があります(システムとプロトコルに応じて)。これには、以下で説明する多くの実際的な意味があります。

1. Service operational or management challenges: Information that is usually passively observed in the network or metadata that has been unintentionally revealed to the service provider will no longer be available; for example, this can impact existing security procedures such as application rate limiting or DDoS mitigation. Current network management techniques deployed often rely on information that is exposed by typical traffic that lacks guarantees or accuracy.

1. サービスの運用または管理の課題:通常、ネットワークまたはメタデータで受動的に観察される情報は、サービスプロバイダーに意図せずに明らかにされたメタデータは、もはや利用できなくなります。たとえば、これは、申請率の制限やDDOS緩和などの既存のセキュリティ手順に影響を与える可能性があります。展開されている現在のネットワーク管理手法は、保証または正確さのない典型的なトラフィックによって公開される情報に依存することがよくあります。

Privacy partitioning provides an opportunity for improvements in these management techniques by enabling active exchange of information with each entity in a privacy-preserving way and requesting exactly the information needed for a specific task or function rather than relying on information derived from a limited set of unintentionally revealed information that cannot be guaranteed to be available and may be removed in the future.

プライバシーパーティション化は、各エンティティとの積極的な情報交換をプライバシーに基づいて提供し、意図せずに派生した情報から派生した情報に依存するのではなく、特定のタスクまたは機能に必要な情報を正確に要求することにより、これらの管理手法の改善の機会を提供します。公開された情報は、利用可能であることを保証できず、将来削除される可能性があります。

2. Varying performance effects and costs: Depending on how context separation is done, privacy partitioning may affect application performance. As an example, Privacy Pass introduces an entire end-to-end round trip to issue a token before it can be redeemed, thereby decreasing performance. In contrast, while systems like CONNECT proxying may seem like they would reduce performance, oftentimes the highly optimized nature of proxy-to-proxy paths leads to improved performance.

2. パフォーマンス効果とコストの変化:コンテキスト分離の完了方法に応じて、プライバシーパーティション化はアプリケーションのパフォーマンスに影響を与える可能性があります。例として、プライバシーパスでは、エンドツーエンドのラウンドトリップ全体を導入して、トークンを引き換える前にトークンを発行し、パフォーマンスが低下します。対照的に、コネクトプロキシなどのシステムはパフォーマンスを低下させるように見えるかもしれませんが、多くの場合、プロキシからプロキシへのパスの高度に最適化された性質により、パフォーマンスが向上します。

Reduced performance can be a reason that protocols and deployments will not apply privacy partitioning. For example, HTTPS connection reuse (Section 9.1.1 of [HTTP2]) allows clients to use an existing HTTPS session created for one origin to interact with different origins (provided that the original origin is authoritative for these alternative origins). Reusing connections saves the cost of connection establishment but means that the server can now link the client's activity with these two or more origins together. Applying privacy partitioning would prevent this, but typically at the cost of performance.

パフォーマンスの低下は、プロトコルと展開がプライバシーパーティションを適用しない理由になる可能性があります。たとえば、HTTPS接続の再利用([http2]のセクション9.1.1)を使用すると、クライアントは1つの起源に対して作成された既存のHTTPSセッションを使用して、異なる起源と相互作用することを可能にします(元の起源がこれらの代替起源に対して権威ある)。接続を再利用すると、接続確立のコストが節約されますが、サーバーがクライアントのアクティビティをこれら2つ以上の起源と一緒にリンクできるようにすることを意味します。プライバシーパーティションを適用すると、これが防止されますが、通常はパフォーマンスの犠牲を払っています。

In general, while performance and privacy trade-offs are often cast as a zero-sum game, in practice this is often not the case. The relationship between privacy and performance varies depending on a number of related factors, such as application characteristics, network path properties, and so on.

一般に、パフォーマンスとプライバシーのトレードオフはしばしばゼロサムゲームとしてキャストされますが、実際にはこれはしばしばそうではありません。プライバシーとパフォーマンスの関係は、アプリケーションの特性、ネットワークパスプロパティなど、多くの関連要因によって異なります。

3. Increased attack surface: Even in the event that information is adequately partitioned across non-colluding parties, the resulting effects on the end user may not always be positive. For example, using OHTTP as a basis for illustration, consider a hypothetical scenario where the Oblivious Gateway has an implementation flaw that causes all of its decrypt requests to be inappropriately logged in a public or otherwise compromised location. Moreover, assume that the Target Resource for which these requests are destined does not have such an implementation flaw. Applications that use OHTTP with this flawed Oblivious Gateway to interact with the Target Resource risk their user request information being made public, albeit in a way that is decoupled from user identifying information, whereas applications that do not use OHTTP to interact with the Target Resource do not risk this type of disclosure.

3. 攻撃面の増加:情報が非共通の当事者全体で適切に分割されている場合でも、エンドユーザーへの結果の影響は必ずしも肯定的ではない場合があります。たとえば、OHTTPをイラストの基礎として使用すると、忘却のゲートウェイにすべての復号化要求が公開またはその他の侵害された場所で不適切に記録されるようにする実装欠陥がある仮想シナリオを検討してください。さらに、これらの要求が運命づけられているターゲットリソースには、そのような実装の欠陥がないと仮定します。この欠陥のあるOHTTPを使用するアプリケーションは、ターゲットリソースと対話するために忘れられないゲートウェイを使用して、ユーザーの識別情報から切り離された方法ではありますが、ターゲットリソースと対話しないアプリケーションでは、ユーザーの要求情報が公開されていますが、ユーザー要求情報が公開されています。このタイプの開示を危険にさらすことはありません。

4. Centralization: Depending on the protocol and system, as well as the desired privacy properties, the use of partitioning may inherently force centralization to a selected set of trusted participants. As an example, the impact of OHTTP on end-user privacy generally increases proportionally to the number of users that exist behind a given Oblivious Relay. That is, the probability of an Oblivious Gateway determining the client associated with a request forwarded through an Oblivious Relay decreases as the number of possible clients behind the Oblivious Relay increases. This trade-off encourages the centralization of the Oblivious Relays.

4. 集中化:プロトコルとシステム、および目的のプライバシープロパティに応じて、パーティション化の使用は、選択された信頼できる参加者のセットに本質的に集中化を強制する場合があります。例として、End-Userのプライバシーに対するOHTTPの影響は、一般に、特定の忘却のリレーの背後に存在するユーザーの数に比例して増加します。つまり、気づかないリレーの背後にある可能性のあるクライアントの数が増加するにつれて、忘れられないリレーを介して転送されたリクエストに関連付けられたクライアントを決定する忘れられないゲートウェイの確率が減少します。このトレードオフは、忘れられないリレーの集中化を促進します。

7. Security Considerations
7. セキュリティに関する考慮事項

Section 5 discusses some of the limitations of privacy partitioning in practice and advocates for holistic analysis to understand the extent to which privacy partitioning offers meaningful privacy improvements. Applied correctly, partitioning helps improve an end-user's privacy posture, thereby making violations harder to do via technical, social, or policy means. For example, side channels such as traffic analysis [FINGERPINT] or timing analysis are still possible and can allow an unauthorized entity to learn information about a context they are not a participant of. Proposed mitigations for these types of attacks, e.g., padding application traffic or generating fake traffic, can be very expensive and are therefore not typically applied in practice. Nevertheless, privacy partitioning moves the threat vector from one that has direct access to user-specific information to one that requires more effort, e.g., computational resources, to violate end-user privacy.

セクション5では、プライバシーの分割の制限のいくつかについて、実際にはプライバシー分析を支持して、プライバシーパーティションが有意義なプライバシーの改善を提供する程度を理解しています。正しく適用されると、パーティション化はエンドユーザーのプライバシー姿勢を改善するのに役立ち、それにより、技術的、社会的、または政策手段を介して違反をより困難にします。たとえば、トラフィック分析[フィンガーピント]やタイミング分析などのサイドチャネルは依然として可能であり、不正なエンティティが参加者ではないコンテキストに関する情報を学習できるようにすることができます。これらのタイプの攻撃のために提案された緩和、たとえば、アプリケーショントラフィックや偽のトラフィックの発生など、非常に高価な場合があるため、実際には適用されません。それにもかかわらず、プライバシー分割は、脅威ベクトルを、ユーザー固有の情報に直接アクセスできるものから、例えば計算リソース、エンドユーザーのプライバシーに違反するためにより多くの労力を必要とするものに移動します。

8. IANA Considerations
8. IANAの考慮事項

This document has no IANA actions.

このドキュメントにはIANAアクションがありません。

9. Informative References
9. 参考引用
   [CensusReconstruction]
              United States Consensus Bureau, "The Census Bureau's
              Simulated Reconstruction-Abetted Re-identification Attack
              on the 2010 Census", May 2021,
              <https://www.census.gov/data/academy/webinars/2021/
              disclosure-avoidance-series/simulated-reconstruction-
              abetted-re-identification-attack-on-the-2010-census.html>.
        
   [CONNECT-IP]
              Pauly, T., Ed., Schinazi, D., Chernyakhovsky, A.,
              Kühlewind, M., and M. Westerlund, "Proxying IP in HTTP",
              RFC 9484, DOI 10.17487/RFC9484, October 2023,
              <https://www.rfc-editor.org/info/rfc9484>.
        
   [CONNECT-UDP]
              Schinazi, D. and L. Pardue, "HTTP Datagrams and the
              Capsule Protocol", RFC 9297, DOI 10.17487/RFC9297, August
              2022, <https://www.rfc-editor.org/info/rfc9297>.
        
   [DataSetReconstruction]
              Narayanan, A. and V. Shmatikov, "Robust De-anonymization
              of Large Sparse Datasets", IEEE Symposium on Security and
              Privacy, DOI 10.1109/sp.2008.33, May 2008,
              <https://doi.org/10.1109/sp.2008.33>.
        
   [DECOUPLING]
              Schmitt, P., Iyengar, J., Wood, C., and B. Raghavan, "The
              decoupling principle: a practical privacy framework",
              Proceedings of the 21st ACM Workshop on Hot Topics in
              Networks, DOI 10.1145/3563766.3564112, November 2022,
              <https://doi.org/10.1145/3563766.3564112>.
        
   [DOH]      Hoffman, P. and P. McManus, "DNS Queries over HTTPS
              (DoH)", RFC 8484, DOI 10.17487/RFC8484, October 2018,
              <https://www.rfc-editor.org/info/rfc8484>.
        
   [FINGERPINT]
              Goldberg, I., Wang, T., and C. A. Wood, "Network-Based
              Website Fingerprinting", Work in Progress, Internet-Draft,
              draft-irtf-pearg-website-fingerprinting-01, 8 September
              2020, <https://datatracker.ietf.org/doc/html/draft-irtf-
              pearg-website-fingerprinting-01>.
        
   [HPKE]     Barnes, R., Bhargavan, K., Lipp, B., and C. Wood, "Hybrid
              Public Key Encryption", RFC 9180, DOI 10.17487/RFC9180,
              February 2022, <https://www.rfc-editor.org/info/rfc9180>.
        
   [HTTP2]    Thomson, M., Ed. and C. Benfield, Ed., "HTTP/2", RFC 9113,
              DOI 10.17487/RFC9113, June 2022,
              <https://www.rfc-editor.org/info/rfc9113>.
        
   [ODOH]     Kinnear, E., McManus, P., Pauly, T., Verma, T., and C.A.
              Wood, "Oblivious DNS over HTTPS", RFC 9230,
              DOI 10.17487/RFC9230, June 2022,
              <https://www.rfc-editor.org/info/rfc9230>.
        
   [OHTTP]    Thomson, M. and C. A. Wood, "Oblivious HTTP", RFC 9458,
              DOI 10.17487/RFC9458, January 2024,
              <https://www.rfc-editor.org/info/rfc9458>.
        
   [QUIC]     Iyengar, J., Ed. and M. Thomson, Ed., "QUIC: A UDP-Based
              Multiplexed and Secure Transport", RFC 9000,
              DOI 10.17487/RFC9000, May 2021,
              <https://www.rfc-editor.org/info/rfc9000>.
        
   [RANDOM-MAC]
              Zuniga, JC., Bernardos, CJ., Ed., and A. Andersdotter,
              "Randomized and Changing MAC Address state of affairs",
              Work in Progress, Internet-Draft, draft-ietf-madinas-mac-
              address-randomization-12, 28 February 2024,
              <https://datatracker.ietf.org/doc/html/draft-ietf-madinas-
              mac-address-randomization-12>.
        
   [RFC6973]  Cooper, A., Tschofenig, H., Aboba, B., Peterson, J.,
              Morris, J., Hansen, M., and R. Smith, "Privacy
              Considerations for Internet Protocols", RFC 6973,
              DOI 10.17487/RFC6973, July 2013,
              <https://www.rfc-editor.org/info/rfc6973>.
        
   [RFC8030]  Thomson, M., Damaggio, E., and B. Raymor, Ed., "Generic
              Event Delivery Using HTTP Push", RFC 8030,
              DOI 10.17487/RFC8030, December 2016,
              <https://www.rfc-editor.org/info/rfc8030>.
        
   [RFC8981]  Gont, F., Krishnan, S., Narten, T., and R. Draves,
              "Temporary Address Extensions for Stateless Address
              Autoconfiguration in IPv6", RFC 8981,
              DOI 10.17487/RFC8981, February 2021,
              <https://www.rfc-editor.org/info/rfc8981>.
        
   [RFC9576]  Davidson, A., Iyengar, J., and C. A. Wood, "The Privacy
              Pass Architecture", RFC 9576, DOI 10.17487/RFC9576, June
              2024, <https://www.rfc-editor.org/info/rfc9576>.
        
   [TLS-ESNI] Rescorla, E., Oku, K., Sullivan, N., and C. A. Wood, "TLS
              Encrypted Client Hello", Work in Progress, Internet-Draft,
              draft-ietf-tls-esni-18, 4 March 2024,
              <https://datatracker.ietf.org/doc/html/draft-ietf-tls-
              esni-18>.
        
IAB Members at the Time of Approval
承認時のIABメンバー

Internet Architecture Board members at the time this document was approved for publication were:

インターネットアーキテクチャ委員会メンバーこの文書が公開されたときに承認された時点は次のとおりです。

Dhruv Dhody

dhruv dhody

Lars Eggert

ラース・エガート

Wes Hardaker

ウェス・ハーダーカー

Cullen Jennings

カレン・ジェニングス

Mallory Knodel

マロリーノーデル

Suresh Krishnan

Suresh Krishnan

Mirja Kühlewind

MirjaKühlewind

Tommy Pauly

トミーポーリー

Alvaro Retana

Alvaro Retana

David Schinazi

デビッド・シナジ

Christopher A. Wood

クリストファー・A・ウッド

Qin Wu

Qin Wu

Jiankang Yao

Jiankang Yao

Acknowledgments
謝辞

We would like to thank Martin Thomson, Eliot Lear, Mark Nottingham, Niels ten Oever, Vittorio Bertola, Antoine Fressancourt, Cullen Jennings, and Dhruv Dhody for their reviews and feedback.

マーティン・トムソン、エリオット・リア、マーク・ノッティンガム、ニールス・テン・オーバー、ヴィットリオ・ベルトラ、アントワーヌ・フレッサンクール、カレン・ジェニングス、ドゥルフ・ドディのレビューとフィードバックに感謝します。

Authors' Addresses
著者のアドレス
   Mirja Kühlewind
   Email: mirja.kuehlewind@ericsson.com
        
   Tommy Pauly
   Email: tpauly@apple.com
        
   Christopher A. Wood
   Email: caw@heapingbits.net