Топ-менеджеры Apple не скупятся на хвалебные прилагательные во время презентаций. На WWDC 2016 привычные уже «magical», «incredible», «amazing» получили пополнение в виде странной, на первый взгляд, формулировки «differential privacy». Объясняем, как Apple собирается собирать пользовательские данные, не уступая звания ведущего игрока в области безопасности.
Хорошие сервисы требуют машинного обучения, а оно — пользовательских данных. Такая мысль давно уже не звучит диковинно, многочисленные приложения постоянно собирают и анализируют наши перемещения, активность, сон и покупки. Чтобы не уступить в соревновании с Google и другими сервисными компаниями, Apple приходится принимать правила игры. И iOS 10 будет активно собирать данные. Но не ваши данные. Звучит парадоксально, но за такой формулировкой скрывается целое направление криптографии и последние разработки в области анализа информации. Старший вице-президент по маркетингу Крейг Федериги на кейноуте WWDC 2016 неоднократно напоминал, что компания не посягает на пользовательские данные. Пора наконец внести ясность в эти туманные и противоречивые заявления. Итак, что будет делать Apple?
Компания даст дорогу концепции дифференциальной безопасности. Согласно её принципам, можно узнать как можно больше о группе пользователей, максимально ограничив использование личной информации каждого из них. Как и другие технологические гиганты, Apple продолжит прогонять через свои сервера гигантские массивы данных, но не получит возможности расшифровать их конкретное содержимое. Компания будет понимать, что люди говорят, делают и к чему испытывают симпатию. Но содержание этих информационных блоков будет закрыто тремя печатями. В их роли выступают конкретные технологии. Первая — так называемый hashing. Эта технология превращает передаваемые на сервера данные в недоступную для простого понимания вязь из случайных символов. Обычно она используется для хранения баз данных с паролями и усложняет взлом. Математические операции, которые задают последовательность преобразования символов, нельзя (очень проблематично) запустить в обратном порядке. Правда, это действительно только если владелец информации не поленится использовать продвинутые алгоритмы для шифрования. В ином случае интерпретировать данные в читабельную форму все же будет возможно — так случилось со 177 млн паролями от аккаунтов в LinkedIn. Их похитили и выставили на продажу хакеры, даже несмотря на применение хашинга при формировании базы данных. Отголоски той утечки гремят до сих пор — например, недавно подвергся взлому сам Марк Цукерберг, у которого угнали аккаунты в Twitter и Pinterest. Позже СМИ узнали, что глава Facebook использовал пароль Dadada.
Но одним хашингом дело не ограничится. Безопасность должны обеспечить и с помощью метода «subsampling». Он подразумевает выборочное использование информации. Последним элементом криптографического конструктора станет технология внедрения информационного шума. Она «размывает» целевые данные нерелевантными показателями. И подробных сведений о внутренней кухне в Apple не дают, эмпирически уже можно представить реализацию этой функции на примере умной системы клавиатурных исправлений. Она называется QuickType и собирает информацию о том, что вы пишете, а затем отправляет информацию в Apple. По пути данные получают «шумовой впрыск» и полностью теряют персонализацию, а затем смешиваются с миллионами других информационных пакетов от других юзеров. Система мониторит их на предмет появления новых слов и затем помогает вводить их на каждом отдельном устройстве. Такая же последовательность действий будет применяться для процедуры эмоджификации, поиске Spotlight и iTunes.
Все это может звучать подозрительно, поскольку компания не отказывается от сбора информации. Но то, что Apple взялась за развитие новой концепции безопасности — большой шаг вперед для технологической индустрии, которая ежегодно терпит моральные и финансовые убытки от утечек данных. «Дифференциальная безопасность», при тщательной реализации, может если не уберечь от подобного, то хотя бы максимально усложнить хакерам жизнь. Хотя бы потому, что у компании не будет цельных пользовательских профилей, которые используют Google или Facebook для таргетинга рекламы и других задач.