Enhancing Privacy in Cookieless Web Advertising : A Comparative Study of Multi-Party Computation and Trusted Execution Environment Solutions for Private Attribution Reporting / Förbättra integriteten i cookieless webbannonsering : En jämförande studie av Multi-Party-beräkningar och pålitlig körmilslösningar för privat hänvisningsrapportering

Massy, Victor

January 2023

The end of third-party cookies has driven the advertising market to seek new solutions. Third-party cookies were widely used to track users’ online activities across websites. However, the growing concern for privacy has led web browsers to put an end to this practice. In this thesis, we explore two potential solutions for private attribution reporting - Multi-Party Computation (MPC) and Trusted Execution Environment (TEE). Attribution reporting is used by advertisers to measure the effectiveness of a marketing campaign. The underlying process requires identifying which advertisement led to a conversion. To test and compare these two technologies, we used the Interoperable Private Attribution (IPA) research prototype developed by Benjamin Case et al. for MPC, and developed our own models for TEE using Intel-SGX. Our TEE models have two distinct approaches: the first model uses EdgelessDB, a SQL database stored inside a secure enclave, which offers a high level of abstraction and flexibility for advertisers. The second model employs Gramine, a library that enables the compilation and execution of code inside a secure enclave. In this solution, the code is written in C and the input data is stored in an encrypted file. We compared the time performance and the security of these models. According to our results, the Gramine model is faster than the other models. Additionally, the security provided by IntelSGX, although dependent on a high level of trust in Intel services, is better than the security offered by an MPC protocol. Based on our tests, TEE is a better solution for attribution reporting. Nevertheless, MPC is a rapidly evolving technology, and new algorithms have been developed our tests. Further testing with a new implementation of MPC could be a potential avenue for future work. / Slutet på third-party cookies har tvingat annonsmarknaden att söka nya lösningar. Third-party cookies användes ofta för att spåra användares aktiviteter på olika webbplatser. Dock har den ökande oro för privatliv ledt webbläsare att avsluta denna praxis. I denna rapport utforskar vi två potentiella lösningar på problemet med attributrapportering - MultiParty Computation (MPC) och Trusted Execution Environment (TEE). Attributrapportering används av annonsörer för att mäta effektiviteten av en marknadsföringskampanj. Underliggande process kräver att identifiera vilken annons som ledde till en konvertering. För att testa och jämföra dessa två teknologier använde vi en Interoperable Private Attribution (IPA) forskningsprototyp utvecklad av Benjamin Case och al. för MPC och utvecklade våra egna modeller för TEE med Intel-SGX. Våra TEE-modeller har två distinkta tillvägagångssätt: den första modellen använder EdgelessDB, en SQL-databas som lagras inuti en säker miljö, vilket erbjuder en hög nivå av abstraktion och flexibilitet för annonsörer. Den andra modellen använder Gramine, en bibliotek som möjliggör kompilering och körning av kod inuti en säker miljö. I denna lösning är koden skriven i C och indata lagras i en krypterad fil. Vi jämförde prestanda och säkerhet för dessa modeller. Enligt våra resultat är Gramine-modellen snabbare än de andra modellerna. Dessutom är säkerheten som tillhandahålls av Intel-SGX, även om den är beroende av en hög nivå av förtroende för Intel-tjänster, bättre än säkerheten som erbjuds av en MPC-protokoll. Baserat på våra tester är TEE en bättre lösning för attributrapportering. Trots detta är MPC en snabbt utvecklande teknologi, och nya algoritmer har ut.

Multiparty computation

Trusted execution envrionment

Web advertising

Private attribution reporting

Flerpartsberäkning

Pålitlig exekveringsmiljö

Webannonsering

Privat attributionsrapportering

Computer Sciences

Datavetenskap (datalogi)

Evaluating Privacy Technologies in Blockchains for Financial Systems / Utvärdering av integritetsskyddsteknik i blockkedjor för finansiella system

Satheesha, Spoorthi

January 2021

The requirements of privacy have become a necessity in modern-day internet-based applications. This applies from traditional client-server applications to blockchain-based applications. Blockchains being a new domain for application development, the priority towards privacy beyond pseudo anonymity has been lacking. With financial applications built on blockchains entering mainstream adoption, and these applications handling sensitive data of users, it is useful to be able to understand how privacy technologies can help in ensuring that the user’s data privacy is maintained. This project addresses this by taking a simple financial transaction use case and applying various privacy technologies like Data Encryption, Zero-Knowledge Proofs, Trusted Execution Environments. Workflow and Component architecture is proposed for solutions based on these technologies and they are compared to identify which is a feasible solution for the use case. Trusted Execution Environments was concluded to be the best match for the requirements of the use case and Secret Network which is a blockchain built on this privacy technology was evaluated against determined privacy metrics and benchmarks were run to check the performance changes due to using the technology. Based on this analysis, Secret Network was found to be a good solution to handle the provided use case and flexible enough to handle more complex requirements. / Kraven på integritet har blivit en nödvändighet i dagens internetbaserade tillämpningar. Detta gäller från traditionella klient-server-tillämpningar till blockkedjebaserade tillämpningar. Eftersom blockkedjor är ett nytt område för utveckling av tillämpningar har man inte prioriterat integritet utöver pseudoanonymitet. I och med att finansiella tillämpningar som byggs på blockkedjor börjar bli allmänt accepterade, och att dessa tillämpningar hanterar känsliga uppgifter om användarna, är det bra att kunna förstå hur integritetsskyddstekniker kan bidra till att se till att användarnas integritet bevaras. Detta projekt tar itu med detta genom att ta ett enkelt användningsfall för finansiella transaktioner och tillämpa olika integritetsskyddstekniker som datakryptering, bevis för nollkunskap och betrodda utförandemiljöer. Arbetsflöden och komponentarkitektur föreslås för lösningar som bygger på dessa tekniker och de jämförs för att identifiera vilken lösning som är genomförbar för användningsfallet. Trusted Execution Environments konstaterades vara den bästa lösningen för kraven i användningsfallet och Secret Network, som är en blockkedja byggd på denna teknik för skydd av privatlivet, utvärderades mot fastställda integritetsmått och benchmarks kördes för att kontrollera prestandaförändringarna till följd av användningen av tekniken. På grundval av denna analys konstaterades Secret Network vara en bra lösning för att hantera det aktuella användningsfallet och tillräckligt flexibel för att hantera mer komplexa krav.

Blockchain

Encryption

Privacy

Trusted Execution Environment

Zero- Knowledge Proof

Blockkedja

Kryptering

Sekretess

Tillförlitlig Exekveringsmiljö

Bevis För Nollkunskap

Computer and Information Sciences

Data- och informationsvetenskap