Berlin, 2020-11-11
How Secure Multi-Party Computation changes the game
Everybody is keen to share data. In theory. In practice, there are many reasons that hold both individuals and businesses back from doing so. A key reason is confidentiality; do you want all of your friends and colleagues to know about your recently stagnant salary? Or would a firm want its competitors to know about its recent increase in customer complaints? Probably not.
Tags:
smpc

There are very different ways of sharing data. The most commonly known is to exchange information in plain text. If multiple parties are involved, they first need to send data to a central party which extracts the desired insights from it. The parties providing the data cease control over their data which might spread to different places from there.

However, it need not be that way: Data can also be shared without sending plain text to a central entity. Secure Multi-Party Computation (MPC) is a field of cryptography research that provides various tools for sharing data confidentially. It can apply to any kind of situation where

  1. multiple parties want to come together to derive a conclusion that is of a mutual interest to them; and
  2. at least one party considers the data to be too sensitive to share with others.

In general, MPC works like this: Each party encodes its sensitive data in a way such that the data is no longer readable by others in clear text. However, the encoding is done such that it allows the different parties to execute mathematical operations on the encoded data.

To illustrate this, let us take a closer look at a simplified example: Alice, Bob, and Charly are farmers who would like to know whether their yield per hectare of a specific crop is above or below the average yield, but without revealing their actual harvest to each other. One way to do this is as follows: Alice, Bob, and Charly divide their secret value into 3 random numbers (called “shares” in MPC lingo). To give an example, if Charly’s secret number is 45, then his shares could be “60”, “15”, and “-30” – that is, the shares sum up to the secret value.

The confidential sharing can start: Charly gives away one share to his fellow farmers each, while keeping 1 share to himself. Alice and Bob do the same. Then everybody computes the total of the three shares (their own plus two others). The average of those three sums is the average yield. In the process, however, splitting the secret value means that no one obtains confidential information about the others. 

This works also for more than three players. The steps are always the same:

  1. Each party divides their secret value into as many shares as there are parties
  2. Each party sends the shares to all the other parties except for one share
  3. Each party sums up the shares in front of them 
  4. The parties communicate the sums with each other and compute the average, thereby resulting in the average secret input value

These steps guarantee that no confidential data is leaked and that no central entity is needed to coordinate action - the parties and some form of decentralised communication are all that is needed.

Where can MPC be used? Procedures that are fairly similar to the above can be implemented to pool data for purposes beyond benchmarking. For example, owners of online shoppers could get together with others to confidentially exchange data about the legitimacy of orders made by first-time shoppers in order to reduce the risk of fraud. Or, in health research, the identification of risk factors for specific conditions can require big datasets - from health providers, but also grocery shops, fitness trackers or smartphone use - to be merged. With MPC, it is possible to ensure that any data gets merged for specific analyses and broken up again immediately afterwards.

In summary, MPC gives tools to all kinds of data holders - companies, research institutions, individuals - to share data while preserving confidentiality. No third party or intermediary is required, which means that the entire benefit of the data sharing accrues to the data holders. Hence, MPC can enable completely new forms of collaboration, both within and across data value chains.

back to library
About Us
We are a diverse group of specialists with academic and entrepreneurial backgrounds that are driven by a shared vision: to solve the current data sharing dilemma for the better. Please find our full founding vision in our manifesto.
For Members
Do you want to shape how data is being shared in a post-platform economy with us?

We welcome any individual with any background.
For Universities
Do you want to bridge the gap between your research and various industries?

We help you to connect to companies and to turn your research into action.
For Companies
Do you want to evaluate the potential if you start sharing your data with other companies in your ecosystem?

We help you to define a ecosystem strategy, to connect with other companies and to gain significant efficiency gains by sharing your data with others.
Please feel free to get in touch!
contact
Imprint
SINE e.V.
c/o Martin Pompéry
Bredowstr. 35a, 10551 Berlin
Email: [email protected]
Represented by the board (Vorstand): Aurel Stenzel, Martin Poméry, Aline Blankertz, Karina Buschsieweke.
Registration number: Applied
VAT number: Applied
Tax ID: Applied
Responsible for any journalistic and editorial content on this website according to 55 para.2 RStV: Aurel Stenzel, Görschstr. 14, 13187 Berlin.

Disclaimer: As a service provider, Sine e.V. is responsible for its own information, which is offered on this website, in accordance with section 3 para.1 and section 7 para.1 of the German Telemedia Act (TMG). However, Sine e.V. has no control over the content, the data protection guidelines or the practices of websites or services of third parties and assumes no responsibility for this (see § 8 TMG). Sine e.V. is neither directly nor indirectly responsible or liable for damage or loss caused by or in connection with the use or reliance on such available content, goods or services on such websites and services.

July 2020
privacy policy

Datenschutzerklärung Sine e.V.

§ 1 Information über die Erhebung personenbezogener Daten

(1) Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse und E-Mail-Adresse.

(2) Verantwortlicher gem. Art. 4 Abs.7 EU-Datenschutz-Grundverordnung (DS-GVO) ist SINE e.V., Görschstr. 14, 13187 Berlin, [email protected], vertreten durch den Vorstand Aurel Stenzel, Aline Blankertz, Karina Buschsieweke, Martin Pompéry.

(3) Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

(4) Bei Ihrer Kontaktaufnahme mit uns per E-Mail über das Kontaktformular (“Contact me Button”) werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer, sofern Sie uns diese mitteilen) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.

(5) Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für Werbezwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren.


§ 2 Ihre Rechte

(1) Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft nach Art. 15 DS-GVO: Sie können Auskunft über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die verarbeitet werden, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling zu verlangen;

• Recht auf Berichtigung gemäß Art. 16 DS-GVO: Sie können unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen;

• Recht auf Löschung gemäß Art. 17 DS-GVO: Sie können die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen, es sei denn, die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen stehen dem entgegen;

• Recht auf Einschränkung gemäß Art. 18 DS-GVO: Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber die Löschung ablehnen, wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung eingelegt haben;  

• Recht auf Datenübertragbarkeit gemäß Art. 20 DS-GVO: Sie können verlangen, dass Sie Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format erhalten oder dass wir die Daten an einen anderen Verantwortlichen übermitteln.


• Recht auf Widerspruch gemäß Art. 21 DS-GVO: Sie können Widerspruch gegen die Verarbeitung erheben, sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 Satz 1 lit f. DS-GVO verarbeitet werden. Dazu müssen Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung ihrer personenbezogenen Daten, nachdem Sie ihn gegenüber uns ausgesprochen haben.


(2) Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. In unserem Fall ist das die Berliner Beauftragte für Datenschutz und Informationsfreiheit unter https://www.datenschutz-berlin.de/


§ 3 Erhebung personenbezogener Daten bei Besuch unserer Website

(1) Bei der bloß informatorischen Nutzung der Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen um einen reibungslosen Verbindungsaufbau und eine komfortable Nutzung der Website zu gewährleisten sowie zur Auswertung der Stabilität und Systemsicherheit. Rechtsgrundlage ist dabei Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Unser berechtigtes Interesse basiert auf den genannten Zwecken zur Datenerhebung. IP-Adresse Datum und Uhrzeit der Anfrage   User Agent String, der den Browser oder das Betriebssystem für den Server identifiziertinstallierte Schriftarten MIME-TypenSprache  und Zeitzone der BrowsersoftwareSilverlight Dateninstallierte Plugins HTTP HeadersBildschirmauflösung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist.


(2) Zusätzlich nutzen wir das Produkt Plausible Analytics. Plausible verfolgt für uns die Messung der Nutzung unserer Website, allerdings ohne einen Cookie zu setzen und ohne personenbezogene Daten von den Nutzern zu erheben. Plausible Analytics erhebt allein folgende aggegrierte Daten: URL Referrer (d.h. Website, von der die Anforderung kommt) Browser (z.B. “Firefox”)Operating System (z.B. “iOS”)Device type (z.B. “Desktop” oder “Smartphone”)Land (z.B. “Deutschland”) Keiner der genannten Datenpunkte sind personenbezogen und keine Person kann durch die genannten Datenpunkte identifiziert werden. Für mehr Informationen über Plausible Analytics klicken Sie bitte hier.


§ 4 Erhebung personenbezogener Daten beim Online Beitrittsformular

Wenn Sie unserem Verein via unserem auf unserer Website zur Verfügung gestellten Online Beitrittsformular beitreten, erheben wir im Weiteren folgende Daten von Ihnen: Vor- und NachnameAdresseEinwilligung zur Datenverarbeitung hinsichtlich des BeitrittsFerne besteht die Möglichkeit in unseren Newsletterversand (siehe hierzu § 6) einzuwilligen. Die genannten Daten werden ausschließlich zum Zweck der Mitgliederverwaltung und -betreuung verarbeitet und bis zum Austritt eines Mitgliedes bei uns gespeichert bzw. solange es gesetzliche Aufbewahrungsfristen erfordern. Es erfolgt keine Weitergabe an Dritte.


§ 5 Weitergabe von Daten an Dritte

Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben. Ferner in dem Fall, dass für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c DS-GVO eine gesetzliche Verpflichtung besteht, sowie falls es gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DS-GVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den genannten Zwecken findet nicht statt.


§ 6 Newsletter

Auf unserer Webseite besteht die Möglichkeit einen kostenfreien Newsletter zu abonnieren. Dabei werden bei der Anmeldung zum Newsletter die Daten aus der Eingabemaske an uns übermittelt, d.h. ihre Emailadresse sowie ihr Vor- und Nachname.  
Wir verwenden zum Versand des Newsletters Cleverreach GmbH & Co. KG, mit welchen wir einen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO geschlossen haben. Für den Versand des Newsletters verwenden wir das Double Opt-In-Verfahren. Dazu erhalten Sie den Newsletter erst, wenn Sie uns ausdrücklich bestätigt haben, dass Sie den Newsletter erhalten möchten. Es erfolgt im Zusammenhang mit der Datenverarbeitung für den Versand des Newsletters keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für den Versand des Newsletters verwendet. Die E-Mail-Adresse des Nutzers wird solange gespeichert, wie das Abonnement des Newsletters aktiv ist. Das Abonnement des Newsletters kann durch den betroffenen Nutzer jederzeit gekündigt werden. Zu diesem Zweck findet sich in jedem Newsletter ein entsprechender Link.Rechtsgrundlage für die Verarbeitung der Daten nach Anmeldung zum Newsletters durch den Nutzer ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DS-GVO.


§ 7 Änderungen der Datenschutzerklärung

Wir behalten uns das Recht vor, unsere Datenschutzerklärung zu ändern falls dies aufgrund neuer Technologien oder neu eingesetzter Dienstleister notwendig sein sollte. Werden an dieser Datenschutzerklärung grundlegende Änderungen vorgenommen, geben wir diese auf unserer Website bekannt.