Widerstandsfähigkeit von Anonymisierungsnetzen                Jens O. Oberender                 Freitag, 31.07.09         ...
Überblick          0. Einführung         1. Störung durch Denial‐of‐Service Angriffe         2. Verhalten als Störeinfluss...
0.1 Anonymität     Anonymität         Ununterscheidbarkeit eines Subjekts in bestimmten Kontext         (Anonymitätsmenge)...
0.2 Schutzmechanismen in Anonymisierungsnetzen     Cover Traffic stärkt Unbeobachtbarkeit,      indem zufällige Nachrichte...
0.3 Offene Probleme und eigene Beiträge     Schutz von Empfängern anonymer Nachrichten         Verfügbarkeit: Anfragen wer...
Überblick          0. Einführung         1. Störung durch Denial‐of‐Service Angriffe              g Kontrollierte Unverket...
1.1 Angriffe auf Anonymisierungsnetze     Fred: Angriff auf Verfügbarkeit von Rick         Denial‐of‐Service: Ressourcen e...
1.2 Angriffe auf Anonymisierungsnetze     Eve: Angriff auf Anonymität von Alice         Teilweise Infiltration von Teilneh...
1.3 Angriffsbekämpfung     Analyse eingehender Nachrichten         Angriff erkennen, ohne vertraulichen Inhalt zu kennen  ...
1.4 Modellierung der Nachrichten als Datenfluss     Einsatz bei Denial‐of‐Service Angriffen mit hohen Datenraten         L...
1.5 Unverkettbarkeit zwischen Nachricht und Identität     Unverkettbarkeit          Eve besitzt keinen Beweis, dass Alice ...
1.6 Unverkettbarkeit zwischen Nachrichten     Totale Unverkettbarkeit         Eve besitzt keinen Beweis, dass Nachricht1  ...
1.7 Überwachung der Richtlinie R     Rick definiert Zeitscheiben t(0),t(1),…     Alice erhält für jede Zeitscheibe ein ein...
1.8 Protokoll zur Pseudonym‐Übergabe         Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick        ...
1.9 Pseudonym‐Eigenschaften und Vertrauen  Deterministisch berechenbar      Hash aus angeforderter Zeitscheibe t und Ticke...
1.10 Bewertung Denial‐of‐Service (DoS) Angriffe     Fred führt DoS‐Angriff auf Steve aus     DoS gegen Steve         Für F...
1.11 Bewertung Angriffe auf Anonymität     Eve möchte Alice als Absender einer Klartextnachricht  identifizieren         N...
1.12 Skalierbarkeit     Latenzzeit zwischen Alice und Steve         Überwiegend Anonymisierung         Bei Rick zusätzlich...
Überblick          0. Einführung         1. Störung durch Denial‐of‐Service Angriffe         2. Verhalten als Störeinfluss...
2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes     Voraussetzungen für anonyme Kommunikation         Verfügbarkeit d...
2.2 Rationales Verhalten in Anonymisierungsnetzen     Alle Spieler verhalten sich rational, vollständige Information     M...
2.3 Zielsetzungen in Anonymisierungsnetzen     Mögliche Zielsetzungen         Große Anonymitätsmenge (Zielsetzung 1)      ...
2.4 Auswirkungen von Zielkonflikten     Angestrebte Qualität der Anonymität         Einigung auf Angreifermodell und Ununt...
0. Einführung         1. Störung durch Denial‐of‐Service Angriffe         2. Verhalten als Störeinfluss         3. Zusamme...
3. Zusammenfassung  Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten      Kontrollierte Unverkettbarkeit: Priv...
0. Einführung               1. Störung durch Denial‐of‐Service Angriffe               2. Verhalten als Störeinfluss       ...
Offene Probleme und Ziele      Schutz vor einem Überflutungsangriff im Anonymisierungsnetz         Problem: Anonymität beh...
Gruppensignatur     Pseudonym‐Ersteller besitzen gemeinsame Gruppensignatur      [Camenisch+Groth2004]         Verhindert ...
Taxonomie von Anonymisierungstechniken                              Prognose                      Garantie          A‘ = A...
Ökonomische Störungen     Schutz von Anonymität und Verfügbarkeit im kooperativen Betrieb         Eigene Anonymität hängt ...
Dining Cryptographer (DC) Netz     Überlagerte Nachrichten schützen Unverkettbarkeit     Disrupter Angriff := gleichzeitig...
Systemmodell     Anonymisierungstechnik: Dining Cryptographer Netzwerk         Garantierte untere Schranke für Anonymitäts...
Gefangenen Dilemma    Ohne bindende Vereinbarungen    Nash Gleichgewicht :=      Strategievektoren,  bei denen     kein Sp...
Modellierung mit Spieltheorie                                               Designer:        Teilnehmer:                  ...
Modellierung     Nicht‐kooperative Spieltheorie        Autonome Entscheidungen basierend auf         erwartetem Verhalten ...
Bewertung der Modellierungsergebnisse I                                                                            α =1   ...
Bewertung der Modellierungsergebnisse II      Risikoeinschätzung                                           β =0.75 γ=0.25 ...
Nächste SlideShare
Wird geladen in …5
×

Widerstandsfähigkeit von Anonymisierungsnetzen

658 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
658
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
17
Aktionen
Geteilt
0
Downloads
1
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Widerstandsfähigkeit von Anonymisierungsnetzen

  1. 1. Widerstandsfähigkeit von Anonymisierungsnetzen Jens O. Oberender Freitag, 31.07.09 Rigorosumsvortrag
  2. 2. Überblick  0. Einführung 1. Störung durch Denial‐of‐Service Angriffe 2. Verhalten als Störeinfluss 3. ZusammenfassungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 2
  3. 3. 0.1 Anonymität Anonymität Ununterscheidbarkeit eines Subjekts in bestimmten Kontext (Anonymitätsmenge) Anonyme Kommunikation Schutz der Vertraulichkeit einer  Kommunikationsverbindung vor Dritten Senderanonymität: Identität des Absenders verbergen Anonymisierungsnetz Logische Netzstruktur, z.B. basierend auf Mixes Ein Teilnehmer kommuniziert anonym, indem seine Nachrichten  ununterscheidbar (in der Menge gesendeter Nachrichten) werdenOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 3
  4. 4. 0.2 Schutzmechanismen in Anonymisierungsnetzen Cover Traffic stärkt Unbeobachtbarkeit,  indem zufällige Nachrichten die Anonymitätsmenge vergrößern Rendezvous Point schützt Identität des EmpfängersOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 4
  5. 5. 0.3 Offene Probleme und eigene Beiträge Schutz von Empfängern anonymer Nachrichten Verfügbarkeit: Anfragen werden verarbeitet Richtlinien‐basierter Schutzmechanismus Anonyme Kommunikation für vereinbartes Verhalten Bekämpfung von Richtlinien‐verletzendem Sendeverhalten Auswirkung rationalen Verhaltens auf Anonymisierungsnetze Altruismus: Teilnehmer bringen Ressourcen ein zugunsten anderer Voraussetzungen für rationales (=strategisches) Verhalten Analyse der zugrundeliegenden Zielkonflikte Bewertung der Verhaltensweisen nach SpielklassenOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 5
  6. 6. Überblick  0. Einführung 1. Störung durch Denial‐of‐Service Angriffe g Kontrollierte Unverkettbarkeit g Architektur zum Schutz von Verfügbarkeit 2. Verhalten als Störeinfluss 3. ZusammenfassungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 6
  7. 7. 1.1 Angriffe auf Anonymisierungsnetze Fred: Angriff auf Verfügbarkeit von Rick Denial‐of‐Service: Ressourcen eines Opfers erschöpfen Attackiert Verfügbarkeit mittels ressourcenintensiver Anfragen Keine Infiltration anderer Teilnehmer (Keine kriminellen Vorbereitungshandlungen)Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 7
  8. 8. 1.2 Angriffe auf Anonymisierungsnetze Eve: Angriff auf Anonymität von Alice Teilweise Infiltration von Teilnehmern Wissensgewinn mittels Profilbildung  Wissensgewinn mittels SchnittmengenangriffOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 8
  9. 9. 1.3 Angriffsbekämpfung Analyse eingehender Nachrichten Angriff erkennen, ohne vertraulichen Inhalt zu kennen Kontext ermitteln, ohne Anonymität zu schwächen Datenrate als Entscheidungskriterium für Aufhebung von Unverkettbarkeit Verwerfen Richtlinien‐verletzender Nachrichten Vorgehensweise 1. Umformen von Überflutungsangriffen 2. Privatsphäre schützen mittels Anonymität 3. Zulässiges Verhalten definieren  4. Architektur 5. BewertungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 9
  10. 10. 1.4 Modellierung der Nachrichten als Datenfluss Einsatz bei Denial‐of‐Service Angriffen mit hohen Datenraten Leaky Bucket: fixiert Ausgaberate Arrival Kurve: zusätzliche Burstrate vorteilhaft bei JitterOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 10
  11. 11. 1.5 Unverkettbarkeit zwischen Nachricht und Identität Unverkettbarkeit  Eve besitzt keinen Beweis, dass Alice eine Nachricht gesendet hat Perfekte Unverkettbarkeit  Eve kann keine Beobachtung B erlangen,  die ihr Wissen über den Absender von Nachricht verändert Bedingte Unverkettbarkeit  Das System legt vorab eine Bedingung fest Tom besitzt einen Beweis über  die Verkettung der Nachricht mit Alice Der Beweis bleibt Eve verborgen,  solange die Bedingung erfüllt ist Aufhebung: Kommunikation zwischen  Rick und Tom erforderlichOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 11
  12. 12. 1.6 Unverkettbarkeit zwischen Nachrichten Totale Unverkettbarkeit Eve besitzt keinen Beweis, dass Nachricht1 und Nachricht2 vom gleichen Absender stammen Partielle Unverkettbarkeit  Eve weiss, dass Nachricht1, Nachricht2  vom gleichen Absender stammen Kontrollierte Unverkettbarkeit [O., Volkamer, de Meer 2007] Rick definiert eine Richtlinie R für zulässiges Verhalten Tom vergibt an Alice Pseudonyme gemäß R Nachrichten von Alice bleiben unverkettbar, solange Richtlinie R nicht verletzt wirdOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 12
  13. 13. 1.7 Überwachung der Richtlinie R Rick definiert Zeitscheiben t(0),t(1),… Alice erhält für jede Zeitscheibe ein eindeutiges Pseudonym von Tom Alice hält Richtlinie R ein ‐> Nachrichten unverkettbar Fred verletzt Richtlinie R ‐> Nachrichten verkettet Traffic Shaping lehnt überzählige DoS‐Anfragen abOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 13
  14. 14. 1.8 Protokoll zur Pseudonym‐Übergabe Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick Alice erhält ein Ticket Granting Ticket (TGT) Alice baut Verbindung mit Rick auf und erfährt Zeitscheibe t Kommunikationsablauf  Alice bittet einen Tom um ein Ticket für Zeitscheibe t Alice sendet ihre Anfrage mit dem Ticket an Rick Rick überprüft anhand des Pseudonyms,  ob der Anfragende die Richtlinie verletztOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 14
  15. 15. 1.9 Pseudonym‐Eigenschaften und Vertrauen Deterministisch berechenbar Hash aus angeforderter Zeitscheibe t und Ticket  Granting Ticket = { IDAlice, NonceAlice, Gültigkeit } Authority Schutz vor Verifizierbarkeit Geheime Nonce („number used once“) im TGT, verhindert  dass Dritte zugewiesene Pseudonym verifizieren können PseudAlice(t) = hash ( IDAlice || t || NonceAlice ) Integrität, jedoch ohne identifizierbaren Signierer Einsatz einer Gruppensignatur: { t, PseudAlice(t) } Tommys Rick verifiziert Unterschrift eines Tommys, kann aber Tom nicht identifizieren Notation: { x } Signierer Digitale Signatur || Konkatenation {,,} TupelOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 15
  16. 16. 1.10 Bewertung Denial‐of‐Service (DoS) Angriffe Fred führt DoS‐Angriff auf Steve aus DoS gegen Steve Für Fred existiert nur ein einziges Pseudonym in Zeitscheibe t; wird Richtlinie R verletzt, werden die Nachrichten verkettet; Traffic Shaping verwirft überzählige Nachrichten Distributed DoS gegen Steve Pseudonyme für Fred 1..n unverkettbar  ‐> lässt sich auch nicht mit Identitäten erkennen Alle Freddies zusammen erhalten überproportional  Ressourcen, können andere Anfragen jedoch nicht verdrängenOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 16
  17. 17. 1.11 Bewertung Angriffe auf Anonymität Eve möchte Alice als Absender einer Klartextnachricht  identifizieren Nur Authority und Tom können Alice identifizieren Nur Steve besitzt (neben Alice) den Klartext Kollusion zwischen Tom, Rick und Steve Identität kann nicht ins Ticket gelangen Rick wird von Alice ausgewählt,  gegenüber Tom unbekannt Verkettung prinzipiell möglich Tom: (ID, Pseudonym, t) Rick: (Pseudonym, t, n) Steve: (n, Text) Prävention: Alice wählt einen nicht‐infiltrierten TomOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 17
  18. 18. 1.12 Skalierbarkeit Latenzzeit zwischen Alice und Steve Überwiegend Anonymisierung Bei Rick zusätzlich Signatur des Tickets prüfen Abgleich mit Arrival Curve, ggf. Verzögerung Praktischer Einsatz Beliebig viele Instanzen von  (vertrauenswürdigen) Tommys Integration: bei niedriger Last  wird auf Ticket verzichtetOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 18
  19. 19. Überblick  0. Einführung 1. Störung durch Denial‐of‐Service Angriffe 2. Verhalten als Störeinfluss g Spieltheoretische Modellierung und Bewertung von Verhalten g Lösungsstrategien und Auswirkungen von Zielkonflikten 3. ZusammenfassungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 19
  20. 20. 2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes Voraussetzungen für anonyme Kommunikation Verfügbarkeit des Empfängers Integrität des Nachrichteninhalts Ununterscheidbarkeit in der Menge aktiver Nachrichtensender Ökonomie der Struktur eines Anonymitätssystems [Acquisti, Dingledine, Syverson 2003] Design Dilemma [O., de Meer 2008] Widerstandsfähigkeit muss Verhalten  aller Parteien miteinbeziehen (Interdependenz) 20Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
  21. 21. 2.2 Rationales Verhalten in Anonymisierungsnetzen Alle Spieler verhalten sich rational, vollständige Information Modellierung mittels Spieltheorie  Identifizieren von Klassenbeschreibungen  mit geeignetem Spielausgang Dilemma‐Spiele Symmetrische Strategien vorteilhaft? Nicht‐vereinbarte Kooperation vorteilhaft?Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 21
  22. 22. 2.3 Zielsetzungen in Anonymisierungsnetzen Mögliche Zielsetzungen Große Anonymitätsmenge (Zielsetzung 1) Teilnahme mit geringem Ressourcenaufwand (Zielsetzung 2) Hohe Robustheit gegenüber Störungen Verdecktes Fehlverhalten Verhandlungsraum Verhandlungslösung, Ausgangspunkt  Identifizierung von Nash‐Gleichgewichten       und BewertungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 22
  23. 23. 2.4 Auswirkungen von Zielkonflikten Angestrebte Qualität der Anonymität Einigung auf Angreifermodell und Ununterscheidbarkeit Anonymitätsmenge dann maximal, wenn eine Einigung erfolgen kann Tatsächlichen Qualität der Anonymität Prognose ist nicht verfügbar, vertrauenswürdig oder garantiert Missbrauchsgefahr Schnittmengenangriff Egoistisches Verhalten von Teilnehmern Fehlender Cover Traffic beeinträchtigt Anonymität DritterOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 23
  24. 24. 0. Einführung 1. Störung durch Denial‐of‐Service Angriffe 2. Verhalten als Störeinfluss 3. ZusammenfassungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 24
  25. 25. 3. Zusammenfassung Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten Kontrollierte Unverkettbarkeit: Privatsphäre der Teilnehmer gewährt Richtlinie als Entscheidungskriterium für Unbedenklichkeit der Anfrage Schutz vor Angriffen gegen Verfügbarkeit und Anonymität Untersuchung von Widerstandsfähigkeit Bewertung der Auswirkung unterschiedlicher Nutzenfunktionen Wechselwirkungen zwischen Anonymität und Teilnehmerverhalten Auflösung von Zielkonflikten durch Wahl geeigneter Lösungsklassen Vision: Kooperative AnonymisierungsnetzeOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 25
  26. 26. 0. Einführung 1. Störung durch Denial‐of‐Service Angriffe 2. Verhalten als Störeinfluss 3. Zusammenfassung Spare Slides Ziele Gruppensignatur Taxonomie Ökonomie Gefangenen Dilemma Dining Cryptographer Netz SpieltheorieOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 26
  27. 27. Offene Probleme und Ziele Schutz vor einem Überflutungsangriff im Anonymisierungsnetz Problem: Anonymität behindert Klassifizierung Unverkettbarkeit vs. Verkettbarkeit zwischen Nachrichten Ziel: Unverkettbarkeit zwischen zulässigen Nachrichten  Verkettbarkeit zwischen Angriffsnachrichten  Konfiguration eines widerstandsfähigen Anonymisierungsnetzes Problem: Wechselwirkungen zwischen altruistischem und  Kosten/Nutzen‐getriebenem Handeln Lösungsansatz: spieltheoretische Modellierung mit verschiedenen  LösungskonzeptenWiderstandsfähigkeit von Anonymisierungsnetzen 27
  28. 28. Gruppensignatur Pseudonym‐Ersteller besitzen gemeinsame Gruppensignatur  [Camenisch+Groth2004] Verhindert Eingrenzung der Anonymitätsmenge durch Identifizieren  der verwendeten Pseudonym‐Erstellung Bedingte Pseudonymität innerhalb der Gruppe: Missbraucht ein bösartiger Pseudonym‐Ersteller seine Signaturen für  einen Überflutungsangriff, kann der Gruppenverwalter die bedingte  Pseudonymität  der Signatur aufheben und den Betreffenden aus der  Gruppe ausschliessenWiderstandsfähigkeit von Anonymisierungsnetzen 28
  29. 29. Taxonomie von Anonymisierungstechniken Prognose Garantie A‘ = AnonymitätKeine zus. Annahmen Wahrgenommene A’ (4) Zugesicherte A’ (3) Vertrauen notwendig Berichtete A’(1) Richtlinien-gestützte A’ (2) Größenprognose der Anonymitätsmenge in JAP An.On Mixerkaskade: Annahme: Anonymitätsmenge bleibt konstant (1) Vertrauen in die funktionale Integrität der Aggregation Füllstand‐getriggerte Pool‐Mixes:  Annahmen: Nachrichten verschiedener Sender, keine Kollusion (2) Vertrauen des Senders in die korrekte Funktion des Mixes Dining Cryptographer Netz: Annahme: Knotengrad übersteigt Kollusion (3) Garantie für Anonymitätsmenge, wenn Schlüsselgraph unverändert bleibt (4) Prognose verfälscht, wenn Knoten unbenachrichtigt ausscheidetOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 29
  30. 30. Ökonomische Störungen Schutz von Anonymität und Verfügbarkeit im kooperativen Betrieb Eigene Anonymität hängt vom Verhalten dritter Teilnehmern ab Selten altruistisches Verhalten wegen begrenzte Ressourcen Pseudonymität verhindert Anreize gegen Fehlverhalten Widerstandsfähigkeit stark beeinträchtigt Prävention Festlegung eines Systemmodells Modellierung strategischen Verhaltens Bewertung von Systemparametern nach WiderstandsfähigkeitWiderstandsfähigkeit von Anonymisierungsnetzen 30
  31. 31. Dining Cryptographer (DC) Netz Überlagerte Nachrichten schützen Unverkettbarkeit Disrupter Angriff := gleichzeitig Belegung eines  Übertragungsblockes führt zu Kollision Gesendete Nachrichten überlagern sich Integrität zerstört Erneute Übermittlung notwendigWiderstandsfähigkeit von Anonymisierungsnetzen 31
  32. 32. Systemmodell Anonymisierungstechnik: Dining Cryptographer Netzwerk Garantierte untere Schranke für Anonymitätsmenge Integritätsverletzungen durch böswillige Teilnehmer Welche Ziele verfolgen die rational‐handelnde Parteien? Designer: störungsfreie, unbeobachtbare Kommuniktion  Teilnehmer: unbeobachtbare Kommunikation mit geringen Kosten Angreifer: verhindert eigene Identifizierung, verhindert  KommunikationWiderstandsfähigkeit von Anonymisierungsnetzen 32
  33. 33. Gefangenen Dilemma Ohne bindende Vereinbarungen Nash Gleichgewicht :=   Strategievektoren,  bei denen  kein Spieler alleine seinen  Nutzen erhöhen kann Iteriertes Gefangen‐Dilemma Egoistisches Handeln  verschlechtert   durchschnittlichen NutzenWiderstandsfähigkeit von Anonymisierungsnetzen 33
  34. 34. Modellierung mit Spieltheorie Designer:  Teilnehmer:  Angreifer:  leicht zu entdecken, falls nicht  Interdependenz  rational Wirksamkeit hängt vom Verhalten vieler Beteiligter ab Perfekte Rationalität Alle Beteiligten handeln strikt nach dem erwarteten Nutzen Vollständige Information Nutzenfunktionen Schätzung von Anonymität wird berücksichtigt Perfekte Information  Berücksichtigung vergangener Aktionen in einem sequentiellen Spiel Validität? Verhalten des Mitspielers vorhersagbar? Beruht die Einschätzung  auf Aussagen Dritter?Widerstandsfähigkeit von Anonymisierungsnetzen 34
  35. 35. Modellierung Nicht‐kooperative Spieltheorie Autonome Entscheidungen basierend auf  erwartetem Verhalten Nash‐Gleichgewichte abhängig von  Modellierungs‐Parametern von  zwei/drei Spielern Modellierte Eigenschaften Kollisionsrobustheit des Protokolls Teilnahmerate Präferenz für Robustheit Angriffe auf Verfügbarkeit Kosten für Senden/Empfang tragbarWiderstandsfähigkeit von Anonymisierungsnetzen 35
  36. 36. Bewertung der Modellierungsergebnisse I α =1 Sequentiell Nicht kooperativ Vergleich des  Defektieren 1 Robust nicht‐ Designer kooperativem mit  Kooperieren 0 Effizient 0 0.5 1 sequentiellen Spiel Defektieren 1 Verlassen p2 Gibt es Parameter,  Teilnehmer Kooperieren 0 Teilnehmen für die Teilnehmer  0 0.5 1 Defektieren 1 Störung und Angreifer  Angreifer p3 kooperieren? Kooperieren 0 Konform 0 0.5 1 γ Präferenz für hohe Anonymität 1−β Fähigkeit zur Disrupter-Identifizierung Widerstandsfähigkeit von Anonymisierungsnetzen 36
  37. 37. Bewertung der Modellierungsergebnisse II Risikoeinschätzung  β =0.75 γ=0.25 Sequentiell Nicht kooperativ Defektieren 1 anhand der  Robust Nutzendifferenz Designer Kooperieren 0 Effizient Verhalten  Defektieren 1 0 0.5 1 Verlassen unbestimmbar,  p2 wenn Nutzen‐ Teilnehmer Kooperieren 0 Teilnehmen differenz gering 0 0.5 1 Defektieren 1 Störung Wie wirkt sich  Angreifer p3 Widerstandsfähigkeit  Kooperieren 0 Konform auf das Verhalten der  0 0.5 1 Spieler aus? α Kodierungsschema kollisionsrobust Widerstandsfähigkeit von Anonymisierungsnetzen 37

×