Prozessleitsystem in der QuarzsandaufbereitungThomas Schulz
In Hohenbocka entstand Ende letzten Jahres ein Quarzsandaufbereitungswerk mit einem hochmodernen Prozeßleitstand ausgerüstet. Dank des hohen Automatisierungsgrads überwacht und bedient nur ein Anlagenfahrer das ganze Werk.
Prozessleitsystem in der QuarzsandaufbereitungThomas Schulz
In Hohenbocka entstand Ende letzten Jahres ein Quarzsandaufbereitungswerk mit einem hochmodernen Prozeßleitstand ausgerüstet. Dank des hohen Automatisierungsgrads überwacht und bedient nur ein Anlagenfahrer das ganze Werk.
Walking through time – einen Spaziergang durch die Geschichte präsentiert Helge David in seinem Vortrag und zeigt, wie Museumsprofile und Ausstellungen in digital erweiterter Form konzipiert werden können. Er stellt ein gemeinsam mit dem Deutschen Museum Bonn konzipiertes Projekt vor, das eine Ausstellung zu Heinrich Hertz – dem berühmten Physiker und Entdecker der elektromagnetischen Wellen – mit dem Stadtraum von Bonn real und digital verbindet und den inhaltlichen und räumlichen Kontext des Museums mit einem Blog, einer digitalen Culturecaching-Stadtralley und digitaler Co-Kuratierung erweitert.
Mobile Anwendungen heben die Trennung vom Ort „Museum“ und dem Stadtraum auf. Per Geo-Tagging und QR-Code lassen sich digitale Inhalte mit dem begehbaren Raum verbinden. Sie erweitern das Angebot des Museums nach Außen und führen zugleich neue Besuchergruppen ins Museum.
Die Ausstellung zu Heinrich Hertz wird vom Deutschen Museum Bonn kuratiert und umgesetzt. Das Blog, die digitale Stadtralley und die digitale Co-Kuratierung werden von Helge David geplant und realisiert.
Anja Wittenberger, Social Business Consultant bei Communardo zum Thema "SOCIAL werden - heißt LOSGEHEN". Einblicke in den Projektalltag von Social Business Initiativen:
>> Wie gelingt es, dass die vielzitierten Nutzenpotenziale von Social Business (wie z.B. schnelles Finden von Experten, Verkürzung von Einarbeitungszeiten) im eigenen Unternehmen Gehör finden und Initiativen gestartet werden?
>> Gibt es den perfekten Startpunkt, um die Umsetzung für das eigene Unternehmen zu beginnen?
>> Wie gelingt es, dass die Social Prinzipien angewendet und Social Technologien genutzt werden?
Entscheider, Thementreiber, Fachreferenten und Verantwortliche aus den Fachbereichen erhalten Tipps & Tricks aus praxiserprobten Projektvorgehen, um ihre Social Business Initiativen voranzubringen und lfd. Projekte erfolgreich umzusetzen.
Die folgenden Kommentare wurden von britischen Frauen gemacht, in einem Formular der Child Support Agency (Kindergeldstelle?) in Bezug auf den Vater ihres Kindes. Alle Aussagen sind echt!
Lukas Oberndorfer: "Autokratische Wende in der EU oder soziales und demokrati...Thomas Kreiml
Input im Rahmen des GPA-djp Seminars "Schuldenmythen und Fiskalpakt - Demokratieabbau in Krisenzeiten" mit Betriebsratsmitgliedern am 14.06.2012, mehr Informationen: http://blog.gpa-djp.at/bildung/2012/05/23/seminar-schuldenmythen-und-fiskalpakt-demokratieabbau-in-krisenzeiten/
Kommunikation und Zusammenarbeit in verteilten ProjektteamsCommunardo GmbH
Vortrag von Tino Schmidt, Abteilungsleiter Portal Solutions bei der Communardo Software GmbH, zum Treffen der GPM Regionalgruppe Dresden, 19. April 2012
Walking through time – einen Spaziergang durch die Geschichte präsentiert Helge David in seinem Vortrag und zeigt, wie Museumsprofile und Ausstellungen in digital erweiterter Form konzipiert werden können. Er stellt ein gemeinsam mit dem Deutschen Museum Bonn konzipiertes Projekt vor, das eine Ausstellung zu Heinrich Hertz – dem berühmten Physiker und Entdecker der elektromagnetischen Wellen – mit dem Stadtraum von Bonn real und digital verbindet und den inhaltlichen und räumlichen Kontext des Museums mit einem Blog, einer digitalen Culturecaching-Stadtralley und digitaler Co-Kuratierung erweitert.
Mobile Anwendungen heben die Trennung vom Ort „Museum“ und dem Stadtraum auf. Per Geo-Tagging und QR-Code lassen sich digitale Inhalte mit dem begehbaren Raum verbinden. Sie erweitern das Angebot des Museums nach Außen und führen zugleich neue Besuchergruppen ins Museum.
Die Ausstellung zu Heinrich Hertz wird vom Deutschen Museum Bonn kuratiert und umgesetzt. Das Blog, die digitale Stadtralley und die digitale Co-Kuratierung werden von Helge David geplant und realisiert.
Anja Wittenberger, Social Business Consultant bei Communardo zum Thema "SOCIAL werden - heißt LOSGEHEN". Einblicke in den Projektalltag von Social Business Initiativen:
>> Wie gelingt es, dass die vielzitierten Nutzenpotenziale von Social Business (wie z.B. schnelles Finden von Experten, Verkürzung von Einarbeitungszeiten) im eigenen Unternehmen Gehör finden und Initiativen gestartet werden?
>> Gibt es den perfekten Startpunkt, um die Umsetzung für das eigene Unternehmen zu beginnen?
>> Wie gelingt es, dass die Social Prinzipien angewendet und Social Technologien genutzt werden?
Entscheider, Thementreiber, Fachreferenten und Verantwortliche aus den Fachbereichen erhalten Tipps & Tricks aus praxiserprobten Projektvorgehen, um ihre Social Business Initiativen voranzubringen und lfd. Projekte erfolgreich umzusetzen.
Die folgenden Kommentare wurden von britischen Frauen gemacht, in einem Formular der Child Support Agency (Kindergeldstelle?) in Bezug auf den Vater ihres Kindes. Alle Aussagen sind echt!
Lukas Oberndorfer: "Autokratische Wende in der EU oder soziales und demokrati...Thomas Kreiml
Input im Rahmen des GPA-djp Seminars "Schuldenmythen und Fiskalpakt - Demokratieabbau in Krisenzeiten" mit Betriebsratsmitgliedern am 14.06.2012, mehr Informationen: http://blog.gpa-djp.at/bildung/2012/05/23/seminar-schuldenmythen-und-fiskalpakt-demokratieabbau-in-krisenzeiten/
Kommunikation und Zusammenarbeit in verteilten ProjektteamsCommunardo GmbH
Vortrag von Tino Schmidt, Abteilungsleiter Portal Solutions bei der Communardo Software GmbH, zum Treffen der GPM Regionalgruppe Dresden, 19. April 2012
Smartphone Applications - Common Criteria is going MobileJens Oberender
Smartphones are a growing, fast moving field of IT. Although smartphones and their applications are omnipresent and potentially violating security, its development cycle is not yet tackled by application evaluation thoroughly.
International Common Criteria Conference, Paris, France. September 18-20, 2012.
Pitch Your Project and Vision – Zielgerichtete KommunikationJens Oberender
SIGINT2012 talk - konzeptbotschafter.de -
Bring es auf den Punkt, was Dein Projekt und Deine Vision ausmacht! In jedem Fall ist zielgerichtete Kommunikation notwendig: erfülle präzise die Bedürfnisse Deiner Community. Visionen und Ziele müssen effizient kommuniziert werden.
Thirty seconds to speak and to impress. Are you ready to take your chance if Bill Gates listens to your idea? Do you convert into success?
This workshop tells you how to prepare your elevator pitch, a 30-second talk that gets your point across quickly. It is currently hyped for business acquisition, but the principles covered in this workshop will also help to get a new job, impress your boss and attracting your significant other.
Workshop by Jens Oberender, CC for TLI 2012 D59 K4
Algorithm for Multi-Path Hop-By-Hop RoutingJens Oberender
The next generation internet provides resilient wide area networking. Resilience is the ability to resist outer influences such as link failures. During routing protocols reorganize the communication paths after a topology change, data loss can occur. Using multiple paths, network operation can continue after failure detection.
This work examines Multi-Path Hop-by-Hop routing where any single link failure can be locally recovered. We produce acyclic routing graphs for destination-based routing. Our approach results in two edge sets: active and reserve links. Active edges provide an acyclic graph embedding a spanning tree. Any failure that is not covered by redundant active edges is recovered by inserting a reserve edge. We guarantee recovery of the first link failure event and then seamlessly restore a HammockSet for the new topology.
Two similar approaches have been published. The O2-algorithm derived out of the project ”Key Components for the Mobile Internet of Next Generation” [Sch01] and constructs thin Hammock-Sets but is restricted to certain topologies. The MPA-algorithm [Nar00] succeeds on any topology, yet it cannot provide redundancy to all nodes. We specify topologies that allow stand-by recovery to all nodes and destinations, while we construct edge-maximized HammockSets.
For evaluation we introduce link significance, a measure for the forwarding function of inner HammockSet nodes. A heuristic algorithm optimizes the HammockSet layout for traffic distribution. It restricts the number of HammockSets on one network edge, increasing the bandwidth fraction available to the participating HammockSets.
A prototype implementation has been part of this work. It constructs HammockSets for any
destination node of a topology. The final chapter discusses the feasibility of implementing our approach in real-world systems. Further, we point out possibilities for future work.
2. Überblick
0. Einführung
1. Störung durch Denial‐of‐Service Angriffe
2. Verhalten als Störeinfluss
3. Zusammenfassung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 2
3. 0.1 Anonymität
Anonymität
Ununterscheidbarkeit eines Subjekts in bestimmten Kontext
(Anonymitätsmenge)
Anonyme Kommunikation
Schutz der Vertraulichkeit einer
Kommunikationsverbindung vor Dritten
Senderanonymität: Identität des Absenders verbergen
Anonymisierungsnetz
Logische Netzstruktur, z.B. basierend auf Mixes
Ein Teilnehmer kommuniziert anonym, indem seine Nachrichten
ununterscheidbar (in der Menge gesendeter Nachrichten) werden
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 3
4. 0.2 Schutzmechanismen in Anonymisierungsnetzen
Cover Traffic stärkt Unbeobachtbarkeit,
indem zufällige Nachrichten die Anonymitätsmenge vergrößern
Rendezvous Point schützt Identität des Empfängers
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 4
5. 0.3 Offene Probleme und eigene Beiträge
Schutz von Empfängern anonymer Nachrichten
Verfügbarkeit: Anfragen werden verarbeitet
Richtlinien‐basierter Schutzmechanismus
Anonyme Kommunikation für vereinbartes Verhalten
Bekämpfung von Richtlinien‐verletzendem Sendeverhalten
Auswirkung rationalen Verhaltens auf Anonymisierungsnetze
Altruismus: Teilnehmer bringen Ressourcen ein zugunsten anderer
Voraussetzungen für rationales (=strategisches) Verhalten
Analyse der zugrundeliegenden Zielkonflikte
Bewertung der Verhaltensweisen nach Spielklassen
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 5
6. Überblick
0. Einführung
1. Störung durch Denial‐of‐Service Angriffe
g Kontrollierte Unverkettbarkeit
g Architektur zum Schutz von Verfügbarkeit
2. Verhalten als Störeinfluss
3. Zusammenfassung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 6
7. 1.1 Angriffe auf Anonymisierungsnetze
Fred: Angriff auf Verfügbarkeit von Rick
Denial‐of‐Service: Ressourcen eines Opfers erschöpfen
Attackiert Verfügbarkeit mittels ressourcenintensiver Anfragen
Keine Infiltration anderer Teilnehmer
(Keine kriminellen Vorbereitungshandlungen)
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 7
8. 1.2 Angriffe auf Anonymisierungsnetze
Eve: Angriff auf Anonymität von Alice
Teilweise Infiltration von Teilnehmern
Wissensgewinn mittels Profilbildung
Wissensgewinn mittels Schnittmengenangriff
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 8
9. 1.3 Angriffsbekämpfung
Analyse eingehender Nachrichten
Angriff erkennen, ohne vertraulichen Inhalt zu kennen
Kontext ermitteln, ohne Anonymität zu schwächen
Datenrate als Entscheidungskriterium für
Aufhebung von Unverkettbarkeit
Verwerfen Richtlinien‐verletzender Nachrichten
Vorgehensweise
1. Umformen von Überflutungsangriffen
2. Privatsphäre schützen mittels Anonymität
3. Zulässiges Verhalten definieren
4. Architektur
5. Bewertung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 9
10. 1.4 Modellierung der Nachrichten als Datenfluss
Einsatz bei Denial‐of‐Service Angriffen mit hohen Datenraten
Leaky Bucket: fixiert Ausgaberate
Arrival Kurve: zusätzliche Burstrate vorteilhaft bei Jitter
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 10
11. 1.5 Unverkettbarkeit zwischen Nachricht und Identität
Unverkettbarkeit
Eve besitzt keinen Beweis, dass Alice eine Nachricht gesendet hat
Perfekte Unverkettbarkeit
Eve kann keine Beobachtung B erlangen,
die ihr Wissen über den Absender von Nachricht verändert
Bedingte Unverkettbarkeit
Das System legt vorab eine Bedingung fest
Tom besitzt einen Beweis über
die Verkettung der Nachricht mit Alice
Der Beweis bleibt Eve verborgen,
solange die Bedingung erfüllt ist
Aufhebung: Kommunikation zwischen
Rick und Tom erforderlich
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 11
12. 1.6 Unverkettbarkeit zwischen Nachrichten
Totale Unverkettbarkeit
Eve besitzt keinen Beweis, dass Nachricht1
und Nachricht2 vom gleichen Absender stammen
Partielle Unverkettbarkeit
Eve weiss, dass Nachricht1, Nachricht2
vom gleichen Absender stammen
Kontrollierte Unverkettbarkeit [O., Volkamer, de Meer 2007]
Rick definiert eine Richtlinie R für zulässiges Verhalten
Tom vergibt an Alice Pseudonyme gemäß R
Nachrichten von Alice bleiben unverkettbar,
solange Richtlinie R nicht verletzt wird
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 12
13. 1.7 Überwachung der Richtlinie R
Rick definiert Zeitscheiben t(0),t(1),…
Alice erhält für jede Zeitscheibe ein eindeutiges Pseudonym von Tom
Alice hält Richtlinie R ein ‐> Nachrichten unverkettbar
Fred verletzt Richtlinie R ‐> Nachrichten verkettet
Traffic Shaping lehnt überzählige DoS‐Anfragen ab
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 13
14. 1.8 Protokoll zur Pseudonym‐Übergabe
Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick
Alice erhält ein Ticket Granting Ticket (TGT)
Alice baut Verbindung mit Rick auf und erfährt Zeitscheibe t
Kommunikationsablauf
Alice bittet einen Tom um ein Ticket für Zeitscheibe t
Alice sendet ihre Anfrage mit dem Ticket an Rick
Rick überprüft anhand des Pseudonyms,
ob der Anfragende die Richtlinie verletzt
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 14
15. 1.9 Pseudonym‐Eigenschaften und Vertrauen
Deterministisch berechenbar
Hash aus angeforderter Zeitscheibe t und Ticket
Granting Ticket = { IDAlice, NonceAlice, Gültigkeit } Authority
Schutz vor Verifizierbarkeit
Geheime Nonce („number used once“) im TGT, verhindert
dass Dritte zugewiesene Pseudonym verifizieren können
PseudAlice(t) = hash ( IDAlice || t || NonceAlice )
Integrität, jedoch ohne identifizierbaren Signierer
Einsatz einer Gruppensignatur: { t, PseudAlice(t) } Tommys
Rick verifiziert Unterschrift eines Tommys,
kann aber Tom nicht identifizieren
Notation:
{ x } Signierer Digitale Signatur
|| Konkatenation
{,,} Tupel
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 15
16. 1.10 Bewertung Denial‐of‐Service (DoS) Angriffe
Fred führt DoS‐Angriff auf Steve aus
DoS gegen Steve
Für Fred existiert nur ein einziges Pseudonym in Zeitscheibe t;
wird Richtlinie R verletzt, werden die Nachrichten verkettet;
Traffic Shaping verwirft überzählige Nachrichten
Distributed DoS gegen Steve
Pseudonyme für Fred 1..n unverkettbar
‐> lässt sich auch nicht mit Identitäten erkennen
Alle Freddies zusammen erhalten überproportional
Ressourcen, können andere Anfragen jedoch nicht verdrängen
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 16
17. 1.11 Bewertung Angriffe auf Anonymität
Eve möchte Alice als Absender einer Klartextnachricht identifizieren
Nur Authority und Tom können Alice identifizieren
Nur Steve besitzt (neben Alice) den Klartext
Kollusion zwischen Tom, Rick und Steve
Identität kann nicht ins Ticket gelangen
Rick wird von Alice ausgewählt,
gegenüber Tom unbekannt
Verkettung prinzipiell möglich
Tom: (ID, Pseudonym, t)
Rick: (Pseudonym, t, n)
Steve: (n, Text)
Prävention: Alice wählt einen nicht‐infiltrierten Tom
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 17
18. 1.12 Skalierbarkeit
Latenzzeit zwischen Alice und Steve
Überwiegend Anonymisierung
Bei Rick zusätzlich
Signatur des Tickets prüfen
Abgleich mit Arrival Curve, ggf. Verzögerung
Praktischer Einsatz
Beliebig viele Instanzen von
(vertrauenswürdigen) Tommys
Integration: bei niedriger Last
wird auf Ticket verzichtet
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 18
19. Überblick
0. Einführung
1. Störung durch Denial‐of‐Service Angriffe
2. Verhalten als Störeinfluss
g Spieltheoretische Modellierung und Bewertung von Verhalten
g Lösungsstrategien und Auswirkungen von Zielkonflikten
3. Zusammenfassung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 19
20. 2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes
Voraussetzungen für anonyme Kommunikation
Verfügbarkeit des Empfängers
Integrität des Nachrichteninhalts
Ununterscheidbarkeit in der Menge aktiver Nachrichtensender
Ökonomie der Struktur eines Anonymitätssystems
[Acquisti, Dingledine, Syverson 2003]
Design Dilemma [O., de Meer 2008]
Widerstandsfähigkeit muss Verhalten
aller Parteien miteinbeziehen
(Interdependenz)
20
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
21. 2.2 Rationales Verhalten in Anonymisierungsnetzen
Alle Spieler verhalten sich rational, vollständige Information
Modellierung mittels Spieltheorie
Identifizieren von Klassenbeschreibungen
mit geeignetem Spielausgang
Dilemma‐Spiele
Symmetrische Strategien vorteilhaft?
Nicht‐vereinbarte Kooperation vorteilhaft?
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 21
22. 2.3 Zielsetzungen in Anonymisierungsnetzen
Mögliche Zielsetzungen
Große Anonymitätsmenge (Zielsetzung 1)
Teilnahme mit geringem Ressourcenaufwand (Zielsetzung 2)
Hohe Robustheit gegenüber Störungen
Verdecktes Fehlverhalten
Verhandlungsraum
Verhandlungslösung, Ausgangspunkt
Identifizierung von Nash‐Gleichgewichten und Bewertung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 22
23. 2.4 Auswirkungen von Zielkonflikten
Angestrebte Qualität der Anonymität
Einigung auf Angreifermodell und Ununterscheidbarkeit
Anonymitätsmenge dann maximal, wenn eine Einigung erfolgen kann
Tatsächlichen Qualität der Anonymität
Prognose ist nicht verfügbar, vertrauenswürdig oder garantiert
Missbrauchsgefahr Schnittmengenangriff
Egoistisches Verhalten von Teilnehmern
Fehlender Cover Traffic beeinträchtigt Anonymität Dritter
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 23
24. 0. Einführung
1. Störung durch Denial‐of‐Service Angriffe
2. Verhalten als Störeinfluss
3. Zusammenfassung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 24
25. 3. Zusammenfassung
Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten
Kontrollierte Unverkettbarkeit: Privatsphäre der Teilnehmer gewährt
Richtlinie als Entscheidungskriterium für Unbedenklichkeit der Anfrage
Schutz vor Angriffen gegen Verfügbarkeit und Anonymität
Untersuchung von Widerstandsfähigkeit
Bewertung der Auswirkung unterschiedlicher Nutzenfunktionen
Wechselwirkungen zwischen Anonymität und Teilnehmerverhalten
Auflösung von Zielkonflikten durch Wahl geeigneter Lösungsklassen
Vision: Kooperative Anonymisierungsnetze
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 25
27. Offene Probleme und Ziele
Schutz vor einem Überflutungsangriff im Anonymisierungsnetz
Problem: Anonymität behindert Klassifizierung
Unverkettbarkeit vs. Verkettbarkeit zwischen Nachrichten
Ziel: Unverkettbarkeit zwischen zulässigen Nachrichten
Verkettbarkeit zwischen Angriffsnachrichten
Konfiguration eines widerstandsfähigen Anonymisierungsnetzes
Problem: Wechselwirkungen zwischen altruistischem und
Kosten/Nutzen‐getriebenem Handeln
Lösungsansatz: spieltheoretische Modellierung mit verschiedenen
Lösungskonzepten
Widerstandsfähigkeit von Anonymisierungsnetzen 27
28. Gruppensignatur
Pseudonym‐Ersteller besitzen gemeinsame Gruppensignatur
[Camenisch+Groth2004]
Verhindert Eingrenzung der Anonymitätsmenge durch Identifizieren
der verwendeten Pseudonym‐Erstellung
Bedingte Pseudonymität innerhalb der Gruppe:
Missbraucht ein bösartiger Pseudonym‐Ersteller seine Signaturen für
einen Überflutungsangriff, kann der Gruppenverwalter die bedingte
Pseudonymität der Signatur aufheben und den Betreffenden aus der
Gruppe ausschliessen
Widerstandsfähigkeit von Anonymisierungsnetzen 28
29. Taxonomie von Anonymisierungstechniken
Prognose Garantie A‘ = Anonymität
Keine zus. Annahmen Wahrgenommene A’ (4) Zugesicherte A’ (3)
Vertrauen notwendig Berichtete A’(1) Richtlinien-gestützte A’ (2)
Größenprognose der Anonymitätsmenge in JAP An.On Mixerkaskade:
Annahme: Anonymitätsmenge bleibt konstant
(1) Vertrauen in die funktionale Integrität der Aggregation
Füllstand‐getriggerte Pool‐Mixes:
Annahmen: Nachrichten verschiedener Sender, keine Kollusion
(2) Vertrauen des Senders in die korrekte Funktion des Mixes
Dining Cryptographer Netz:
Annahme: Knotengrad übersteigt Kollusion
(3) Garantie für Anonymitätsmenge, wenn Schlüsselgraph unverändert bleibt
(4) Prognose verfälscht, wenn Knoten unbenachrichtigt ausscheidet
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 29
30. Ökonomische Störungen
Schutz von Anonymität und Verfügbarkeit im kooperativen Betrieb
Eigene Anonymität hängt vom Verhalten dritter Teilnehmern ab
Selten altruistisches Verhalten wegen begrenzte Ressourcen
Pseudonymität verhindert Anreize gegen Fehlverhalten
Widerstandsfähigkeit stark beeinträchtigt
Prävention
Festlegung eines Systemmodells
Modellierung strategischen Verhaltens
Bewertung von Systemparametern nach Widerstandsfähigkeit
Widerstandsfähigkeit von Anonymisierungsnetzen 30
31. Dining Cryptographer (DC) Netz
Überlagerte Nachrichten schützen Unverkettbarkeit
Disrupter Angriff := gleichzeitig Belegung eines
Übertragungsblockes führt zu Kollision
Gesendete Nachrichten überlagern sich
Integrität zerstört
Erneute Übermittlung notwendig
Widerstandsfähigkeit von Anonymisierungsnetzen 31
32. Systemmodell
Anonymisierungstechnik: Dining Cryptographer Netzwerk
Garantierte untere Schranke für Anonymitätsmenge
Integritätsverletzungen durch böswillige Teilnehmer
Welche Ziele verfolgen die rational‐handelnde Parteien?
Designer: störungsfreie, unbeobachtbare Kommuniktion
Teilnehmer: unbeobachtbare Kommunikation mit geringen Kosten
Angreifer: verhindert eigene Identifizierung, verhindert
Kommunikation
Widerstandsfähigkeit von Anonymisierungsnetzen 32
33. Gefangenen Dilemma
Ohne bindende Vereinbarungen
Nash Gleichgewicht :=
Strategievektoren, bei denen
kein Spieler alleine seinen
Nutzen erhöhen kann
Iteriertes Gefangen‐Dilemma
Egoistisches Handeln
verschlechtert
durchschnittlichen Nutzen
Widerstandsfähigkeit von Anonymisierungsnetzen 33
34. Modellierung mit Spieltheorie
Designer: Teilnehmer:
Angreifer: leicht zu entdecken, falls nicht
Interdependenz rational
Wirksamkeit hängt vom Verhalten vieler Beteiligter ab
Perfekte Rationalität
Alle Beteiligten handeln strikt nach dem erwarteten Nutzen
Vollständige Information
Nutzenfunktionen
Schätzung von Anonymität wird berücksichtigt
Perfekte Information
Berücksichtigung vergangener Aktionen in einem sequentiellen Spiel
Validität? Verhalten des Mitspielers vorhersagbar?
Beruht die Einschätzung auf Aussagen Dritter?
Widerstandsfähigkeit von Anonymisierungsnetzen 34
35. Modellierung
Nicht‐kooperative Spieltheorie
Autonome Entscheidungen basierend auf
erwartetem Verhalten
Nash‐Gleichgewichte abhängig von
Modellierungs‐Parametern von
zwei/drei Spielern
Modellierte Eigenschaften
Kollisionsrobustheit des Protokolls
Teilnahmerate
Präferenz für Robustheit
Angriffe auf Verfügbarkeit
Kosten für Senden/Empfang tragbar
Widerstandsfähigkeit von Anonymisierungsnetzen 35
36. Bewertung der Modellierungsergebnisse I
α =1 Sequentiell Nicht kooperativ
Vergleich des Defektieren 1 Robust
nicht‐
Designer
kooperativem mit Kooperieren 0 Effizient
0 0.5 1
sequentiellen Spiel Defektieren 1 Verlassen
p2
Gibt es Parameter, Teilnehmer
Kooperieren 0 Teilnehmen
für die Teilnehmer 0 0.5 1
Defektieren 1 Störung
und Angreifer Angreifer
p3
kooperieren?
Kooperieren 0 Konform
0 0.5 1
γ Präferenz für hohe Anonymität
1−β Fähigkeit zur Disrupter-Identifizierung
Widerstandsfähigkeit von Anonymisierungsnetzen 36
37. Bewertung der Modellierungsergebnisse II
Risikoeinschätzung β =0.75 γ=0.25 Sequentiell Nicht kooperativ
Defektieren 1
anhand der Robust
Nutzendifferenz Designer
Kooperieren 0 Effizient
Verhalten Defektieren 1
0 0.5 1
Verlassen
unbestimmbar,
p2
wenn Nutzen‐ Teilnehmer
Kooperieren 0 Teilnehmen
differenz gering 0 0.5 1
Defektieren 1 Störung
Wie wirkt sich Angreifer
p3
Widerstandsfähigkeit Kooperieren 0 Konform
auf das Verhalten der 0 0.5 1
Spieler aus? α Kodierungsschema kollisionsrobust
Widerstandsfähigkeit von Anonymisierungsnetzen 37