Ansatz basierend auf Koordinatentransformationen

Im Folgenden wird ein speziell f¨ur die Nahbereichs- und Trennungserkennung entwickelter Ansatz vorgestellt, welcher sich nach [33] auch als Anonymisierungstechnik basierend auf Datenverschleierung einordnen l¨asst. Anonymit¨at bezeichnet dabei den Zustand, wenn ei-ne Zielperson inei-nerhalb eiei-ner Menge von Subjekten, der so genannten Anonymit¨atsmenge, nicht identifizierbar ist, vergleiche [134]. Abh¨angig vom zugrunde liegenden Vertrauens-modell hat der Ansatz zum Ziel, Identit¨aten verfolgter Zielpersonen vor Aufdeckung seitens des LBS bzw. des Location Providers zu sch¨utzen. Der Ansatz setzt die Verwendung von Pseudonymen voraus, dynamische Pseudonymwechsel sind jedoch explizit kein integraler Bestandteil, um die Eignung f¨ur querverweisende LBSs zu gew¨ahrleisten (vergleiche Ab-schnitt 6.1.1).

Vertrauensmodell

Im Folgenden bezeichnet der Begriff vertrauensw¨urdige Entit¨at einen LBS-Akteur, dem es gestattet ist, die echte Position und Identit¨at einer Zielperson zu kennen. Dabei wird

zentralisiert

Peer-to-Peer

Zielperson

Zielperson

Zielperson

Location Provider

LBS Provider

LBS Provider

LBS Provider

vetrauenswürdig nicht vetrauenswürdig

Zielperson

Zielperson

Zielperson

Location Provider

LBS Provider

LBS Provider

LBS Provider

Abbildung 6.2: Vertrauensmodelle: zentralisiertes (oben) und Peer-to-Peer-Modell (unten)

von einer sicheren Kommunikation zwischen Zielpersonen und vertrauensw¨urdigen En-tit¨aten ausgegangen. Ausgehend von der in Abschnitt 2.3 beschriebenen indirekten end-ger¨atzentrischen LBS-Wertsch¨opfungskette unterst¨utzt der Ansatz zwei grundlegende Ver-trauensmodelle, vergleiche Abbildung 6.2 (die Pfeile kennzeichnen die ¨Ubertragung von Ortsinformationen).

Im Peer-to-Peer-Modell sind weder der LBS Provider noch der Location Provider ver-trauensw¨urdige Entit¨aten. Vertrauensw¨urdig in Bezug auf eine bestimmte Zielperson sind lediglich diejenigen anderen Zielpersonen, f¨ur die Nahbereichs- und Trennungsereignis-se erkannt werden sollen. Dabei werden Funktionen zur gegenTrennungsereignis-seitigen Authentifizierung, Schl¨usselinitialisierung und -verteilung, zur Verwaltung der verwendeten Pseudonyme so-wie zur Verschleierung der Ortsinformationen von den Zielpersonen kooperativ erbracht.

Eine detaillierte Beschreibung daf¨ur ben¨otigter, existierender Techniken zur sicheren Grup-penkommunikation sowie entsprechender Protokolle zur Generierung von Gruppenschl¨us-seln findet sich in [172].

Im zentralisierten Modell tritt der Location Provider als vertrauensw¨urdige Entit¨at auf, die somit alle gerade genannten Funktionen ¨ubernehmen kann. Der Location Provider be-dient eine Reihe verschiedener nicht vertrauensw¨urdiger LBS Provider mit den Ortsinfor-mationen der Zielpersonen. Dieses Modell wird auch von den bestehenden, bereits bespro-chenen Ans¨atzen zur Anonymisierung vorausgesetzt. Andernfalls, also Peer-to-Peer, w¨urde zum Beispiel die Berechnung einer Verh¨ullungsfunktion, die genau k-Anonymit¨at erzeugt, erheblichen Kommunikationsaufwand zwischen den Zielpersonen verursachen. ¨Ahnliches gilt f¨ur die Berechnung von Mix-Zonen.

W¨ahrend in beiden Vertrauensmodellen die Rollen des Location Providers und des LBS Providers von jeweils verschiedenen Akteuren ¨ubernommen werden k¨onnen, l¨asst es das

Peer Modell auch zu, dass ein Akteur beide Rollen ¨ubernehmen kann. Das Peer-to-Peer-Modell wirkt zun¨achst einmal viel versprechend, da es nur den verfolgten Zielpersonen den Zugriff auf sensible Informationen gestattet. Werden jedoch die Positionen vieler Ziel-personen miteinander korreliert, so wird hier die Schl¨usselverwaltung zum Problem.

Idee zur Anonymisierung

Wie bereits gesagt, sind Ortsdaten grunds¨atzlich hochgradig identifizierend, da sie in der Re-gel Informationen ¨uber die Wohnung oder den Arbeitsplatz einer Zielperson enthalten und auch Aufschluss ¨uber Freizeitaktivit¨aten oder andere charakteristische Gewohnheiten geben, zum Beispiel die von der Person pr¨aferierten Verkehrsmittel. Bei querverweisenden sowie proaktiven LBSs f¨allt dieser Umstand besonders ins Gewicht, da hier typischerweise viele gesammelte Ortsdaten mit demselben Pseudonym verkn¨upft werden, um eine konsistente Referenzierung der Zielperson zu gew¨ahrleisten. Im Folgenden wird eine solche zeitliche Ansammlung von Ortsdaten bezogen auf ein Pseudonym als Trace bezeichnet. Vereinfacht gesagt gilt: Je mehr Ortsdaten ein Trace enth¨alt, desto identifizierender ist er f¨ur die Zielper-son, vergleiche auch [67].

Ziel des vorgestellten Ansatzes ist es, Traces weniger identifizierend zu machen. Dabei wird der Umstand ausgenutzt, dass zur Nahbereichs- und Trennungserkennung nur relative Distanzen zwischen den Zielpersonen gemessen werden. Die Idee besteht darin, distanzer-haltende Koordinatentransformationen gleichermaßen auf die Traces der miteinander in Be-ziehung gebrachten Zielpersonen anzuwenden. So k¨onnen Nahbereichs- und Trennungser-eignisse weiterhin korrekt erkannt werden, w¨ahrend den Traces m¨oglicherweise identifizie-rende Merkmale genommen werden.

Zweistufige Verschleierung

Der Ansatz basiert auf den folgenden Definitionen, vergleiche auch Abbildung 6.3.

• E = {e₁, e₂, ..., e_n},1 < i ≤ n ist eine Menge von Zielpersonen, deren Positionen miteinander korreliert werden sollen,

• p(e, t) :E×R→R² liefert die wahre Position einer Persone∈Ezum Zeitpunktt,

• s_G ∈Nist ein geheimer, f¨urE spezifischer Schl¨ussel,

• p^∗(e, t, sG) : E×R×N →R² berechnet die verschleierte Position vonezum Zeit-punktt.

Ein zweistufiger Verschleierungsalgorithmus wird auf die Koordinaten aller Personen in E gleichermaßen angewendet. Als Erstes ist eine zeitunabh¨angige, globale Transformati-on vorgesehen, bestehend aus einer RotatiTransformati-on mit Winkel α um den Punkt (j, k) ∈ R² in Kombination mit einer Translation (x_global, y_global) ∈ R². Die zweite Stufe wendet eine zeitabh¨angige Translation~v := (x_local, y_local)∈R² an.

Dabei soll die erste Stufe den Koordinaten ihren globalen Bezugspunkt nehmen, so dass Angriffe basierend auf typischen Aufenthaltsorten vermieden werden. Die zweite Stufe ver-wischt lokale Bewegungen der Zielpersonen und soll Angriffe basierend auf wohlbekannten

r

(x

, y

)

p(e

, t)

(j, k)

p*(e

, t, sG)

x y

(x

, y

) p(e

, t)

p*(e

, t, sG)

(x

, y

) r

(x

, y

)

Abbildung 6.3: Zweistufige Verschleierung

Bewegungsmustern einer Zielperson sowie Straßenmustern verhindern. Abschnitt 6.1.4 be-handelt m¨ogliche Angriffsszenarien im Detail.

Die Parameterα, j, k, x_globalundy_global(erste Stufe) h¨angen vons_Gab. Der lokale Trans-lationsvektor ~v := (x_local, y_local) (zweite Stufe) ist begrenzt auf eine L¨ange von |v| ≤ r_{max local}und h¨angt vons_Gsowie von der aktuellen Uhrzeit ab. Wie sp¨ater diskutiert, ist eine Voraussetzung f¨ur die Robustheit des Ansatzes, dass die lokale, zeitabh¨angige Translation nicht von selbst, also ohne Bewegung der Zielperson, Position Updates provoziert. Ausge-hend von den Schlussfolgerungen aus Abschnitt 6.1.2 muss daher gelten, dassr_{max local} ≤ d_sample. ¨Uberschreitet n¨amlich der Wert der lokalen Translation den der minimalen Abtast-distanz nicht, wird ein automatisches Ausl¨osen von Position Updates vermieden.

Im zentralisierten Modell kann die aktuelle Uhrzeit vom Location Provider ermittelt wer-den. Selbstverst¨andlich k¨onnen hier auch logische Uhrzeiten verwendet werwer-den. Im Peer-to-Peer-Modell hingegen m¨ussen die Uhrzeiten der Endger¨ate synchronisiert sein, was eine prinzipielle Schwierigkeit darstellt, die sich aber, ausgehend von endger¨atbasierter Ortung wie GPS oder Galileo, elegant l¨osen l¨asst. GPS-Satelliten sind mit Atomuhren ausgestattet und ¨ubertragen die gemessenen Zeiten zusammen mit den Signalen, die zur Positionsbestim-mung verwendet werden. Auch lassen sich die Uhrzeiten standardm¨aßig, zum Beispiel mit Hilfe des Protokolls NMEA-0183 der National Marine Electronics Association [21], aus GPS-Empf¨angern auslesen. Eine skalierbare Methode zur Uhrensynchronisation der End-ger¨ate ist somit gegeben.

original lokal verschleiert

original lokal verschleiert

Abbildung 6.4: Ein Trace im Original (+) und lokal verschleiert (x), mit gr¨oßerem (links) und kleinerem (rechts)r_{max local}.

Abbildung 6.4 zeigt einen mit zwei verschiedenen Werten f¨ur r_{max local} verschleierten Trace. Zwecks klarer Darstellung wird die globale Transformation in der Abbildung weg-gelassen und nur die lokale, zeitabh¨angige Translation gezeigt, welche ja Bewegungsmuster verwischen soll.

Trotz der Transformationen gilt jedoch: Je l¨anger Traces sind, desto identifizierender sind sie prinzipiell auch. Die Durchf¨uhrung regelm¨aßiger Pseudonymwechsel der Zielperson ist

aus den genannten Gr¨unden f¨ur querverweisende LBSs leider keine geeignete L¨osung. Es wird daher vorgeschlagen, den Schl¨ussels_Gvon Zeit zu Zeit auszutauschen. Ohne weitere Vorkehrungen k¨onnte dies leider dazu f¨uhren, dass ein Angreifer zwei Schl¨ussel aufeinan-der abbilden kann, zum Beispiel indem er beobachtet, dass die Positionen aller Zielpersonen gleichzeitig um eine weite Strecke versetzt werden. Um dies zu vermeiden, wird die Beach-tung bestimmter Schutzzeiten zwischen der Benutzung verschiedener Schl¨ussel empfohlen.

W¨ahrend solcher Schutzzeiten d¨urfen keinerlei Positionen ¨uber die Zielpersonen gesammelt werden.