k-anonymity Überblick und diskussion

k-Anonymity Überblick und Diskussion

von Sebastian Sebald

15. Juli 2010

Vortrag im Rahmen des Seminars"Sicherheitstechnologien der Informationsgesellschaft"

k-Anonymity - Überblick und Diskussion 2

Übersicht

Veröffentlichen von anonymisierten Daten

Angriff auf anonyme Daten

Das k-Anonymity Modell

Identifikation von Personen

15.07.2010


Veröffentlichen von anonymisierten Daten

Name Geburtsdatum Geschlecht PLZ Krankheit

Hans Hauck 17. Apr 65 M 79098 Impotenz

Peter Petersen 31. Juli 65 M 79096 Adipositas

Karl Kleber 17. Jan 65 M 79098 Bluthochdruck

Till Thomas 5. Juli 83 M 79331 Schizophrenie

Frank Faber 31. Dez 81 M 79336 Diabetes

Sandra Schmid 5. Juli 83 W 79338 Bronchitis

Lieschen Lauer 31. Okt 83 W 79331 Magersucht

15.07.2010

Entfernen von eindeutigen Identifikatoren

Können die Personen nicht mehr identifiziert werden?


Bekannt, dass Lieschen in den Daten enthalten ist

Wissen über die anonymisierten Daten

15.07.2010

5

Re-Identification by Linking

15.07.2010 k-Anonymity - Überblick und Diskussion

Geburtsdatum Geschlecht PLZ Krankheit

17. Apr 65 M 79098 Impotenz

31. Juli 65 M 79096 Adipositas

17. Jan 65 M 79098 Bluthochdruck

5. Juli 83 M 79331 Schizophrenie

31. Dez 81 M 79336 Diabetes

5. Juli 83 W 79338 Bronchitis

31. Okt 83 W 79331 Magersucht

Verknüpfen der Datensätze miteinander


Quasi-Identifier

Menge von Attributen, die kombiniert mit externen Daten Personen eindeutig identifizieren

15.07.2010

Name Geburtsdatum Geschlecht PLZ KrankheitHans Hauck 17. Apr 65 M 79098 Impotenz







Quasi-IdentifierEindeutige Identifikatoren


k-Anonymity Modell

k-Anonymity ist erfüllt, wenn: k Personen mit derselben

Wertekombination der Quasi-Identifier existieren

15.07.2010


Beispiel: k-Anonymity

15.07.2010


Hans Hauck 17. Apr 65 M 79098 Impotenz







Entfernen der eindeutigen Identifikatoren durch Supression




15.07.2010


* 17. Apr 65 M 79098 Impotenz

* 31. Juli 65 M 79096 Adipositas

* 17. Jan 65 M 79098 Bluthochdruck

* 5. Juli 83 M 79331 Schizophrenie

* 31. Dez 81 M 79336 Diabetes

* 5. Juli 83 W 79338 Bronchitis

* 31. Okt 83 W 79331 Magersucht




15.07.2010









Quasi-Identifier



15.07.2010









Quasi-Identifier

Generalisieren von Geburtsdatum



15.07.2010


'65 M 79098 Impotenz

'65 M 79096 Adipositas

'65 M 79098 Bluthochdruck





Quasi-Identifier

Generalisieren von PLZ



15.07.2010


'65 M 7909* Impotenz

'65 M 7909* Adipositas

'65 M 7909* Bluthochdruck





Quasi-Identifier



15.07.2010









Quasi-Identifier

Generalisieren von Geburtsdatum



15.07.2010





'81-'83 M 79331 Schizophrenie

'81-'83 M 79336 Diabetes

'81-'83 W 79338 Bronchitis

'81-'83 W 79331 Magersucht

Quasi-Identifier

Generalisieren von PLZ



15.07.2010





'81-'83 M 7933* Schizophrenie

'81-'83 M 7933* Diabetes

'81-'83 W 7933* Bronchitis

'81-'83 W 7933* Magersucht

Quasi-Identifier



15.07.2010





'81-'83 M 7933* Schizophrenie

'81-'83 M 7933* Diabetes

'81-'83 W 7933* Bronchitis

'81-'83 W 7933* Magersucht

2-anonyme Tabelle


Zusammenfassung: k-Anonymity Keine Verknüpfung über die Quasi-

Identifier möglich um weniger als k Personen zu erhalten

Grad von Anonymität

15.07.2010


Identifikation von Personen Vor k-Anonymity

Eindeutige Identifikatoren (Name, Sozialversicherungsnummer)

Durch k-Anonymity Quasi-Identifier (Postleitzahl, Geschlecht)

15.07.2010



15.07.2010

Können Personen nicht mehr identifiziert werden?



15.07.2010

The versatility and power of re-identification algorithms imply that terms such as

"personally identifiable" and "quasi-identifier" simply have no technical

meaning. While some attributes may be uniquely identifying on their own, any

attribute can be identifying in combination with others.- Arvind Narayanan and Vitaly Shmatikov, Myths and Fallacies of "Personally Identifiable Information"

"

k-anonymity Überblick und diskussion

Documents