Re-identification attacks to validate the privacy provided by anonymization

Abstract

When sensitive microdata regarding people is published, choosing a secure anonymization method is vital. Comparing the effectiveness of different anonymization methods is challenging due to their structural differences. Many re-identification attacks exist that attempt to reverse these methods and identify individuals. However, prior work typically evaluates privacy risks in isolation - focusing on a single anonymization technique at a time. The proposal in this work is to compare different anonymization methods by simulating re-identification attacks on them. In a first step, an ontology that models the landscape of attacks and anonymization methods is created. Additionally, all attacks available in the literature are retrieved and analyzed with regard to which anonymization methods are susceptible to them. As specified in the ontology, the anonymization methods, attacks and their relationships are organized into a structured knowledge graph. Finally, a framework is created, making our contributions seamlessly accessible. The framework allows access to the knowledge graph via an interactive visualization. Additionally, attacks that can be simulated on custom data anonymized by different methods are implemented. After simulating the attacks, their success can serve as a state-of-the-art approximation of the actual re-identification risk. The attack’s success aids in bridging the comparability gap between structurally different anonymization methods. Beim Veröffentlichen von personenbezogenen Mikrodaten ist die Wahl einer sicheren Anonymisierungsmethode essentiell. Der Vergleich der Effektivität verschiedener Anonymisierungsmethoden ist aufgrund ihrer strukturellen Unterschiede allerdings eine große Herausforderung. Es existiert eine Vielzahl von Re-Identifikationsangriffen, die versuchen, diese Methoden anzugreifen und Individuen zu identifizieren. Allerdings bewertet die bisherige Forschung das Risiko eines Angriffs in der Regel isoliert - jeweils mit Fokus auf eine einzelne Anonymisierungstechnik. Das Ziel dieser Arbeit ist es, verschiedene Anonymisierungsmethoden zu vergleichen, indem Re-Identifikationsangriffe simuliert werden. Im ersten Schritt wird eine Ontologie erstellt, die die Angriffe, Anonymisierungsmethoden und deren Verbindungen modelliert. Darüber hinaus werden alle in der Literatur dokumentierten Angriffe gesammelt. Außerdem werden sie dahingehend analysiert, welche Anonymisierungsmethoden durch sie angreifbar sind. Wie durch die Onthologie vorgegeben werden die Beziehungen zwischen Methoden und Angriffen in einem strukturierten Knowledge Graph organisiert. Abschließend wird ein Framework entwickelt, um das erarbeitete Wissen intuitiv zugänglich zu machen. Das Framework ermöglicht den Zugriff auf den Knowledge Graph über eine interaktive Visualisierung. Zusätzlich werden Angriffe implementiert, die auf benutzerdefinierten, durch verschiedene Methoden anonymisierten Daten simuliert werden. Die Erfolgsrate dieser Angriffe kann anschließend als eine State-of-the-Art Annäherung des tatsächlichen Re-Identifikationsrisikos dienen. Die Erfolgsrate des Angriffs hilft, die Lücke in der Vergleichbarkeit strukturell unterschiedlicher Anonymisierungsmethoden zu schließen.