deterministisch: Chiffrate unterscheidbar, Klartext einzelner nicht ermittelbar

prob: Chiffrate ununterscheidbar, Klartext nicht ermittelbar

homomorph: prob Chiffrate + $Enc(k_1) \oplus Enc(k_2) = Enc(k_1 \otimes k_2)$

aufteilen der Daten → keine Zusammenhänge für einzelne erkennbar

+: verhindert Verknüpfen von Attributwerten, bel Anfragen effizient durchführbar

-: mehrere Storage Provider, nicht alle Schutzbedarfe abdeckbar, ^ nur falls auf einem SP

Suppression: entsprechend viele Attribute unterbinden

Generalization: verallgemeinert eine Spalte (zB. Name auf Anfangsbuchstabe)

Fake Tuple Insert: falsches Tupel erzeugen

+: Anfragen ausführbar

-: Anonymitätsgrad unklar, aufwendig, Daten werden "unscharf"

Unterstützt Datenvertraulichkeit + Datenanfragbarkeitsanforderungen

Schutzziele: C, Datenschutz, A

Securus-Latin: domänenspez Sprache für Policy Profiles (= Datenstruktur, Access Policies, Confidentiality + Inference Constraints)

AP: effizient ausführbare Anfragenmenge

CC: vertrauliche Attributmenge, Spezialfall |CC| = 1 → muss verschlüsselt sein

IC: Angreifer kann kein Wissen aus det Chiffraten dieser Attribute gewinnen

Verschlüsseln der Daten (Einträge per ID abrufbar) → Erstelle Indextabelle pro AP → Substitutionsklassen: abh von welchen Daten + Anfragen + CC + AP → ILP Modell lösen

Policy-Transformation: Policy-Profile → ILP-Problem → ILP-Lösung → Lösung → Mediator

IC reichen nur für Häufigkeitsanalysen, neue Angriffe falls Anfrage + Ergebnisse auslesbar

Sicherheitsgarantien: Content, Access + Pattern Confidentiality

Bsp: Path ORAM: binärer Baum, kein aggrerierbarer Informationsgewinn für Angreifer

-: Performance