In diesem Kapitel werden grundlegende Verfahren zum Schutz von Verkehrs- und Interessensdaten vor Angreifern in Vermittlungszentralen und Kommunikationspartnern dargelegt. Zunächst werden Schutzmaßnahmen erläutert, die außerhalb des Netzes angesiedelt sind das heißt, die jeder Benutzer für sich trifft. Diese werden sich als nicht ausreichend erweisen. Danach werden solche Schutzmaßnahmen dargestellt, die innerhalb des Netzes angesiedelt sind, das heißt die Benutzung des Netzes nicht verändern, jedoch den Transport innerhalb des Netzes.
Bei Schutzmaßnahmen außerhalb des Netzes sind Ziel- und Herkunftsadresse einer Nachricht weiterhin im Netz als Vermittlungsdaten sichtbar. Dazu sind natürlich die Zeit, zu der eine Nachricht im Netz ist, und zumindest für den Kommunikationspartner die Nutzdaten sichtbar. Man muß verhindern, daß daraus Schlüsse auf Verkehrs- und Interessensdaten gezogen werden können.
Öffentliche Anschlüsse
Die Herkunftsadresse und Zieladresse einer Nachricht werden weitgehend bedeutungslos, wenn man verschiedene öffentliche Anschlüsse benutzt, zum Beispiel Telefonzellen. Dies gilt natürlich nur, wenn man sich nicht zu Zwecken der Zugangskontrolle oder der Zahlung von Gebühren identifizieren muß das heißt anonym bleibt.
Die Anwendung und Wirkung dieser Maßnahme ist stark eingeschränkt: Wer etwa will in (Bild-) Telefonzellen fernsehen?
Die Zeit, zu der sich eine Nachricht im Netz befindet, wird weitgehend bedeutungslos, wenn man Teilnehmerstationen (zum Beispiel Personal Computer) Informationen nicht erst dann anfordern läßt, wenn der Teilnehmer sie benötigt, sondern zu einem beliebigen Zeitpunkt vorher:
Will man eine Zeitung lesen, so kann die Teilnehmerstation sie bereits zum Erscheinungszeitpunkt oder einem Zeitpunkt mit besonders geringen Übertragungskosten (zum Beispiel Nachttarif) anfordern und zum späteren Lesen abspeichern.
Diese Schutzmaßnahme verhindert, daß der Netzbetreiber allein aus dem Vermittlungsdatum "Zeit" und Kontextwissen schließen kann, wer mit wem kommuniziert:
Wenn tagsüber eine Zeitung angefordert wird und zehn Leute als Anforderer in Frage kommen, von denen bekanntlich neun in Tag- und einer in Nachtschicht arbeiten, wäre ohne zeitliche Entkoppelung klar, daß sie der Nachtarbeiter liest.
Kann der Netzbetreiber auf andere Art erkennen, wer mit wem kommuniziert, so erschwert diese Maßnahme doch zumindest das Erstellen von Persönlichkeitsbildern über den Tagesablauf.
Natürlich greift diese Maßnahme nicht bei Kommunikationsformen mit Realzeitanforderungen.
Lokale Auswahl
Um Interessensdaten zu schützen, kann man Information in großen Einheiten anfordern und lokal auswählen (lassen), was einen wirklich interessiert:
Bestellt man sich statt eines bestimmten Zeitungsartikels mehrere Zeitungen verschiedener politischer Richtungen, so können aus der Bestellung keinerlei Rückschlüsse auf die Interessen und Meinungen des Bestellers gezogen werden.
Zusätzlich ließe sich durch "intelligente" Teilnehmerstationen die Dienstleistung sogenannter Ausschnittsbüros, die einem Kunden auf Wunsch zu einem bestimmten Thema Artikel aus mehreren Zeitungen zusammenstellen, jedem Teilnehmer bieten.
Durch die lokale Auswahl verschleiert man selbst gegenüber dem Kommunikationspartner, was einen wirklich interessiert.
Das Anfordern von großen Informationseinheiten vom Kommunikationspartner ist folglich als Schutz bei solchen Informationsarten sinnvoll, die unverschlüsselt übertragen werden oder bei denen Netzbetreiber und Kommunikationspartner identisch sind oder als zusammenarbeitend angenommen werden können.
In zukünftigen Netzen, in denen (zumindest für schmalbandiges Senden) reichlich Bandbreite zur Verfügung steht, verursacht diese Maßnahme bei Diensten, bei denen der Benutzer nur bereits bereitgestellte Information abruft, real beinahe keine Kosten. Es ist jedoch eine Frage des Abrechnungsmodus, ob dies auch dem Anwender dieser Maßnahme zugute kommt.
Schutz innerhalb des Netzes
Im Gegensatz zu den oben genannten Schutzmaßnahmen sollen in diesem Kapitel Maßnahmen vorgestellt werden, die die im Netz anfallenden Vermittlungsdaten selbst verringern.
Dadurch soll für den Teilnehmer unsichtbar, aber nachprüfbar Senden und Empfangen, zumindest aber die Kommunikationsbeziehungen zwischen Teilnehmern vor möglichen Angreifern (bösen Nachbarn, dem Netzbetreiber, großen Organisationen und Konzernen und so weiter) verborgen werden, so daß das Erfassen von Verkehrs- oder Interessensdaten unmöglich wird.
Da Schutz vor einem allmächtigen Angreifer, der alle Leitungen, alle Vermittlungszentralen, alle Teilnehmerstationen außer der eigenen und dem Kommunikationspartner kontrolliert, nicht möglich ist, sind alle folgenden Maßnahmen nur Annäherungen an den perfekten Schutz des Teilnehmer vor jedem möglichen Angreifer. Die Annäherung wird im allgemeinen durch Angabe des unterstellten Angreifermodells (Was wird von ihm kontrolliert? Wie stark ist er maximal?) beschrieben.
Verbirgt ein Kommunikationsnetz Senden und Empfangen oder zumindest die Kommunikationsbeziehung vor dem unterstellten Angreifer, so nennen wir es anonym und sprechen dann von anonymer Kommunikation.
Schutz des Empfängers
Indem das Netz alle Informationen an alle Teilnehmer sendet (Verteilung, Broadcast), kann man den Empfänger der Information vor dem Netz und dem Kommunikationspartner schützen.
Will man dies auch bei bisher vermittelten Diensten tun, so muß jede Teilnehmerstation anhand eines Merkmals (implizite Adresse) entscheiden können, welche Nachrichten wirklich für sie bestimmt sind.
Kann eine Adresse nur vom Empfänger ausgewertet werden, so spricht man von verdeckter Adressierung. Kann eine Adresse von jedem ausgewertet, das heißt auf Gleichheit mit anderen Adressen getestet werden, so nennt man dies offene Adressierung [Waid 85].
Die übliche Implementierung von verdeckter Adressierung verwendet Redundanz innerhalb des Nachrichteninhalts und ein Kryiptosystem mit öffentlichen Schlüsseln [Denn 82]. Jede Nachricht wird mit dem öffentlichen Schlüssel des adressierten Teilnehmers verschlüsselt (wodurch gleichzeitig Ende-zu-Ende verschlüsselt wird). Nach der Entschlüsselung mit dem zugehörigen privaten Schlüssel kann die Teilnehmerstation des adressierten Teilnehmers anhand der Redundanz feststellen, daß die Nachricht für sie bestimmt ist. Da die Implementierungen von Kryptosystemen mit öffentlichen Schlüsseln langsam sind und jede Teilnehmerstation alle Nachrichten entschlüsseln muß, ist dieses Verfahren im allgemeinen viel zu aufwendig. Es kann durch Austausch eines geheimen Schlüssels und Verwendung eines schnelleren konventionellen Kryptosystems (statt eines Kryptosystems mit öffentlichen Schlüsseln) nach Aufnahme der Kommunikationsbeziehung jedoch etwas effizienter gestaltet werden.
Unterschied zwischen den Adressierungen
Offene Adressierung läßt sich einfacher realisieren, indem man zum Beispiel Nachrichten mit einem Adreßfeld versieht und die Teilnehmer (-stationen) beliebige Zahlen als Adressen erzeugen. Eine Teilnehmerstation muß dann nur bei allen erhaltenen Nachrichten dieses Adreßfeld mit ihren Adressen vergleichen.
Hinsichtlich der Adreßverwaltung kann man bei beiden Formen der impliziten Adressierung öffentliche und private Adressen unterscheiden: Öffentliche Adressen stehen in allgemein zugänglichen Adreßverzeichnissen (zum Beispiel in einem "Telefonbuch") und dienen meist einer ersten Kontaktaufnahme. Private Adressen werden an einzelne Kommunikationspartner gegeben. Dies kann entweder außerhalb des Netzes oder innerhalb als Absenderangabe in Nachrichten geschehen.
Bei offener Adressierung, im Gegensatz zur verdeckten, kann das Netz Informationen über die Empfänger von Nachrichten gewinnen. Dies kann bei Verwendung privater Adressen geschehen, wenn man dieselbe Adresse mehrfach verwendet, weil dann erkennbar wird, daß diese Nachrichten an denselben Empfänger gerichtet sind. Die mehrmalige Verwendung muß also durch fortlaufendes Generieren und Mitübertragen oder durch Vereinbarung eines Generieralgorithmus (Pseudozufallszahlengenerator) vermieden werden. Bei Verwendung öffentlicher offener Adressen kann sogar festgestellt werden, unter welcher Bezeichnung der Empfänger im Adreßverzeichnis eingetragen ist. Die Verwendung solcher Adressen sollte also möglichst vermieden werden.
Die Datenschutz- und Aufwandseigenschaften der Kombinationen von Adressierungsart und Adreßverwaltung sind in Bild 3 zusammengefaßt.
Gegenüber expliziter Adressierung, bei der die Adreßinformation vom Netz interpretiert und zur Wegwahl und damit zur Minimierung der Netzbelastung verwendet wird, hat implizite Adressierung bezüglich der effizienten Nutzung des Netzes einen leichten Vorteil und einen schweren Nachteil: Das Wegwahl-Problem (routing) im Netz vereinfacht sich, wenn man zum Beispiel Überflutung (flooding [Tane 81]) einsetzt: Jede Station überträgt jede Nachricht an alle Nachbarstationen von denen sie diese Nachricht (noch) nicht empfangen hat. Je nach Netz kann jedoch die nutzbare Leistung sehr stark absinken.
Durch Verteilung und geeignete implizite Adressierung kann der Empfänger einer Nachricht also vollständig geschützt werden.
Schutz der Kommunikationsbeziehung
Statt zusätzlich zum Empfänger auch den Sender verborgen zu halten, kann man zunächst versuchen nur deren Verbindung geheimzuhalten und so die Anonymität der Kommunikation herzustellen.
Diese Idee wird durch das Verfahren der umcodierenden MIXe verwirklicht [Chau 81].
Bei diesem von David Chaum 1981 für elektronische Post vorgeschlagenen Verfahren werden Nachrichten nicht notwendigerweise auf dem kürzesten Weg zum Empfänger geschickt, sondern über mehrere möglichst unabhängige, umcodierende und umsortierende Zwischenstationen, sogenannte MIXe, geleitet. Der Absender einer Nachricht verschlüsselt sie so mit Schlüsseln eines Kryptosystems mit öffentlichen Schlüsseln, daß sie nacheinander von einer von ihm gewählten Folge von MIXen mit deren zugehörigen privaten Schlüsseln entschlüsselt werden muß. Dadurch ändert sich das Erscheinungsbild der Nachricht auf jedem Stück ihres Weges, so daß ihr Weg (außer wenn alle MIXe, die sie durchläuft, zusammenarbeiten) nicht verfolgt werden kann.
Um ein Verfolgen von Nachrichten nicht durch zeitliche Zusammenhänge oder ihre Längen zu ermöglichen, muß jeder MIX eine Reihe von Nachrichten gleicher Länge abwarten und dann diese umsortiert wieder ausgeben. Gegebenenfalls müssen Teilnehmer oder MlXe bedeutungslose Nachrichten erzeugen.
MIX schützt vor Verlust der Anonymität
Um nicht über Nachrichtenhäufigkeiten Entsprechungen zwischen Ein- und Ausgabe des MIXes entstehen zu lassen, bearbeitet der MIX (solange er sein Schlüsselpaar beibehält) nur unterschiedliche Eingabenachrichten. Erhält der MIX eine Eingabenachricht mehrmals, ignoriert er ihr wiederholtes Eintreffen.
Das Verfahren ist in Bild 4 anhand zweier MIXe dargestellt.
Die schlimmste Folge eines Angriffs (oder Fehlers) durch einen MIX wäre dann der Verlust einer Nachricht, nicht jedoch der Verlust der Anonymität. Durch öffentlichen Zugriff auf die von MIXen gesendeten Nachrichten ist ein Verlust jedoch feststellbar und beweisbar. Durch geeignete Fehlertoleranzmaßnahmen ist zudem die Wahrscheinlichkeit des Verlustes von Nachrichten durch Ausfall eines MlXes (ein ausgefallener MIX reicht, um eine Nachricht zu verlieren!) zu vermindern [Pfi1 85, PfWa 85].
Wegen der Zeitverzögerung durch Umsortieren der Nachrichten und des Zeitaufwandes für die Entschlüsselungen in einem Kryptosystem mit öffentlichen Schlüsseln ist dieses Verfahren nicht für Anwendungen geeignet, die kurze Übertragungszeiten fordern.
Wandelt man dieses Verfahren aber ab, so kann man anonyme Kanäle schalten, die zum Beispiel den Realzeitanforderungen des Telefonverkehrs genügen könnten. Hierzu wird zum Kanalaufbau eine spezielle Nachricht nach dem oben beschriebenen Verfahren übertragen, die jedem gewählten MIX einen Schlüssel eines schnelleren Kryptosystems mit privaten Schlüsseln übergibt, den dieser MIX von da an für die Entschlüsselung des Verkehrs auf diesem Kanal verwendet [Pfi1 85]. Das Umcodieren bei Kanälen nützt natürlich nur dann etwas, wenn mindestens zwei Kanäle durch denselben MIX gleichzeitig auf- und abgebaut werden.
Will man durch umcodierende MIXe nicht nur, Kommunikationsbeziehungen, sondern auch das Senden und Empfangen von Teilnehmerstationen schützen, muß jede Teilnehmerstation ein MIX sein oder sehr viele bedeutungslose Nachrichten senden, wie dies im folgenden Abschnitt beschrieben ist. Ersteres erfordert bei geringer Verkehrsdichte große Wartezeiten auf mehrere Nachrichten beziehungsweise auf Auf- oder Abbau von mehreren Kanälen. Bei hoher Verkehrsdichte erfordert es Teilnehmerstationen, die sehr viele Nachrichten und breitbandige Kanäle umcodieren und vermitteln können. Derartige Teilnehmerstationen sind sehr aufwendig und in der überschaubaren Zukunft zu teuer.
Schutz des Senders
Der Sender einer Nachricht kann sich schützen, indem er bedeutungslose Nachrichten (dummy traffic) sendet. Werden diese mit nicht existenten impliziten Adressen versehen, können sie von allen Teilnehmerstationen weggeworfen werden. Werden auch bedeutungslose Nachrichten gesendet, kann das Netz nicht mehr entscheiden, wann genau und wieviele bedeutungsvolle Nachrichten ein Teilnehmer sendet [Chau 81].
Dieses Verfahren verursacht stets einen sehr hohen Aufwand und erfüllt zugleich nicht die Forderung nach Anonymität auch bei Angriffen, an denen sich der Empfänger bedeutungsvoller Nachrichten beteiligt.
Die beiden folgenden Verfahren haben diese Nachteile nicht; sie sind in gewisser Weise effizient und es ist bewiesen, daß der Sender selbst bei Identität oder Zusammenarbeit von Empfänger und Netzbetreiber anonym ist.
Überlagerndes Senden
In [Cha3 85, Cha8 85] gibt David Chaum folgende Möglichkeit zum anonymen Senden (und Empfangen) an: Alle Teilnehmerstationen erzeugen für jedes zu sendende Nutzbit ein oder mehrere Schlüsselbits, von denen sie jedes genau einer anderen Teilnehmerstation auf einem (noch zu diskutierenen) geheimen Kanal zukommen lassen. Jede Teilnehmerstation überlagert (bildet die Summe modulo 2) lokal alle ihr bekannten Schlüsselbits und, sofern sie ein Nutzbit senden will, ihr Nutzbit. Jede Teilnehmerstation sendet das Ergebnis ihrer lokalen Überlagerung. Alle gesendeten Bits werden global überlagert und die entstehende Summe (modulo 2) aller Bits an alle Teilnehmerstationen verteilt.
Wollte keine senden, ist die Summe 0, da jedes Schlüsselbit genau zweimal addiert wurde. Wollte eine senden, ist die Summe gleich dem gesendeten Nutzbit.
Natürlich können Kollisionen auftreten, falls mehrere Teilnehmerstationen gleichzeitig senden wollen. Dies ist ein übliches Problem bei Verteil-Kanälen mit Mehrfachzugriff, zu dessen Lösung es eine große Zahl von Zugriffsverfahren gibt. Man darf aber nur solche verwenden, die die Anonymität des Senders wahren. Daneben sollten sie bei zu erwartender Verkehrsverteilung den zur Verfügung stehenden Kanal günstig nutzen [Pfi1 85]. Beispiele anonymer Zugriffsverfahren sind das einfache, aber nicht sehr effiziente Verfahren slotted Aloha und eine für Kanäle mit großer Verzögerungszeit entworfene, effiziente Reservierungstechnik [Tane 81 Seite 272, Cha3 85].
Vereinbart man, daß ein Teilnehmer einen Übertragungsrahmen, in dem er ohne Kollision gesendet hat, weiterbenutzen darf und andere Teilnehmer in diesem Rahmen erst wieder senden dürfen, wenn er einmal nicht benutzt wurde, so kann man durch die Verwendung mehrerer Übertragungsrahmen (slots) Kanäle schalten [Höck 85, HöPf 85].
David Chaum beweist in [Cha3 85], daß, solange eine Gruppe von Teilnehmerstationen Schlüssel nur in der beschriebenen Form weitergibt und solange diese Gruppe bezüglich der ausgetauschten Schlüssel zusammenhängend ist, andere an diesem Verfahren Beteiligte auch durch Zusammentragen all ihrer Information keine Information darüber erhalten, wer innerhalb der Gruppe sendet. "Bezüglich der ausgetauschten Schlüssel zusammenhängend" bedeutet, daß für je zwei beliebige Teilnehmerstationen To, T1 der Gruppe es eine möglicherweise leere Folge von Teilnehmerstationen T2 bis Tn der Gruppe gibt, so daß für 1 <= i <= n gilt; Ti hat mit T(i+ 1)mod(n+1) einen Schlüssel ausgetauscht.
Der Einsatz dieses Verfahrens ist sehr aufwendig, weil man große Mengen an Schlüsseln geheim austauschen muß: Für jedes Paar von Teilnehmerstationen, das Schlüssel miteinander austauscht, benötigt man dazu einen geheimen Kanal mit derselben Bandbreite, wie sie das Netz allen Benutzern zusammen zum Austausch ihrer Nachrichten bereitstellt.
Einsatz von Pseudozufallszahlengeneratoren
Diesen Aufwand beim Schlüsseltausch kann man reduzieren, indem man Pseudozufallszahlengeneratoren verwendet. Man muß dann nur relativ kurze Schlüssel geheim austauschen und kann aus diesen sehr lange Schlüssel, die äußeren Betrachtern zufällig erscheinen, erzeugen. Das Verfahren ist dann nicht mehr informationstheoretisch sicher, sondern nur noch kryptografisch mehr oder weniger sicher.
Leider sind die uns bekannten schnellen Pseudozufallszahlengeneratoren alle leicht brechbar oder zumindest von zweifelhafter Sicherheit (zum Beispiel rückgekoppelte Schieberegister), während die bisherigen kryptografisch starken Pseudozufallszahlengeneratoren [VaVa 85, BlMi 84] sehr aufwendig und sehr, sehr langsam sind. Dabei heißt ein Pseudozufallszahlengenerator kryptografisch stark, wenn bewiesen werden kann, daß durch das Brechen zugleich ein effizienter Algorithmus zur Lösung eines wohluntersuchten, aber bislang nicht effizient lösbaren mathematischen Problems (zum Beispiel Faktorisierung, diskreter Logarithmus) angegeben werden kann.
David Chaum schlägt in [Cha3 85] vor, das überlagernde Senden auf einem Ring zu implementieren. Dadurch wird einem Angreifer das Brechen von schnellen (und vielleicht leicht brechbaren) Pseudozufallszahlengeneratoren erschwert, weil er die Ausgaben von aufeinanderfolgenden Teilnehmerstationen im Ring nur durch sehr aufwendige physikalische Maßnahmen, also realistischerweise nicht erfährt.
Bei dieser Implementierung kreist jedes Bit einmal zum Zweck des Sendens durch sukzessives Überlagern und einmal zum Zwecke des Empfangens um den Ring.
Da diese Implementierung im Mittel nur den vierfachen Übertragungsaufwand verursacht wie ein übliches Sendeverfahren auf einem Ring, während eine Implementierung auf einem sternförmigen Netz den n-fachen Übertragungsaufwand gegenüber einem gewöhnlichen Sendeverfahren auf einem Stern verursacht, wirkt sie recht effizient.
Da aber die Übertragungsmenge auf jeder einzelnen Leitung, also die geforderte Bandbreite, bei allen Implementierungen gleich ist, könnte die Implementierung auf einem Stern (oder allgemeiner: Baum) trotzdem effizienter sein. Die Implementierung eines Kanals ist um so besser, je kürzer die Verzögerungszeit ist, also die Zeit, die zwischen Sendeversuch und der Rückmeldung, ob eine Kollision auftrat, verstreicht. Für dieses Verfahren können die Knoten von Stern- und Baumnetzen wesentlich einfacher als übliche Vermittlungszentralen sein und so entworfen werden, daß die Summe der Schaltzeiten nur logarithmisch mit der Teilnehmeranzahl wächst. Die reine Laufzeit wächst ungefähr mit der Wurzel der Teilnehmeranzahl, während beide bei Ringnetzen stets proportional zur Teilnehmeranzahl wachsen [Pfi 1 85].
Ring-Netz
Das aufwendige Generieren, gegebenenfalls Verteilen und Überlagern von Schlüsseln und Nutzdaten im vorherigen Abschnitt ist nötig, da davon ausgegangen wird, daß ein Angreifer die Ausgänge und Eingänge aller Teilnehmerstationen abhört.
Die Idee für ein weit weniger aufwendiges Verfahren, das Ring-Netz, besteht darin, das Netz bereits physikalisch so zu gestalten, daß es für einen Angreifer nicht einfacher ist, alle Ein- und Ausgänge einer Teilnehmerstation abzuhören, als den Teilnehmer beziehungsweise die Teilnehmerstation direkt zu beobachten.
Die praktischste Möglichkeit hierzu ist, die Teilnehmerstationen ringförmig anzuordnen, wie dies im Bereich lokaler Netze seit langem praktiziert wird. Um hier das Senden einer Station zu überwachen, müssen entweder ihre beiden Nachbarn zusammenarbeiten oder die Leitungen müssen abgehört werden. Durch bauliche Maßnahmen, zum Beispiel direkte Verkabelung von Wohnungen in Mehrfamilienhäusern sowie direkte Verkabelung aneinandergrenzender privater Grundstücke [Pfi1 83 Seite 18], kann man erreichen, daß letzteres ebenso aufwendige physikalische Maßnahmen erfordert wie das direkte Abhören des Teilnehmers oder der Teilnehmerstation innerhalb der Wohnung. Damit verspricht es keinen zusätzlichen Vorteil. Versuchen die zwei Ringnachbarn eines Teilnehmers, diesen ohne Auftrag Dritter (das heißt hier ohne Zusammenarbeit mit großen Kommunikationspartnern) zu beobachten, so erfahren sie beinahe nichts, da alle ausgehenden Nachrichten verschlüsselt und die Adressen bei geeigneter Verwendung impliziter Adressierung für sie nicht interpretierbar sind.
Schutz mit "slotted" und Token-Zugriff
Zu erwarten sind also im wesentlichen Angreifer, die nur eine Gruppe von mehreren zusammenhängenden Stationen eingekreist haben. Sie können durch Vergleich der ein- und auslaufenden Bitmuster nur feststellen, welche davon von den Mitgliedern dieser Gruppe gesendet beziehungsweise vom Ring entfernt wurden, nicht aber von welchem Mitglied genau. Ein Angreifer hat allerdings nicht nur die Möglichkeit, ein und auslaufende Bitmuster zu vergleichen, sondern kann auch seine Kenntnis des Ringzugriffsverfahrens verwenden, um Schlüsse zu ziehen wer gerade senden darf. Man kann aber zeigen, daß bei geeigneten Ringzugriffsverfahren ein Angreifer, der eine Station nicht direkt eingekreist hat, tatsächlich das Senden dieser Station nie feststellen kann [HöPf 85, Höck 85]. Geeignet und effizient sind gewisse bekannte Verfahren (slotted ring, token ring), die dahingehend abgewandelt wurden, daß Senderecht zeitlich unbefristet vergeben wird und daß jede Nachricht einmal ganz um den Ring läuft das heißt nicht vom Empfänger, sondern erst vom Sender wieder vom Ring entfernt wird (Bild 6). Da durch sie bereits Verteilung realisiert ist, wird neben dem Sender auch der Empfänger geschützt.
Sowohl das Senden von Nachrichten als auch das Schalten von Kanälen ist mit Hilfe dieser Zugriffsverfahren möglich. Bei Duplexkanälen kann man aber ohne große Anonymitätseinbußen auch wieder darauf verzichten, daß alle Information einmal ganz um den Ring läuft. Statt dessen nimmt der Empfänger die Information vom Ring und ersetzt sie sofort durch Information in Gegenrichtung. Dadurch ist die Kapazität des Rings doppelt so gut nutzbar.