ANONYMOUS PUBLISH-SUBSCRIBE OVERLAYS jörg daubert vom Fachbereich Informatik der Technischen Universität Darmstadt zur Erlangung des Grades eines Doktors der Naturwissenschaften (Dr. rer. nat.) genehmigte Dissertationsschrift in englischer Sprache von Jörg Daubert M.Sc aus Darmstadt geboren in Bad Soden-Salmünster Erstreferent: Prof. Dr. Max Mühlhäuser Korreferent: Prof. Dr. Thorsten Strufe 26 2016 Tag der Einreichung: . Januar 10 2016 Tag der Prüfung: . März Fachgebiet Telekooperation Fachbereich Informatik Technische Universität Darmstadt 17 Hochschulkennziffer D- 2016 Darmstadt Jörg Daubert: Anonymous Publish-Subscribe Overlays, Anonymity in 2 26 2016 P P Publish-Subscribe Overlay Networks, © January th, “I grew up with the understanding that the world I lived in was one where people enjoyed a sort of freedom to communicate with each other in privacy without it being monitored, without it being measured, or analyzed or sort of judged by these shadowy figures or systems anytime they mention anything that travels across public lines.” — Edward Snowden, excerpt from an interview with Glenn 2013 Greenwald, EXECUTIVE SUMMARY Freedom of speech is a core value of our society. While it can be exercised anonymously towards undesired observers in the physical world,theInternetisbasedonuniqueandnonanonymousidentifiers (IDs) for every participant. Anonymity, however, is a crucial require- menttoexercisefreedomofspeechusingtheInternetwithouthaving tofacepoliticalpersecution. Toachieveanonymity,messagesmustbe unlinkable to senders an receivers. That means that messages cannot be linked to IDs and other identifying information of senders and re- ceivers. Anonymization services, such as Tor, re-establish anonymity within the Internet such that, for example, web content can be con- sumed anonymously. Nevertheless, this type of solution embodies two challenges: First, with the appearance of social media, the Internet usage behavior changeddrasticallyfromaoneproducerwithmanyconsumerstoamany producers with many consumers of content paradigm. Second, a social media website that is used by many producers and many consumers constitutes a single point of failure (SPoF) regarding both availability and anonymity. Such a website may collect producer and consumer profiles, ultimately breaking anonymity. Publish/subscribe(pub/sub)isamessagedisseminationparadigm wellsuitedtoaddressthefirstchallenge,themany-to-manyexchange of content. peer-to-peer (P2P) Pub/Sub eliminates the need for an SPoF and, thus, partially addresses the second challenge as well. However, research addressing anonymity as a security requirement for Pub/Sub has merely scratched the surface. This thesis improves the state-of-the-art in anonymous Pub/Sub in severalareas. Inparticular, thethesisaddressesthefollowingaspects of constructing anonymous Pub/Sub systems: (i.) Building blocks that reduce the complexity of constructing anonymous Pub/Sub systems are proposed; (ii.) methods for anonymously establishing Pub/Sub overlay networks are presented; (iii.) a method for inter-overlay opti- mization to distribute load is introduced; (iv.) methods for optimiz- ing overlays regarding anonymity are proposed, and (v.) anonymity attacks and countermeasures are presented. contributions This thesis contributes to the following research categories: anonymous overlay establishment An anonymous Pub/Sub system is presented along six self-containing building blocks withthegoalofestablishingoverlaynetworksthattransportno- tifications from publishers to subscribers. Each building block isdiscussedindetailwithafocusonleveragingrelatedworkto realize the building block. For attribute localization, the build- ing block most relevant for establishing overlays, this thesis v proposes multiple contributions: the usage of hash chains as a privacy-preservingtransactionpseudonymanddistancemetric; the adaptation of flooding as well as forest fires; and random walks to distribute attribute knowledge. anonymous overlay optimization Thethesisproposestwoop- timizations for anonymity and one optimization for balancing the load. The first anonymity optimization, probabilistic for- warding (PF), applies the concept of mimic traffic to the do- main of Pub/Sub. The second anonymity optimization, the shell game (SG), shuffles the overlay. Both optimizations prevent an exposure of information to attackers that can gain knowledge about the overlay topology. The load-balancing optimization uses a ring communication and Bloom filters to distribute load among nodes. anonymity attacks and countermeasures Severalwell-known anonymity attacks are adapted to the domain of anonymous Pub/Sub and evaluated in detail. Novel attacks, such as the re- quest/ response-attackandthecornerattack,areproposedaswelland complemented with countermeasures. evaluation Theproposedmechanismsandattacksareevaluated using a qualitative approach, quantitatively with an extensive sim- ulation, and empirically with a proof of concept (POC) application. Thequalitativeapproachindicatesthatthepresentedmechanismsare well-suited to protect anonymity against a malicious insider threat. Thequantitativeevaluationisperformedwiththeevent-basedsim- ulation framework OMNeT++. The results show that the presented anonymous Pub/Sub system can protect anonymity, even in case ma- licious insiders are combined with a global observer of a very strong anonymitythreat. TheresultsalsorevealinwhichsituationsPForthe SGprovidesthebetteranonymityprotection. Furthermore,theresults indicate which capabilities are favorable for an anonymity attacker. An anonymous micro-blogging application for Twitter shows that the presented system can be implemented for a real-world use case: Withtheapplication,usersexchangetweetsviahashtag-overlays,and cryptographickeysviaquickresponse(QR)-codesandnearfieldcom- munication (NFC). vi ZUSAMMENFASSUNG DieRedefreiheitzähltzudenwichtigstenWertenunsererGesellschaft. WährenddieRedefreiheitinderphysischenWeltanonymgegenüber unerwünschten Fremden ausgeübt werden kann, basiert das Inter- net auf nicht-anonymen, sondern vielmehr eindeutigen, Identifikati- onsmerkmalen (IDs). Zur Ausübung der Redefreiheit ohne politische Verfolgung ist die Anonymität jedoch eine Kernanforderung. Anony- mitybedingt,dasseineNachrichtnichtmitSenderundEmpfängerin Verbindunggebrachtwerdenkann.InsbesonderedarfeineNachricht nicht mit IDs oder anderen Identifikationsmerkmalen in Beziehung gesetzt werden. Anonymisierungsdienste wie Tor können im Internet verwendet werden, um etwa Webinhalte anonym abzurufen. Mit einer solchen 2 Lösung ergeben sich jedoch Arten von Herausforderungen: Erstens hat sich die Internet-Nutzung mit dem Aufkommen sozialer Medien verändert; statt einem ein Produzent mit vielen Konsumenten von Inhal- ten Nutzungs-Paradigma nimmt nun das viele Produzenten mit vielen Konsumenten-Paradigma eine gewichtige Rolle ein. Zweitens stellt ei- ne Social-Media-Webseite mit vielen Nutzer eine zentrale Schwach- stelle da, sowohl in Bezug auf die Verfügbarkeit als auch auf die An- onymität. Eine solche Webseite kann Profildaten ihrer Nutzer sam- meln um schlussendlich deren Anonymität zu brechen. Publish/subscribe (pub/sub) ist ein Konzept zur Nachrichten- Verteilung, welches die erste Herausforderung sehr gut adressiert. P2P Pub/Sub kommt ohne zentrale Schwachstelle aus, und deckt da- mit auch die zweite Herausforderung teilweise ab. Jedoch steht For- schung, welche Anonymität als Sicherheitsanforderung für Pub/Sub berücksichtigt, erst am Anfang. DieseDissertationerweitertdenaktuellenForschungsstandinmeh- rerenBereichen.DiefolgendenAspektederKonstruktionvonanony- menPub/SubSystemenwerdendabeiangesprochen:(i.)Bausteinezur ErleichterungzukünftigerEntwicklungvonanonymenPub/SubSyste- menwerdenvorgeschlagen;(ii.)MethodenzuranonymenErzeugung vonOverlay-Netzwerkenwerdenvorgestellt;(iii.)eineanonymeInter- Overlay-Optimierung zur Verteilung von Last wird präsentiert; (iv.) Methoden zur Optimierung der Anonymität in Overlay-Netzwerken werden eingebührt; (v.) Angriffe der Anonymität sowie Schutzmaß- nahmen werden vorgeschlagen. beiträge Die Beiträge dieser Dissertation lassen sich in folgende Forschungsschwerpunkte einteilen: anonyme overlay erzeugung - EswirdeinanonymesPub/SubSys- tem anhand von sechs in sich geschlossenen Bausteinen vor- gestellt. Hierbei wird das Ziel verfolgt, Overlay-Netzwerke zu erzeugen, welche nachfolgend Nachrichten von Produzenten zu Konsumenten transportieren. Jeder Baustein wird im Detail vii und in Bezug auf relevante verwandte Arbeiten erläutert. Für einen der wichtigsten Bausteine, die Lokalisierung von Attri- buten (attribute localization), werden mehrere Beiträge geleistet: Hash-KettenkombinierenTransaktions-PseudonymundDistanz- MetrikunterSchutzder Privatsphäre;sogenanntesflooding,fo- rest fires, und doppelte random walks werden zum Verteilen von Attributs-Wissen verwendet. anonyme overlay optimierung - DieDissertationstelltzweiOp- timierungenzurVerbesserungderAnonymitätsowieeineOpti- mierung zur Verteilung von Last vor. Die erste Anonymitäts- Optimierung, probabilistic forwarding (PF), überträgt das Kon- zept von “mimi traffic” auf Pub/Sub. Die zweite Optimierung, das Hütchen-Spiel (shell game (SG)), zerwürfelt Overlay-Netz- werke. Beide Optimierungen verfolgen das Ziel, die Preisga- be von Information durch die Overlay-Topologie zu vermeiden. DieOptimierungzurLast-VerteilungverwendeteinenKommu- nikations-Ring sowie Bloom-Filter um die Last unter den Kno- ten von Overlay-Netzwerken zu verteilen anonymitäts angriffe und schutzmaßnahmen - Mehrebekann- ten Anonymitäts-Attacken werden auf anonymes Pub/Sub ange- wendet und im Detail analysiert. Weiterhin werden neue Atta- cken,wieetwadieAnfrage/Antwort-Attacke(request/response- attack)sowiedieEinengungs-Attacke(corner-attack),vorgestellt und mit entsprechenden Schutzmechanismen versehen. auswertung Die vorgestellten Mechanismen und Angriffe wer- den anhand von drei Analyse-Verfahren ausgewertet: einem qualita- tiven Ansatz, einer umfangreichen Simulation, sowie empirisch mit einemPrototyp.DerqualitativeAnsatzdeutetan,dassdievorgestell- ten Mechanismen gut zum Schutz der Anonymität gegenüber der Gefahr von bösartigen Insidern geeignet ist. Die quantitative Analyse wird mit einer Ereignis-diskreten Simula- tion anhand des OMNeT++ Werkzeugs durchgeführt. Den Ergebnis- sen folgend ist das vorgestellte anonyme Pub/Sub System in der Tat zumSchutzderAnonymitätgeeignet,selbstwenneinbesondersstar- kesAngreifer-ModellausbösartigemInsidersowieglobalenÜberwa- cher angenommen wird. Die Resultate zeigen auch, in welchen Si- tuation PF oder das SG besseren Schutz bieten. Weiterhin ergeben die Resultate, welche Fähigkeiten einem Angreifer am Meisten nutzen. Für die empirische Auswertung wurde eine anonyme Micro-Blog- ging Anwendung für Twitter entwickelt. Diese Anwendung zeigt, dass die in dieser Dissertation vorgestellten Mechanismen in der Tat in realistischenSzenarien eingesetztwerden können. Mitder Anwen- dung können Teilnehmer Tweets über Hashtag-Overlay-Netz ausge- tauschen. QR-Codes und NFC dienen der Verteilung von Schlüsselma- terial. viii PUBLICATIONS Jörg Daubert, Leon Böck, Panayotis Kikiras, Max Mühlhäuser, and 11 MathiasFischer.„Twitterize:AnonymousMicro-blogging.“In: th IEEE/ACS International Conference on Computer Systems and Appli- 2014 10 13 2014 cations, AICCSA , Doha, Qatar, November - , . IEEE, 2014 817 823 isbn 978 1 4799 7100 8 doi , pp. – . : - - - - . : 10.1109/AICCSA. url 2014.7073285. : http://dx.doi.org/10.1109/AICCSA.2014. 7073285. Jörg Daubert, Mathias Fischer, Tim Grube, Stefan Schiffner, Panay- otis Kikiras, and Max Mühlhäuser. „AnonPubSub: Anonymous publish-subscribeoverlays.“In:ElsevierComputerCommunications 76 2016 42 53 issn 0140 3664 doi ( ),pp. – . : - . :http://dx.doi.org/10. url 1016/j.comcom.2015.11.004. : http://www.sciencedirect. com/science/article/pii/S0140366415004211. JörgDaubert,MathiasFischer,StefanSchiffner,andMaxMühlhäuser. „DistributedandAnonymousPublish-Subscribe.“In:Networkand 7 2013 System Security - th International Conference, NSS , Madrid, 3 4 2013 Spain,June - , .Proceedings.Ed.byJavierLopez,XinyiHuang, 7873 and Ravi Sandhu. Vol. . Lecture Notes in Computer Science. 2013 685 691 doi Springer, , pp. – . : 10.1007/978-3-642-38631- 2_57. url: http://dx.doi.org/10.1007/978-3-642-38631-2_57. JörgDaubert,TimGrube,MaxMühlhäuser,andMathiasFischer.„In- 2 ternal attacks in anonymous publish-subscribe P P overlays.“ In: 2015 International Conference and Workshops on Networked Systems, 2015 9 12 2015 2015 1 NetSys ,Cottbus,Germany,March - , .IEEE, ,pp. – 8 isbn 978 1 4799 5804 7 doi . : - - - - . : 10.1109/NetSys.2015.7089074. url : http://ieeexplore.ieee.org/xpl/mostRecentIssue.jsp? punumber=7083793. JörgDaubert,TimGrube,MaxMühlhäuser,andMathiasFischer.„On the anonymity of privacy-preserving many-to-many communica- 13 tion in the presence of node churn and attacks.“ In: th Annual IEEE Consumer Communications and Networking Conference, CCNC 2016 9 12 2016 2016 745 , Las Vegas, NV, USA, January - , . IEEE, , pp. – 751 isbn 978 1 4673 9292 1 . : - - - - . Jörg Daubert, Alexander Wiesmaier, and Panayotis Kikiras. „A view on privacy & trust in IoT.“ In: IEEE International Conference on 2015 8 12 2015 Communication,ICC ,London,UnitedKingdom,June - , , 2015 2665 2670 doi Workshop Proceedings. IEEE, , pp. – . : 10.1109/ url ICCW.2015.7247581. : http://dx.doi.org/10.1109/ICCW. 2015.7247581. Sebastian Funke, Jörg Daubert, Alexander Wiesmaier, Panayotis Kiki- 2 ras, and Max Mühlhäuser. „End- -End Privacy Architecture for IoT.“ In: IEEE Conference on Communications and Network Security, ix 2015 28 30 2015 CNS , poster proceedings, Florence, Italy, September - , . 2015 705 706 doi IEEE, , pp. – . : 10.1109/CNS.2015.7346895. x

