Privacy-Enhancing Technologies for Private Services
Total Page:16
File Type:pdf, Size:1020Kb
Schriften aus der Fakultät Wirtschaftsinformatik und 2 Angewandte Informatik der Otto-Friedrich-Universität Bamberg Privacy-enhancing Technologies for Private Services von Karsten Loesing UNIVERSITY OF BAMBERG PRESS Schriften aus der Fakultät Wirtschaftsinformatik und Angewandte Informatik der Otto-Friedrich-Universität Bamberg Schriften aus der Fakultät Wirtschaftsinformatik und Angewandte Informatik der Otto-Friedrich-Universität Bamberg Band 2 University of Bamberg Press 2009 Privacy-enhancing Technologies for Private Services von Karsten Loesing University of Bamberg Press 2009 Bibliographische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliographie; detaillierte bibliographische Informationen sind im Internet über http://dnb.ddb.de/ abrufbar. Diese Arbeit hat der Fakultät Wirtschaftsinformatik und Angewandte Informatik der Otto- Friedrich-Universität als Dissertation vorgelegen. 1. Gutachter: Prof. Dr. Guido Wirtz 2. Gutachter: Prof. Dr. Udo Krieger Tag der mündlichen Prüfung: 24. April 2009 Dieses Werk ist als freie Onlineversion über den Hochschulschriften-Server (OPUS; http://www.opus-bayern.de/uni-bamberg/) der Universitätsbibliothek Bamberg erreichbar. Kopien und Ausdrucke dürfen nur zum privaten und sonstigen eigenen Gebrauch angefertigt werden. Herstellung und Druck: Digital Print Group, Erlangen Umschlaggestaltung: Dezernat Kommunikation und Alumni, Teresa Zak © University of Bamberg Press Bamberg 2009 http://www.uni-bamberg.de/ubp/ ISSN: 1867-7401 ISBN: 978-3-923507-45-0 (Druckausgabe) URN: urn:nbn:de:bvb:473-opus-1832 To my parents Karin and Wiard who always give me the safety that they would catch me if I fell. Acknowledgments I want to thank my supervisor, Prof. Dr. Guido Wirtz, for supporting my dissertation even at a time when privacy on the Internet is highly con- troversial in the German public opinion—which is sad in its own way. Thanks to Prof. Dr. Udo Krieger and Prof. Dr. Andreas Henrich for their support as members of my dissertation committee. I am also indebted to my colleagues Jens Bruhn and Sven Kaffille for uncountable discussions and (hopefully) mutual motivation. Thanks to all students at the Univer- sity of Bamberg who have contributed to my dissertation project by work- ing on software projects or writing their theses on related subjects, includ- ing Knut Hildebrandt, Christian Wilms, Maximilian Röglinger, Domenik Bork, and Jörg Lenhard. Special thanks to my parents for continuous mo- tivation and for proofreading the final manuscript. Also, I thank Annika Putz for her useful comments on the draft of my thesis. I further thank the people of the Tor project: Roger Dingledine for con- tinuously discussing my ideas to change/improve Tor hidden services, for keeping me motivated to continue my work, and for giving me very helpful comments on the final draft of my thesis. Nick Mathewson for reviewing my patches and giving me useful feedback to improve them; Paul Syverson for giving me invaluable advice on a draft of this thesis; Lasse Øverlier and Steven J. Murdoch for various discussions on Tor hid- den services; Peter Palfrader, Matt Edman, Andrew Lewman, and Jacob Appelbaum for their support during Tor development and helping me se- cure my Tor directory authority; Sebastian Hahn and Jens Kubieziel for their feedback and corrections on one of the papers that is part of the con- tribution of this thesis. Zusammenfassung Privatsphäre im Internet wird immer wichtiger, da ein zunehmender Teil des alltäglichen Lebens über das Internet stattfindet. Internet-Benutzer verlieren die Fähigkeit zu steuern, welche Informationen sie über sich weitergeben oder wissen nicht einmal, dass sie dieses tun. Datenschutz- fördernde Techniken helfen dabei, private Informationen im Internet zu kontrollieren, zum Beispiel durch die Anonymisierung von Internetkom- munikation. Bis heute liegt der Fokus bei datenschutzfördernden Techni- ken hauptsächlich auf dem Schutz von Anfragen an öffentliche Dienste. Diese Arbeit wirft die Frage nach den Risiken beim Betrieb von Inter- netdiensten durch Privatpersonen auf. Ein Beispiel hierfür sind Instant- Messaging-Systeme, die es ermöglichen, Anwesenheitsinformationen und Textnachrichten in Echtzeit auszutauschen. Üblicherweise schützen diese Systeme die Anwesenheitsinformationen, die auf zentralen Servern ge- speichert werden, nicht besonders. Als Alternative verringern dezentrale Instant-Messaging-Systeme dieses Problem, indem Privatpersonen sich gegenseitig Dienste anbieten. Allerdings bringt das Anbieten eines Diens- tes als Privatperson im Vergleich zu Organisationen oder Unternehmen neue Sicherheitsprobleme mit sich: Erstens werden durch die Verfügbar- keit eines solchen Dienstes Informationen über die Präsenz des Dienstan- bieters preisgegeben. Zweitens soll der Standort des Servers unerkannt bleiben, um nicht den Aufenthaltsort des Dienstanbieters zu offenbaren. Drittens muss der Server besonders vor unautorisierten Zugriffsversu- chen geschützt werden. Diese Arbeit schlägt die Nutzung von pseudonymen Diensten als Bau- stein von privaten Diensten vor. Pseudonyme Dienste verbergen den x Standort eines Servers, der einen bestimmten Dienst anbietet. Der hier geleistete Beitrag soll herausfinden, welche Teile von pseudonymen Diens- ten, besonders von Tor Hidden Services, fehlen, um sie für private Dienste einzusetzen. Dies führt zu drei Hauptproblemen, zu denen Lösungen vor- geschlagen werden: Erstens skalieren bisherige Ansätze für pseudonyme Dienste nicht für die in Zukunft zu erwartende Anzahl von privaten Diens- ten. Diese Arbeit schlägt einen neuen Ansatz vor, der Hidden-Service- Beschreibungen in einer verteilten Datenstruktur ablegt, anstatt sie auf zentralen Servern zu speichern. Ein besonderer Fokus liegt auf der Unter- stützung von privaten Einträgen, die für private Dienste benötigt werden. Zweitens geben pseudonyme Dienste während des Anbietens im Netz- werk und der Verbindungsherstellung durch Clients zu viele Informatio- nen über die Identität des Dienstes preis. Der in dieser Arbeit verfolgte Ansatz ist, die Informationen, die ein Dienst im Netzwerk bekanntgibt, auf ein Minimum zu reduzieren und nicht-autorisierte Clients am Zugriff auf den Dienst schon während der Verbindungsherstellung zu hindern. Diese Änderungen schützen die Aktivität und das Nutzungsmuster des Dienstes vor nicht-autorisierten Personen. Drittens weisen pseudonyme Dienste eine schlechtere Effizienz auf als Dienste, auf die direkt zugegrif- fen wird. Der Beitrag dieser Arbeit ist, die Effizienz zu messen, mögliche Probleme zu identifizieren und Verbesserungen vorzuschlagen. Summary Privacy on the Internet is becoming more and more important, as an increasing part of everyday life takes place over the Internet. Internet users lose the ability to control which information they give away about themselves or are even not aware that they do so. Privacy-enhancing tech- nologies help control private information on the Internet, for example, by anonymizing Internet communication. Up to now, work on privacy- enhancing technologies has mainly focused on privacy of users request- ing public services. This thesis introduces a new privacy risk that occurs when private persons run their own services. One example is instant mes- saging systems which allow users to exchange presence information and text messages in real time. These systems usually do not provide protec- tion of presence information which is stored on central servers. As an alternative, decentralized instant messaging system designs mitigate this problem by having private persons provide instant messaging services to each other. However, providing a service as a private person causes new security problems as compared to providing a service as an organization or enterprise: First, the presence of such a service reveals information about the availability of the service provider. Second, the server location needs to be concealed in order to hide the whereabouts of a person. Third, the server needs to be specifically protected from unauthorized access at- tempts. This thesis proposes to use pseudonymous services as a building block for private services. Pseudonymous services conceal the location of a server that provides a specific service. The contribution made here is to analyze what parts of pseudonymous services, in particular Tor hidden xii services, are missing in order to apply them for private services. This analysis leads to three main problems for which solutions are proposed: First, known pseudonymous service designs do not scale to the expected number of private services which might be provided in the future. This thesis proposes a new approach to store hidden service descriptors in a distributed data structure rather than on central servers. A particular fo- cus lies on the support of private entries which are required for private ser- vices. Second, pseudonymous services leak too much information about service identity during advertisement in the network and connection es- tablishment by clients. The approach taken in this thesis is to reduce the information that a service publishes in the network to a minimum and prevent unauthorized clients from accessing a service already during con- nection establishment. These changes protect service activity and usage patterns from non-authorized entities. Third, pseudonymous services ex- hibit worse performance than direct service access. The contribution of this thesis is to measure performance, identify