ANONYMOUS PUBLISH-SUBSCRIBE OVERLAYS jörg daubert vom Fachbereich Informatik der Technischen Universität Darmstadt zur Erlangung des Grades eines Doktors der Naturwissenschaften (Dr. rer. nat.) genehmigte Dissertationsschrift in englischer Sprache von Jörg Daubert M.Sc aus Darmstadt geboren in Bad Soden-Salmünster Erstreferent: Prof. Dr. Max Mühlhäuser Korreferent: Prof. Dr. Thorsten Strufe Tag der Einreichung: 26. Januar 2016 Tag der Prüfung: 10. März 2016 Fachgebiet Telekooperation Fachbereich Informatik Technische Universität Darmstadt Hochschulkennziffer D-17 Darmstadt 2016 Jörg Daubert: Anonymous Publish-Subscribe Overlays, Anonymity in P2P Publish-Subscribe Overlay Networks, © January 26th, 2016 “I grew up with the understanding that the world I lived in was one where people enjoyed a sort of freedom to communicate with each other in privacy without it being monitored, without it being measured, or analyzed or sort of judged by these shadowy figures or systems anytime they mention anything that travels across public lines.” — Edward Snowden, excerpt from an interview with Glenn Greenwald, 2013 EXECUTIVE SUMMARY Freedom of speech is a core value of our society. While it can be exercised anonymously towards undesired observers in the physical world, the Internet is based on unique and nonanonymous identifiers (IDs) for every participant. Anonymity, however, is a crucial require- ment to exercise freedom of speech using the Internet without having to face political persecution. To achieve anonymity, messages must be unlinkable to senders an receivers. That means that messages cannot be linked to IDs and other identifying information of senders and re- ceivers. Anonymization services, such as Tor, re-establish anonymity within the Internet such that, for example, web content can be con- sumed anonymously. Nevertheless, this type of solution embodies two challenges: First, with the appearance of social media, the Internet usage behavior changed drastically from a one producer with many consumers to a many producers with many consumers of content paradigm. Second, a social media website that is used by many producers and many consumers constitutes a single point of failure (SPoF) regarding both availability and anonymity. Such a website may collect producer and consumer profiles, ultimately breaking anonymity. Publish/subscribe (pub/sub) is a message dissemination paradigm well suited to address the first challenge, the many-to-many exchange of content. peer-to-peer (P2P) Pub/Sub eliminates the need for an SPoF and, thus, partially addresses the second challenge as well. However, research addressing anonymity as a security requirement for Pub/Sub has merely scratched the surface. This thesis improves the state-of-the-art in anonymous Pub/Sub in several areas. In particular, the thesis addresses the following aspects of constructing anonymous Pub/Sub systems: (i.) Building blocks that reduce the complexity of constructing anonymous Pub/Sub systems are proposed; (ii.) methods for anonymously establishing Pub/Sub overlay networks are presented; (iii.) a method for inter-overlay opti- mization to distribute load is introduced; (iv.) methods for optimiz- ing overlays regarding anonymity are proposed, and (v.) anonymity attacks and countermeasures are presented. contributions This thesis contributes to the following research categories: anonymous overlay establishment An anonymous Pub/Sub system is presented along six self-containing building blocks with the goal of establishing overlay networks that transport no- tifications from publishers to subscribers. Each building block is discussed in detail with a focus on leveraging related work to realize the building block. For attribute localization, the build- ing block most relevant for establishing overlays, this thesis v proposes multiple contributions: the usage of hash chains as a privacy-preserving transaction pseudonym and distance metric; the adaptation of flooding as well as forest fires; and random walks to distribute attribute knowledge. anonymous overlay optimization The thesis proposes two op- timizations for anonymity and one optimization for balancing the load. The first anonymity optimization, probabilistic for- warding (PF), applies the concept of mimic traffic to the do- main of Pub/Sub. The second anonymity optimization, the shell game (SG), shuffles the overlay. Both optimizations prevent an exposure of information to attackers that can gain knowledge about the overlay topology. The load-balancing optimization uses a ring communication and Bloom filters to distribute load among nodes. anonymity attacks and countermeasures Several well-known anonymity attacks are adapted to the domain of anonymous Pub/Sub and evaluated in detail. Novel attacks, such as the re- quest/ response-attack and the corner attack, are proposed as well and complemented with countermeasures. evaluation The proposed mechanisms and attacks are evaluated using a qualitative approach, quantitatively with an extensive sim- ulation, and empirically with a proof of concept (POC) application. The qualitative approach indicates that the presented mechanisms are well-suited to protect anonymity against a malicious insider threat. The quantitative evaluation is performed with the event-based sim- ulation framework OMNeT++. The results show that the presented anonymous Pub/Sub system can protect anonymity, even in case ma- licious insiders are combined with a global observer of a very strong anonymity threat. The results also reveal in which situations PF or the SG provides the better anonymity protection. Furthermore, the results indicate which capabilities are favorable for an anonymity attacker. An anonymous micro-blogging application for Twitter shows that the presented system can be implemented for a real-world use case: With the application, users exchange tweets via hashtag-overlays, and cryptographic keys via quick response (QR)-codes and near field com- munication (NFC). vi ZUSAMMENFASSUNG Die Redefreiheit zählt zu den wichtigsten Werten unserer Gesellschaft. Während die Redefreiheit in der physischen Welt anonym gegenüber unerwünschten Fremden ausgeübt werden kann, basiert das Inter- net auf nicht-anonymen, sondern vielmehr eindeutigen, Identifikati- onsmerkmalen (IDs). Zur Ausübung der Redefreiheit ohne politische Verfolgung ist die Anonymität jedoch eine Kernanforderung. Anony- mity bedingt, dass eine Nachricht nicht mit Sender und Empfänger in Verbindung gebracht werden kann. Insbesondere darf eine Nachricht nicht mit IDs oder anderen Identifikationsmerkmalen in Beziehung gesetzt werden. Anonymisierungsdienste wie Tor können im Internet verwendet werden, um etwa Webinhalte anonym abzurufen. Mit einer solchen Lösung ergeben sich jedoch 2 Arten von Herausforderungen: Erstens hat sich die Internet-Nutzung mit dem Aufkommen sozialer Medien verändert; statt einem ein Produzent mit vielen Konsumenten von Inhal- ten Nutzungs-Paradigma nimmt nun das viele Produzenten mit vielen Konsumenten-Paradigma eine gewichtige Rolle ein. Zweitens stellt ei- ne Social-Media-Webseite mit vielen Nutzer eine zentrale Schwach- stelle da, sowohl in Bezug auf die Verfügbarkeit als auch auf die An- onymität. Eine solche Webseite kann Profildaten ihrer Nutzer sam- meln um schlussendlich deren Anonymität zu brechen. Publish/subscribe (pub/sub) ist ein Konzept zur Nachrichten- Verteilung, welches die erste Herausforderung sehr gut adressiert. P2P Pub/Sub kommt ohne zentrale Schwachstelle aus, und deckt da- mit auch die zweite Herausforderung teilweise ab. Jedoch steht For- schung, welche Anonymität als Sicherheitsanforderung für Pub/Sub berücksichtigt, erst am Anfang. Diese Dissertation erweitert den aktuellen Forschungsstand in meh- reren Bereichen. Die folgenden Aspekte der Konstruktion von anony- men Pub/Sub Systemen werden dabei angesprochen: (i.) Bausteine zur Erleichterung zukünftiger Entwicklung von anonymen Pub/Sub Syste- men werden vorgeschlagen; (ii.) Methoden zur anonymen Erzeugung von Overlay-Netzwerken werden vorgestellt; (iii.) eine anonyme Inter- Overlay-Optimierung zur Verteilung von Last wird präsentiert; (iv.) Methoden zur Optimierung der Anonymität in Overlay-Netzwerken werden eingebührt; (v.) Angriffe der Anonymität sowie Schutzmaß- nahmen werden vorgeschlagen. beiträge Die Beiträge dieser Dissertation lassen sich in folgende Forschungsschwerpunkte einteilen: anonyme overlay-erzeugung Es wird ein anonymes Pub/Sub Sys- tem anhand von sechs in sich geschlossenen Bausteinen vor- gestellt. Hierbei wird das Ziel verfolgt, Overlay-Netzwerke zu erzeugen, welche nachfolgend Nachrichten von Produzenten zu Konsumenten transportieren. Jeder Baustein wird im Detail vii und in Bezug auf relevante verwandte Arbeiten erläutert. Für einen der wichtigsten Bausteine, die Lokalisierung von Attri- buten (attribute localization), werden mehrere Beiträge geleistet: Hash-Ketten kombinieren Transaktions-Pseudonym und Distanz- Metrik unter Schutz der Privatsphäre; sogenanntes flooding, fo- rest fires, und doppelte random walks werden zum Verteilen von Attributs-Wissen verwendet. anonyme overlay-optimierung Die Dissertation stellt zwei Op- timierungen zur Verbesserung der Anonymität sowie eine Opti- mierung zur Verteilung von Last vor. Die erste Anonymitäts- Optimierung, probabilistic forwarding (PF), überträgt das Kon- zept von “mimi traffic” auf Pub/Sub. Die zweite Optimierung, das Hütchen-Spiel (shell game (SG)), zerwürfelt Overlay-Netz- werke. Beide Optimierungen verfolgen das Ziel, die Preisga- be von Information durch die Overlay-Topologie