Security and Anonymity Aspects of the Network Layer of Permissionless Blockchains zur Erlangung des akademischen Grades eines Doktors der Naturwissenschaen von der KIT-Fakultat¨ fur¨ Informatik des Karlsruher Instituts fur¨ Technologie (KIT) genehmigte Dissertation von Till Neudecker aus Kassel Tag der mundlichen¨ Prufung:¨ ìþ. November óþÕ Erster Gutachter: Prof. Dr. rer.nat. Hannes Hartenstein Karlsruher Institut fur¨ Technologie Zweiter Gutachter: Prof. Dr. Jordi Herrera-Joancomart´ı Universitat Autonoma` de Barcelona is document is licensed under a Creative Commons Attribution ¦.þ International License (CC BY ¦.þ): https://creativecommons.org/licenses/by/4.0/deed.en is work was supported by the German Federal Ministry of Education and Research within the projects KASTEL IoE and KASTEL ISE in the Competence Center for Applied Security Technology (KASTEL) and by the state of Baden-Wurttemberg¨ through bwHPC, bwFileStor- age, and LSDF Online Storage. Zusammenfassung Permissionless Blockchains sind dezentrale Systeme, die Konsens erzielen. Das promi- nenteste Beispiel einer Permissionless Blockchain ist das elektronische Zahlungssys- tem Bitcoin, welches Konsens uber¨ die von Teilnehmern des Systems erzeugten Fi- nanztransaktionen erzielt. Wahrend¨ verteilter Konsens seit Jahrzehnten Gegenstand zahlreicher Forschungsarbeiten ist, ist Bitcoin das erste bekannte System, welches Kon- sens im sog. permissionless-Modell erzielt, d.h. ohne die vorausgehende Feststellung der Identitaten¨ der Teilnehmer des Systems. Die Teilnehmer von Permissionless Blockchains kommunizieren uber¨ ein unstruk- turiertes Peer-to-Peer (PóP) Netzwerk miteinander. Da das Verfahren zur Konsensbil- dung von Permissionless Blockchains auf Daten basiert, die uber¨ dieses PóP-Netzwerk ubertragen¨ werden, konnen¨ Sicherheitslucken¨ in der Netzwerkschicht auch die Kon- sensbildung und damit die angestrebte Funktion des Systems beeinussen. Wahrend¨ unstrukturierte PóP-Netzwerke in der Vergangenheit umfassend analysiert wurden, fuhrt¨ ihr Einsatz in Permissionless Blockchains zu Sicherheitsanforderungen und Angreifermodellen, die bisher noch nicht berucksichtigt¨ wurden. Obwohl einzelne Angrie auf die Netzwerkschicht von Permissionless Blockchains analysiert wurden, ist unklar, welche Sicherheitseigenschaen die Netzwerkschicht von Permissionless Blockchains haben sollte. Diese Unklarheit motiviert die erste in dieser Dissertation behandelte Forschungsfrage: Wie konnen¨ Anforderungen und Zielkonikte, die in den Mechanismen der Netzwerkschicht von Permissionless Blockchains vorhanden sind, untersucht werden? In dieser Dissertation wird eine Systematisierung von Angrien auf die Netzwerk- schicht von Bitcoin vorgestellt, in der Angrie hinsichtlich der angegrienen Mech- anismen und der Auswirkungen der Angrie auf hohere¨ Schichten des Systems kategorisiert werden. Basierend auf der Systematisierung werden funf¨ Anforderun- gen fur¨ die Netzwerkschicht von Permissionless Blockchains abgeleitet: Leistung, niedrige Beteiligungskosten, Anonymitat,¨ Robustheit gegen Denial-of-Service An- grie sowie Topologieverschleierung. Daruber¨ hinaus werden der Entwurfsraum der Netzwerkschicht aufgezeigt und der Einuss von Entwurfsentscheidungen auf die Erfullung¨ von Anforderungen qualitativ untersucht. Die durchgefuhrten¨ Systema- tisierungen weisen auf inharente¨ Zielkonikte sowie Forschungsmoglichkeiten¨ hin und unterstutzen¨ die Entwicklung von Permissionless Blockchains. Weiterhin wird auf Grundlage von seit óþÕ¢ durchgefuhrten¨ Messungen eine Charak- terisierung des Bitcoin-PóP-Netzwerks prasentiert.¨ Die Charakterisierung ermoglicht¨ die Parametrisierung und Validierung von Simulationsmodellen und die Bewertung der Zuverlassigkeit¨ von realen Experimenten. Daruber¨ hinaus gewahrt¨ die Netz- i werkcharakterisierung Einblicke in das Verhalten von Netzwerkknoten und deren Betreibern. Beispielsweise kann gezeigt werden, dass Sybil-Ereignisse in der Ver- gangenheit im Bitcoin-PóP-Netzwerk stattgefunden haben und dass die Leistung und die Anonymitatseigenschaen¨ der Transaktions- und Blockausbreitung durch Implementierungs- und Protokollanderungen¨ verbessert worden sind. Auf Grundlage dieser Charakterisierung werden zwei ereignisdiskrete Simulations- modelle des Bitcoin-PóP-Netzwerks entworfen. Die Modelle werden durch einen Ver- gleich der simulierten Informationsausbreitungsverzogerung¨ mit der beobachteten Informationsausbreitungsverzogerung¨ im realen Netzwerk validiert. Da der Vergleich eine hohe Ubereinstimmung¨ zeigt, ermoglichen¨ die vorgestellten Simulationsmodelle die Simulation des Bitcoin-Netzwerks mit einer Genauigkeit, die fur¨ die Analyse von Angrien im Bitcoin-Netzwerk ausreicht. Die vorgestellten Simulationsmodelle sowie die durchgefuhrte¨ Systematisierung von Angrien verdeutlichen die Bedeutung der Kenntnis der Netzwerktopologie als Grundlage fur¨ Forschung und die Analyse von Deanonymisierungsangrie. Daher addressiert die zweite Forschungsfrage dieser Dissertation Methoden der Topolo- gieinferenz und der Deanonymisierung: Unter welchen Voraussetzungen und in welchem Maße sind netzwerkbasierte Topologieinferenz und Deanonymisierung in Bitcoin (un)moglich?¨ Diese Frage wird durch Anwendung der vorgeschlagenen Me- thodenkombination aus Messungen, Simulationen und Experimenten beantwortet. In dieser Dissertation werden vier verschiedene Methoden zur Topologieinferenz vorgestellt und unter Verwendung von Experimenten und Simulationsstudien analy- siert. Anhand von Experimenten wird gezeigt, dass ein Angreifer, der in der Lage ist, Verbindungen zu allen Knoten des Netzwerks zu etablieren, die direkten Nachbarn eines Netzwerkknotens mit hoher Sensitivitat¨ (recall) und Genauigkeit (precision) (ß Û recall, ßÕ Û precision) durch die Veroentlichung¨ von widerspruchlichen¨ Transak- tionen im Netzwerk herausnden kann. Unter der Annahme eines passiven An- greifers, der in der Lage ist, sich mit allen erreichbaren Netzwerkknoten zu verbinden, war óþÕä ein Ruckschluss¨ auf die Nachbarn eines Netzwerkknotens mit einer Sensi- tivitat¨ von ¦þ Û bei einer Genauigkeit von ¦þ Û durch Beobachtung von mindestens acht Transaktionen, die von diesem Netzwerkknoten stammen, moglich.¨ Daruber¨ hinaus ist es moglich,¨ die Akkumulation mehrere Transaktionen zum Zwecke der Topologieinferenz zu geringen Kosten auszunutzen. Allerdings bleibt die erwartete Inferenzqualitat¨ aufgrund fehlender Validierungsmoglichkeiten¨ unklar. Schließlich kann simulativ gezeigt werden, dass der Peer-Discovery-Mechanismus eines PóP- Netzwerks bei bestimmte Parametrisierungen Topologinferenz ermoglichen¨ kann. Abschließend wird die Moglichkeit¨ einer netzwerkbasierten Deanonymisierung bewertet, indem analysiert wird, ob eine Korrelation zwischen der IP-Adresse des Netzwerkknotens, der eine Transaktion veroentlicht,¨ und dem mutmaßlichen Er- steller der Transaktion besteht. Der zugrundeliegende Datensatz basiert auf den durchgefuhrten¨ Messungen und besteht aus fast Õþ Millionen Transaktionen mit zugehorigen¨ IP-Adressen. Es wird gezeigt, dass Transaktionen von ¢ Û bis .ì Û der Benutzer auallend haug¨ von einzelnen Netzwerkknoten veroentlicht¨ wurden, was diese Benutzer dem Risiko netzwerkbasierter Deanonymisierungsangrie aussetzt. ii Abstract Permissionless blockchains are decentralized consensus systems. e most prominent example of a permissionless blockchain is the electronic payment system Bitcoin that achieves consensus on nancial transactions issued by participants. While distributed consensus has been a subject of research for decades, Bitcoin was the rst system to achieve consensus in the permissionless model, i.e., without prior establishment of identities of participants. e participants of a permissionless blockchain communicate over an unstructured peer-to-peer (PóP) network. As the consensus protocol of permissionless blockchains relies on data transmitted through that PóP network, vulnerabilities in the network layer can also aect the establishment of consensus and, therefore, the intended function of the system. While unstructured PóP networks have been extensively analyzed in the past, their deployment in permissionless blockchains leads to dierent security requirements and adversary models that existing work has not considered yet. Furthermore, although a number of attacks on the network layer of permissionless blockchains have been analyzed, no general notion of the desired security properties of the network layer of permissionless blockchains exists. is motivates the rst research question addressed in this dissertation: How to research requirements and tradeos present in the network layer mechanisms of permissionless blockchains? First, we provide a systematization of attacks on the network layer of Bitcoin re- garding the exploited network layer mechanisms and the eects of the attacks on the application and consensus layers of Bitcoin. Based on this systematization, we derive ve requirements for the network layer of permissionless blockchains: per- formance, low cost of participation, anonymity, denial-of-service resistance, and topology hiding. Furthermore, we systematize the design space of the network layer and qualitatively show the eect of design decisions on the fulllment of requirements. Our systematizations indicate inherent tradeos, point out research possibilities, and guide developers of permissionless blockchains. Secondly, based on measurements performed since óþÕ¢ we provide a characteriza- tion of the Bitcoin PóP network. e characterization enables the parametrization and validation