Thèse de doctorat de L’UNIVERSITÉ DE RENNES 1 École Doctorale N° 601 Mathématiques et Sciences et Technologies de l’Information et de la Communication Spécialité : Informatique Par Quentin DUFOUR High-throughput real-time onion networks to protect everyone’s privacy Thèse présentée et soutenue à Rennes, le 24/02/2021 Unité de recherche : Irisa (UMR 6074) Rapporteurs avant soutenance : Ian Goldberg Professor - University of Waterloo Rüdiger Kapitza Professor - TU Braunschweig Composition du Jury : Rapporteurs : Ian Goldberg Professor - University of Waterloo Rüdiger Kapitza Professor - TU Braunschweig Examinateur·ices : Anne-Marie Kermarrec Professor - EPFL Julia Lawall Directrice de Recherche - Inria Paris Isabelle Puaut Professeure des Universités - Univ Rennes, CNRS, Inria, IRISA Alain Tchana Professeur des Universités - ENS Lyon, LIP Dir. de thèse : Yérom-David Bromberg Professeur des Universités - Univ Rennes, CNRS, Inria, IRISA Co-dir. de thèse : Davide Frey Chargé de Recherche - Univ Rennes, CNRS, Inria, IRISA Remerciements Je tiens à remercier tout d’abord Ian Goldberg et Rudiger Kapitza qui ont ac- cepté d’être rapporteurs pour ma thèse ; je suis très reconnaissant pour le temps qu’ils m’accordent. J’aimerais également remercier tous les examinateur·ices : Anne-Marie Ker- marrec, Julia Lawall, Isabelle Puaut et Alain Tchana, pour avoir accepté de prendre part à mon jury. Je souhaite également remercier les membres de l’équipe WIDE qui m’a grandement aidé dans mon travail. Tout d’abord, Virginie Desroches, qui m’a accompagné dans toutes les démarches administratives et m’a aidé à sortir la tête de l’eau quand je ne savais plus qui contacter ! Je pense également aux doctorants passés et présents de notre équipe : Adrien Luxey, Louison Gitzinger, Loïck Bonniot, Alex Auvolat, ainse que tous les autres. Nos débats étaient enflammés, vos conseils précieux. Merci également aux permanents de l’équipe : François Taïani, Erwan Le Merrer, George Giakkoupis et Michel Raynal, aux ingénieurs, post-doc, stagiaires, avec qui j’ai toujours eu des discussions très enrichissantes. Je souhaite remercier chaleureusement Étienne Rivière pour son accueil à Louvain-la- Neuve et pour sa collaboration précieuse les contributions de cette thèse. En Belgique, j’ai également eu le plaisir de rencontrer Raziel Carvajal Gómez, Paolo Laffranchini et de nombreux autres (post-)doctorants que je remercie particulièrement pour leur accueil et que j’ai grand plaisir à (re)voir en conférence. Bien entendu, je souhaite remercier tout particulièrement mes encadrants, David Bromberg et Davide Frey, pour leur aide précieuse et sans qui rien de tout cela n’aurait été possible. Ils m’ont suivi, conseillé, aidé, été disponibles, beaucoup appris également, mais aussi soutenu, pendant ces trois années de thèse : je leur en suis très reconnaissant. Dans un autre registre, je souhaite remercier Ophélie Marcel, tou·tes mes amis et ma famille : ils et elles ont répondu présent pendant ces trois années et m’ont permis de concilier travail et vie personnelle de la meilleure façon qui soit. Enfin, je souhaite remercier les personnes qui m’ont aidé à travers leurs contributions aux communs, que ce soit via le logiciel libre ou l’accès ouvert aux contenus scientifiques. À ce sujet, j’ai une pensée particulière pour le travail d’Alexandra Elbakyan. 3 Table of Contents 1 Introduction8 1.1 Privacy and Surveillance............................9 1.2 Law and Regulation.............................. 11 1.3 Privacy Enhancing Technologies........................ 12 1.4 Democratizing Anonymity Networks..................... 15 1.5 Our Contribution................................ 16 2 State of the Art 19 2.1 Designs..................................... 19 2.2 Optimizations.................................. 22 2.2.1 More Relays............................... 22 2.2.2 Better Circuits............................. 24 2.2.3 Better Relay Design.......................... 25 2.2.4 Better Transport............................ 27 2.2.5 Application Specific Optimizations.................. 29 2.2.6 Conclusion................................ 30 2.3 Group Communication............................. 32 2.4 Security..................................... 34 2.5 Conclusion.................................... 36 3 Low Latency Communication Over Tor 37 3.1 VoIP networking requirements......................... 38 3.2 VoIP over Tor: How bad is it?......................... 41 3.2.1 Tor in a nutshell............................ 41 3.2.2 Evaluation of Tor onion routes’ QoS................. 42 3.3 Donar: Enabling VoIP over Tor........................ 46 3.3.1 Link monitoring and selection..................... 47 3.3.2 Scheduling policies........................... 49 3.3.3 Establishing communication...................... 49 5 TABLE OF CONTENTS 3.4 Security..................................... 50 3.5 Evaluation.................................... 53 3.5.1 Performance & SOTA comparison................... 53 3.5.2 Microbenchmarks............................ 56 3.6 Conclusion.................................... 61 4 High-Throughput Communication Over a New Edge-First Onion Pro- tocol 62 4.1 Introduction................................... 62 4.2 Problem Definition and Goals......................... 63 4.2.1 Functional and performance goals................... 66 4.2.2 Anonymity goals............................ 67 4.3 Approach.................................... 68 4.3.1 Overview................................ 68 4.3.2 Relaying Data In An IOC ........................ 70 4.3.3 Lifetime of an IOC ........................... 72 4.3.4 Selecting Relays for Multipath Circuits................ 74 4.3.5 Reliable Transmission and Flow Control............... 75 4.4 Security Analysis................................ 76 4.4.1 Attacks................................. 76 4.4.2 End-to-end Anonymity Quantification................ 77 4.5 Evaluation.................................... 80 4.5.1 Building an Edge Volatility Dataset.................. 80 4.5.2 Performance & Comparison...................... 80 4.5.3 Anonymity Sensitivity Analysis.................... 83 4.5.4 Predictors Soundness.......................... 85 4.6 Conclusion.................................... 86 5 Paving the Way to Decentralized Anonymous Group Communication 87 5.1 Network Coding Background.......................... 89 5.2 Contribution................................... 91 5.2.1 System model.............................. 91 5.2.2 Solving RLNC challenges........................ 92 5.2.3 CHEPIN................................. 93 5.3 Application to Pulp............................... 95 6 TABLE OF CONTENTS 5.4 Evaluation.................................... 97 5.4.1 Experimental setup........................... 99 5.4.2 Configuring the Protocols....................... 99 5.4.3 Bandwidth and delay comparison................... 101 5.4.4 Adaptiveness optimization....................... 102 5.4.5 Behaviour under network variation.................. 103 5.5 Conclusion.................................... 105 6 Future Work 107 6.1 Onion Routing................................. 107 6.2 Group communication............................. 108 6.3 Long-term goals................................. 109 7 Conclusion 110 A Résumé en français 112 Bibliography 117 7 Chapter 1 Introduction ❶ Surveillance ❷ Law needs data to act frames the on behaviors usage of data Privacy negative impact mixed impact positive impact ❸ Privacy Enhancing Technologies prevent data collection Figure 1.1 – Influence of surveillance, law and privacy enhancing technologies on privacy. In 2014, Cambridge Analytica silently collected and used personal data to build psy- chological profiles of millions of Facebook users. Based on these profiles and user data, they served individualized advertisements to their targets to influence votes at the 2016 US elections [1]. While the real impact of this scandal on people’s behavior is still not clear [2], we know it is possible to infer the personality of people by only looking at the content they liked on Facebook. Especially, an attacker learning as few as 300 items liked by their target can outsmart people that know this target the best (like their fam- ily or friends) when coming to judge their personality [3]. Once revealed in 2018 by the Guardian [4], the Cambridge Analytica scandal generated strong public reactions and made the headlines all around the world [5,6,7]. The same year, Facebook’s CEO was asked to answer questions in front of the US congress about Facebook’s misuse of user data [8,9]. He declared “We didn’t do enough to prevent these tools from being used for harm as well and that goes for [...] data privacy”. Far from being an isolated issue, this event seems to be part of a more general and diverse trend of privacy concerns [10, 11, 8 1.1. Privacy and Surveillance 12, 13, 14, 15, 16, 17] making privacy essential nowadays. To better grasp the common denominators among all these privacy issues, we decided to put these events in perspective with surveillance, law and technologies as summarized in Figure 1.1. 1.1 Privacy and Surveillance Bennett [18] reviewed many definitions, critiques, and views on privacy before con- cluding: “Privacy [...] displays a remarkable resilience as a way to regulate the processing of personal information by public and private organizations, as a way for ’privacy advocates’ to resist the excessive monitoring of human behavior. [...] Privacy frames the ways that most ordinary people see the contemporary surveillance issues.” We observed