Institut für Verteilte Systeme, Universität Ulm Broadcast Privacy for Blockchains Dissertation zur Erlangung des Doktorgrades Dr. rer. nat. der Fakultät für Ingenieurwissenschaften, Informatik und Psychologie der Universität Ulm. DAVID JOACHIM MÖDINGER aus Schwäbisch-Gmünd, Deutschland, 2021 i Amtierender Dekan: Prof. Dr.-Ing. Maurits Ortmanns Gutachter: Prof. Dr.-Ing. Franz J. Hauck, Institute of Distributed Systems, Ulm University, Germany Gutachter: Prof. Dr. Max Mühlhäuser, Telecooperation Lab, TU Darmstadt, Germany Tag der Promotion: 12.07.2021 ii Abstract Public blockchains have reached high popularity among technically inclined people, layper- sons and researchers alike. Similarly, privacy has gained much attention in the same circles. This attention and high sensitivity of information transmitted in blockchains, lead more and more blockchain-based systems, especially cryptocurrencies, to provide privacy for their users. Popular approaches include ring signatures or zero-knowledge proofs to achieve un- linkable payments within the blockchain. However, these systems solely examine privacy by considering the blockchain and its em- bedded transactions. The underlying peer-to-peer network of a public blockchain is rarely considered. This leaves the dissemination of transactions open for privacy attacks, as the IP address of the originator of a transaction can be mapped to their real-world identity. In this thesis, we look into the important privacy aspects of broadcasting blockchain transactions. We collect and analyse data of a large blockchain network and construct a privacy-preserving latency estimator. Building on the insights gained from the analysis, we combine dining-cryptographers networks with a secret sharing technique and layer a ood- and-prune broadcast on top, to provide enforced k-anonymity to network participants. To increase the exibility of this approach, we extend two established privacy protocols. First, we extend a dining-cryptographers based group messaging protocol to transmit ar- bitrary length messages. Further, we optimize the protocol for common cases, to improve its performance for various environments, especially blockchain transaction dissemination. As a performant intermediate privacy layer, we transform adaptive diusion from a contact graph protocol to a computer network protocol. We achieve this by changing the under- lying network assumptions and the attacker model. We derive optimal forwarding proba- bilities based on a statistical network model of unstructured peer-to-peer networks. These two sub-protocols are combined in an intertwined layering approach to create 3P3, a exible privacy-preserving broadcast protocol. Lastly, to manage the groups required for 3P3 and other proposed and common pro- tocols, we propose Pixy. Pixy is a privacy increasing group creation scheme, allowing for ltering and testing of group participants to establish trust. The system allows for smaller group sizes while maintaining privacy guarantees of previous systems, or better privacy for same-sized groups. The software, concepts, data and models in this thesis help researchers and developers of privacy preserving network protocols. Developers can use 3P3, tuning its parameters to the needs of their network. Researchers can build on the data, concepts and models to cre- ate novel schemes and generalizations of our insights. This improves privacy for all users of modern and future networks. iii iv Zusammenfassung In den letzten Jahren hat das interesse an Datenschutz und Blockchain Systemen deutlich zugenommen. Sowohl Lauen, technisch interessierte als auch Forscher haben sich mit bei- den Themen und ihren Anküpfungspunkten ausführlich befasst. Entwickler von Blockchain Systemen haben verschiedene Ansätze, etwa Ringsignaturen oder Zero-Knowledge-Beweise, genutzt um das Finanzgeheimnis in Blockchain Systemen zu stärken. Die gewählten Ansätze beschränken sich in ihrer Funktionsweise jedoch auf die in der Blockchain hinterlegten Informationen. Das Peer-to-Peer-Netzwerk, das einer öentlichen Blockchain zugrunde liegend, wird selten berücksichtigt. Das Netzwerk ist jedoch anfällig für Angrie, welche den Datenschutz aushebeln. So ausgespähte IP-Adressen erlauben sogar Rückschlüsse auf die wahre Identität des Nutzers. Diese Arbeit beschäftigt sich mit Aspekte des Datenschutzes bei der Verbreitung von Transaktionen durch Broadcasts. Wir sammeln und analysieren Daten in einem großen Blockchain Netzwerk und konstruieren einen geheimen und unauälligen Latenz-Schätzer. Zudem kombinieren wir Dining-Cryptographers Netzwerke mit Shamir’s Secret Sharing, für einen stärkeren Anonymitätsschutz. Um die Flexibilität dieses Ansatzes zu verbessern, erweitern wir zwei bereits etablierte Protokolle. Wir verändern und optimieren ein modernes Protokoll zur Gruppenkommu- nikation, welches auf einem Dining-Cryptographers Netzwerk basiert. Dies erlaubt uns beliebig lange Nachrichten zu versenden, sowie die nötige Leistung von Teilnehmern sub- stantiell zu verringern. Wir transformieren Adaptive Diusion von in ein Netzwerkprotokoll. Um dies zu erre- ichen, passen wir die Netzwerkannahmen und das Angreifermodell des Protokolls an. Hi- erfür entwickeln wir ein statistisches Netzwerkmodell von Peer-to-Peer-Netzwerken. Diese Veränderungen erlauben den Einsatz von Adaptive Diusion als Zwischenschicht zur Er- höhung der Datensicherheit einzusetzen und dabei die Leistungseinbußen gering zu halten. Zur Erstellung der für 3P3 nötigen Gruppen, entwickelten wir Pixy,w elches die Ver- trauensbasis zwischen Teilnehmern durch Filter und Tests während der Gruppenerstellung verbessert. Dies ermöglicht kleinere, und damit ezientere, Gruppen unter Beibehaltung der Datenschutzgarantien früherer Systeme. Die entwickelten Konzepte, Software, Daten und Modelle in dieser Arbeit helfen Forsch- ern und Entwicklern von Netzwerkprotokollen den Datenschutz für Netzwerkteilnehmer zu verbessern. Software Entwickler können 3P3 verwenden und dessen Parameter auf die Bedürfnisse ihres Netzwerks abstimmen. Forscher können auf den Daten, Konzepten und Modellen aufbauen, um neuartige Schemata und Verallgemeinerungen unserer Erkennt- nisse zu erstellen. v vi Publications Some earlier versions of the material presented in this thesis have previously been published in the following publications: Reviewed [1] H. Kopp, D. Mödinger, F. J. Hauck, F. Kargl, and C. Bösch. “Design of a Privacy- Preserving Decentralized File Storage with Financial Incentives”. In: Proceedings of IEEE Security & Privacy on the Blockchain (IEEE S&B) (affiliated with EUROCRYPT 2017). IEEE, 2017. [2] D. Mödinger, J. Dispan, and F. J. Hauck. “Shared-Dining: Broadcasting Secret Shares using Dining-Cryptographer Groups”. In: Accepted at 21st International Conference on Distributed Applications and Interoperable Systems (DAIS). 2021. [3] D. Mödinger, N. Fröhlich, and F. J. Hauck. “Pixy: A Privacy-Increasing Group Cre- ation Scheme”. In: 5th International Conference on Network Security (ICNS). 2020. [4] D. Mödinger and F. J. Hauck. “3P3: Strong Flexible Privacy for Broadcasts”. In: 4th International Workshop on Cyberspace Security (IWCSS 2020). 2020. [5] D. Mödinger, H. Kopp, F. Kargl, and F. J. Hauck. “A Flexible Network Approach to Privacy of Blockchain Transactions”. In: Proc. of the 38th IEEE Int. Conf. on Dis- tributed Computing Systems (ICDCS). IEEE, 2018. [6] D. Mödinger, J.-H. Lorenz, and F. J. Hauck. “n-Adaptive Diusion for k-Growing Networks”. In: Submitted to Plos One. 2021. [7] D. Mödinger, J.-H. Lorenz, R. W. van der Heijden, and F. J. Hauck. “Unobtru- sive monitoring: Statistical dissemination latency estimation in Bitcoin’s peer-to-peer network”. In: PLOS ONE 15.12 (Dec. 2020), pp. 1–21. Unreviewed [8] D. Mödinger and F. J. Hauck. Bitcoin Network Transaction Inv Data with Java Times- tamp and Originator Id. https://doi.org/10.5281/zenodo.2547396. Jan. 2019. [9] D. Mödinger, A. Heß, and F. J. Hauck. “ArbitraryLength k-Anonymous DC Com- munication”. In: (2021). arXiv: 2103.17091 [cs.NI]. vii viii Contents I Preliminaries 1 1 Introduction 3 2 Background 7 3 Privacy Protocols 15 II 3P3: Strong Flexible Privacy 25 4 Overview 27 5 Phase I: Arbitrary Length k-Anonymity 31 6 Phase II: η-Adaptive Diusion 39 7 Security and Privacy 59 8 Performance 65 III Privacy Extensions 73 9 Overview 75 10 Unobtrusive Monitoring 77 11 Threshold Cryptography for k-Anonymous Broadcasts 95 12 Pixy: Privacy-Increasing Group Creation 107 IV End 117 13 Conclusion and Outlook 119 ix x CONTENTS Part I Preliminaries 1 Chapter 1 Introduction Cryptocurrencies and blockchains have been popular for years, not only in research and in- dustry but also for the general population. This phenomenon went as far as many people of varying technical prociency investing their money in cryptocurrencies hosted by blockchains. Many blockchains contained sensitive data of their users in unprotected and unprotectable forms. Such data contains information on purchasing behavior, credit balances, and how the money was acquired [77, 95]. Many new cryptographic applications came to life to protect this sensitive information. Approaches to achieve unlinkable payments include the use of ring signatures [1, 86, 87] and zero-knowledge proofs [20, 79]. Even already existing blockchain systems, such as Bitcoin were augmented with privacy-enhancing mechanisms [26, 97]. However, these systems focus solely on privacy on the persisted blockchain, as every user can acquire and inspect this data. This publicly available data has been intensively investi- gated