TU Darmstadt / ULB / TUprints

Anonymous Publish-Subscribe Overlays

Daubert, Jörg (2016)
Anonymous Publish-Subscribe Overlays.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
Text
2016-05-03 ClassicThesis_2.pdf
Copyright Information: CC BY-NC-ND 4.0 International - Creative Commons, Attribution NonCommercial, NoDerivs.

Download (1MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Anonymous Publish-Subscribe Overlays
Language: English
Referees: Mühlhäuser, Prof. Dr. Max ; Stufe, Prof. Dr. Thorsten
Date: 2016
Place of Publication: Darmstadt
Date of oral examination: 10 March 2016
Abstract:

Freedom of speech is a core value of our society. While it can be exercised anonymously towards undesired observers in the physical world, the Internet is based on unique and nonanonymous identifiers (IDs) for every participant. Anonymity, however, is a crucial requirement to exercise freedom of speech using the Internet without having to face political persecution. To achieve anonymity, messages must be unlinkable to senders an receivers. That means that messages cannot be linked to IDs and other identifying information of senders and receivers. Anonymization services, such as Tor, re-establish anonymity within the Internet such that, for example, web content can be consumed anonymously. Nevertheless, this type of solution embodies two challenges: First, with the appearance of social media, the Internet usage behavior changed drastically from a one producer with many consumers to a many producers with many consumers of content paradigm. Second, a social media website that is used by many producers and many consumers constitutes a single point of failure (SPoF) regarding both availability and anonymity. Such a website may collect producer and consumer profiles, ultimately breaking anonymity. Publish/subscribe (pub/sub) is a message dissemination paradigm well suited to address the first challenge, the many-to-many exchange of content. peer-to-peer (P2P) Pub/Sub eliminates the need for an SPoF and, thus, partially addresses the second challenge as well. However, research addressing anonymity as a security requirement for Pub/Sub has merely scratched the surface. This thesis improves the state-of-the-art in anonymous Pub/Sub in several areas. In particular, the thesis addresses the following aspects of constructing anonymous Pub/Sub systems: (i.) Building blocks that reduce the complexity of constructing anonymous Pub/Sub systems are proposed; (ii.) methods for anonymously establishing Pub/Sub overlay networks are presented; (iii.) a method for inter-overlay optimization to distribute load is introduced; (iv.) methods for optimizing overlays regarding anonymity are proposed, and (v.) anonymity attacks and countermeasures are presented.

Contributions. This thesis contributes to the following research categories:

Anonymous overlay establishment: An anonymous Pub/Sub system is presented along six self-containing building blocks with the goal of establishing overlay networks that transport notifications from publishers to subscribers. Each building block is discussed in detail with a focus on leveraging related work to realize the building block. For attribute localization, the building block most relevant for establishing overlays, this thesis proposes multiple contributions: the usage of hash chains as a privacy-preserving transaction pseudonym and distance metric; the adaptation of flooding as well as forest fires; and random walks to distribute attribute knowledge.

Anonymous overlay optimization: The thesis proposes two optimizations for anonymity and one optimization for balancing the load. The first anonymity optimization, probabilistic forwarding (PF), applies the concept of mimic traffic to the domain of Pub/Sub. The second anonymity optimization, the shell game (SG), shuffles the overlay. Both optimizations prevent an exposure of information to attackers that can gain knowledge about the overlay topology. The load-balancing optimization uses a ring communication and Bloom filters to distribute load among nodes.

Anonymity attacks and countermeasures: Several well-known anonymity attacks are adapted to the domain of anonymous Pub/Sub and evaluated in detail. Novel attacks, such as the request/response-attack and the corner attack, are proposed as well and complemented with countermeasures.

Evaluation. The proposed mechanisms and attacks are evaluated using a qualitative approach, quantitatively with an extensive simulation, and empirically with a proof of concept (POC) application. The qualitative approach indicates that the presented mechanisms are well-suited to protect anonymity against a malicious insider threat. The quantitative evaluation is performed with the event-based simulation framework OMNeT++. The results show that the presented anonymous Pub/Sub system can protect anonymity, even in case malicious insiders are combined with a global observer of a very strong anonymity threat. The results also reveal in which situations PF or the SG provides the better anonymity protection. Furthermore, the results indicate which capabilities are favorable for an anonymity attacker. An anonymous micro-blogging application for Twitter shows that the presented system can be implemented for a real-world use case: With the application, users exchange tweets via hashtag-overlays, and cryptographic keys via quick response (QR)-codes and near field communication (NFC).

Alternative Abstract:
Alternative AbstractLanguage

Die Redefreiheit zählt zu den wichtigsten Werten unserer Gesellschaft. Während die Redefreiheit in der physischen Welt anonym gegenüber unerwünschten Fremden ausgeübt werden kann, basiert das Internet auf nicht-anonymen, sondern vielmehr eindeutigen, Identifikationsmerkmalen (IDs). Zur Ausübung der Redefreiheit ohne politische Verfolgung ist die Anonymität jedoch eine Kernanforderung. Anonymity bedingt, dass eine Nachricht nicht mit Sender und Empfänger in Verbindung gebracht werden kann. Insbesondere darf eine Nachricht nicht mit IDs oder anderen Identifikationsmerkmalen in Beziehung gesetzt werden. Anonymisierungsdienste wie Tor können im Internet verwendet werden, um etwa Webinhalte anonym abzurufen. Mit einer solchen Lösung ergeben sich jedoch 2 Arten von Herausforderungen: Erstens hat sich die Internet-Nutzung mit dem Aufkommen sozialer Medien verändert; statt einem ein Produzent mit vielen Konsumenten von Inhalten Nutzungs-Paradigma nimmt nun das viele Produzenten mit vielen Konsumenten-Paradigma eine gewichtige Rolle ein. Zweitens stellt eine Social-Media-Webseite mit vielen Nutzer eine zentrale Schwachstelle da, sowohl in Bezug auf die Verfügbarkeit als auch auf die Anonymität. Eine solche Webseite kann Profildaten ihrer Nutzer sammeln um schlussendlich deren Anonymität zu brechen. Publish/subscribe (pub/sub) ist ein Konzept zur Nachrichten-Verteilung, welches die erste Herausforderung sehr gut adressiert. P2P Pub/Sub kommt ohne zentrale Schwachstelle aus, und deckt damit auch die zweite Herausforderung teilweise ab. Jedoch steht Forschung, welche Anonymität als Sicherheitsanforderung für Pub/Sub berücksichtigt, erst am Anfang. Diese Dissertation erweitert den aktuellen Forschungsstand in mehreren Bereichen. Die folgenden Aspekte der Konstruktion von anonymen Pub/Sub Systemen werden dabei angesprochen: (i.) Bausteine zur Erleichterung zukünftiger Entwicklung von anonymen Pub/Sub Systemen werden vorgeschlagen; (ii.) Methoden zur anonymen Erzeugung von Overlay-Netzwerken werden vorgestellt; (iii.) eine anonyme Inter-Overlay-Optimierung zur Verteilung von Last wird präsentiert; (iv.) Methoden zur Optimierung der Anonymität in Overlay-Netzwerken werden eingebührt; (v.) Angriffe der Anonymität sowie Schutzmaßnahmen werden vorgeschlagen.

Beiträge. Die Beiträge dieser Dissertation lassen sich in folgende Forschungsschwerpunkte einteilen:

Anonyme Overlay-Erzeugung: Es wird ein anonymes Pub/Sub System anhand von sechs in sich geschlossenen Bausteinen vorgestellt. Hierbei wird das Ziel verfolgt, Overlay-Netzwerke zu erzeugen, welche nachfolgend Nachrichten von Produzenten zu Konsumenten transportieren. Jeder Baustein wird im Detail und in Bezug auf relevante verwandte Arbeiten erläutert. Für einen der wichtigsten Bausteine, die Lokalisierung von Attributen (attribute localization), werden mehrere Beiträge geleistet: Hash-Ketten kombinieren Transaktions-Pseudonym und Distanz-Metrik unter Schutz der Privatsphäre; sogenanntes flooding, forest fires, und doppelte random walks werden zum Verteilen von Attributs-Wissen verwendet.

Anonyme Overlay-Optimierung: Die Dissertation stellt zwei Optimierungen zur Verbesserung der Anonymität sowie eine Optimierung zur Verteilung von Last vor. Die erste Anonymitäts-Optimierung, probabilistic forwarding (PF), überträgt das Konzept von “mimi traffic” auf Pub/Sub. Die zweite Optimierung, das Hütchen-Spiel (shell game (SG)), zerwürfelt Overlay-Netzwerke. Beide Optimierungen verfolgen das Ziel, die Preisgabe von Information durch die Overlay-Topologie zu vermeiden. Die Optimierung zur Last-Verteilung verwendet einen Kommunikations-Ring sowie Bloom-Filter um die Last unter den Knoten von Overlay-Netzwerken zu verteilen

Anonymitäts-Angriffe und Schutzmaßnahmen: Mehre bekannten Anonymitäts-Attacken werden auf anonymes Pub/Sub angewendet und im Detail analysiert. Weiterhin werden neue Attacken, wie etwa die Anfrage/Antwort-Attacke (request/response-attack) sowie die Einengungs-Attacke (corner-attack), vorgestellt und mit entsprechenden Schutzmechanismen versehen.

Auswertung. Die vorgestellten Mechanismen und Angriffe werden anhand von drei Analyse-Verfahren ausgewertet: einem qualitativen Ansatz, einer umfangreichen Simulation, sowie empirisch mit einem Prototyp. Der qualitative Ansatz deutet an, dass die vorgestellten Mechanismen gut zum Schutz der Anonymität gegenüber der Gefahr von bösartigen Insidern geeignet ist. Die quantitative Analyse wird mit einer Ereignis-diskreten Simulation anhand des OMNeT++ Werkzeugs durchgeführt. Den Ergebnissen folgend ist das vorgestellte anonyme Pub/Sub System in der Tat zum Schutz der Anonymität geeignet, selbst wenn ein besonders starkes Angreifer-Modell aus bösartigem Insider sowie globalen Überwacher angenommen wird. Die Resultate zeigen auch, in welchen Situation PF oder das SG besseren Schutz bieten. Weiterhin ergeben die Resultate, welche Fähigkeiten einem Angreifer am Meisten nutzen. Für die empirische Auswertung wurde eine anonyme Micro-Blogging Anwendung für Twitter entwickelt. Diese Anwendung zeigt, dass die in dieser Dissertation vorgestellten Mechanismen in der Tat in realistischen Szenarien eingesetzt werden können. Mit der Anwendung können Teilnehmer Tweets über Hashtag-Overlay-Netz ausgetauschen. QR-Codes und NFC dienen der Verteilung von Schlüsselmaterial.

German
URN: urn:nbn:de:tuda-tuprints-54738
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Telecooperation
Date Deposited: 31 May 2016 07:39
Last Modified: 09 Jul 2020 01:18
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/5473
PPN: 380986833
Export:
Actions (login required)
View Item View Item