Abstract:
Permissionless Blockchains sind dezentrale Systeme, die Konsens erzielen. Das prominenteste Beispiel einer Permissionless Blockchain ist das elektronische Zahlungssystem Bitcoin, welches Konsens über die von Teilnehmern des Systems erzeugten Finanztransaktionen erzielt. Während verteilter Konsens seit Jahrzehnten Gegenstand zahlreicher Forschungsarbeiten ist, ist Bitcoin das erste bekannte System, welches Konsens im sog. permissionless-Modell erzielt, d.h. ohne die vorausgehende Feststellung der Identitäten der Teilnehmer des Systems.
Die Teilnehmer von Permissionless Blockchains kommunizieren über ein unstrukturiertes Peer-to-Peer (P2P) Netzwerk miteinander. ... mehrDa das Verfahren zur Konsensbildung von Permissionless Blockchains auf Daten basiert, die über dieses P2P-Netzwerk übertragen werden, können Sicherheitslücken in der Netzwerkschicht auch die Konsensbildung und damit die angestrebte Funktion des Systems beeinflussen. Während unstrukturierte P2P-Netzwerke in der Vergangenheit umfassend analysiert wurden, führt ihr Einsatz in Permissionless Blockchains zu Sicherheitsanforderungen und Angreifermodellen, die bisher noch nicht berücksichtigt wurden. Obwohl einzelne Angriffe auf die Netzwerkschicht von Permissionless Blockchains analysiert wurden, ist unklar, welche Sicherheitseigenschaften die Netzwerkschicht von Permissionless Blockchains haben sollte. Diese Unklarheit motiviert die erste in dieser Dissertation behandelte Forschungsfrage: Wie können Anforderungen und Zielkonflikte, die in den Mechanismen der Netzwerkschicht von Permissionless Blockchains vorhanden sind, untersucht werden?
In dieser Dissertation wird eine Systematisierung von Angriffen auf die Netzwerkschicht von Bitcoin vorgestellt, in der Angriffe hinsichtlich der angegriffenen Mechanismen und der Auswirkungen der Angriffe auf höhere Schichten des Systems kategorisiert werden. Basierend auf der Systematisierung werden fünf Anforderungen für die Netzwerkschicht von Permissionless Blockchains abgeleitet: Leistung, niedrige Beteiligungskosten, Anonymität, Robustheit gegen Denial-of-Service Angriffe sowie Topologieverschleierung. Darüber hinaus werden der Entwurfsraum der Netzwerkschicht aufgezeigt und der Einfluss von Entwurfsentscheidungen auf die Erfüllung von Anforderungen qualitativ untersucht. Die durchgeführten Systematisierungen weisen auf inhärente Zielkonflikte sowie Forschungsmöglichkeiten hin und unterstützen die Entwicklung von Permissionless Blockchains.
Weiterhin wird auf Grundlage von seit 2015 durchgeführten Messungen eine Charakterisierung des Bitcoin-P2P-Netzwerks präsentiert. Die Charakterisierung ermöglicht die Parametrisierung und Validierung von Simulationsmodellen und die Bewertung der Zuverlässigkeit von realen Experimenten. Darüber hinaus gewährt die Netzwerkcharakterisierung Einblicke in das Verhalten von Netzwerkknoten und deren Betreibern. Beispielsweise kann gezeigt werden, dass Sybil-Ereignisse in der Vergangenheit im Bitcoin-P2P-Netzwerk stattgefunden haben und dass die Leistung und die Anonymitätseigenschaften der Transaktions- und Blockausbreitung durch Implementierungs- und Protokolländerungen verbessert worden sind.
Auf Grundlage dieser Charakterisierung werden zwei ereignisdiskrete Simulationsmodelle des Bitcoin-P2P-Netzwerks entworfen. Die Modelle werden durch einen Vergleich der simulierten Informationsausbreitungsverzögerung mit der beobachteten Informationsausbreitungsverzögerung im realen Netzwerk validiert. Da der Vergleich eine hohe Übereinstimmung zeigt, ermöglichen die vorgestellten Simulationsmodelle die Simulation des Bitcoin-Netzwerks mit einer Genauigkeit, die für die Analyse von Angriffen im Bitcoin-Netzwerk ausreicht.
Die vorgestellten Simulationsmodelle sowie die durchgeführte Systematisierung von Angriffen verdeutlichen die Bedeutung der Kenntnis der Netzwerktopologie als Grundlage für Forschung und die Analyse von Deanonymisierungsangriffe. Daher adressiert die zweite Forschungsfrage dieser Dissertation Methoden der Topologieinferenz und der Deanonymisierung: Unter welchen Voraussetzungen und in welchem Maße sind netzwerkbasierte Topologieinferenz und Deanonymisierung in Bitcoin (un)möglich? Diese Frage wird durch Anwendung der vorgeschlagenen Methodenkombination aus Messungen, Simulationen und Experimenten beantwortet.
In dieser Dissertation werden vier verschiedene Methoden zur Topologieinferenz vorgestellt und unter Verwendung von Experimenten und Simulationsstudien analysiert. Anhand von Experimenten wird gezeigt, dass ein Angreifer, der in der Lage ist, Verbindungen zu allen Knoten des Netzwerks zu etablieren, die direkten Nachbarn eines Netzwerkknotens mit hoher Sensitivität (recall) und Genauigkeit (precision) (87% recall, 71% precision) durch die Veröffentlichung von widersprüchlichen Transaktionen im Netzwerk herausfinden kann. Unter der Annahme eines passiven Angreifers, der in der Lage ist, sich mit allen erreichbaren Netzwerkknoten zu verbinden, war 2016 ein Rückschluss auf die Nachbarn eines Netzwerkknotens mit einer Sensitivität von 40% bei einer Genauigkeit von 40% durch Beobachtung von mindestens acht Transaktionen, die von diesem Netzwerkknoten stammen, möglich. Darüber hinaus ist es möglich, die Akkumulation mehrere Transaktionen zum Zwecke der Topologieinferenz zu geringen Kosten auszunutzen. Allerdings bleibt die erwartete Inferenzqualität aufgrund fehlender Validierungsmöglichkeiten unklar. Schließlich kann simulativ gezeigt werden, dass der Peer-Discovery-Mechanismus eines P2P-Netzwerks bei bestimmte Parametrisierungen Topologinferenz ermöglichen kann.
Abschließend wird die Möglichkeit einer netzwerkbasierten Deanonymisierung bewertet, indem analysiert wird, ob eine Korrelation zwischen der IP-Adresse des Netzwerkknotens, der eine Transaktion veröffentlicht, und dem mutmaßlichen Ersteller der Transaktion besteht. Der zugrundeliegende Datensatz basiert auf den durchgeführten Messungen und besteht aus fast 10 Millionen Transaktionen mit zugehörigen IP-Adressen. Es wird gezeigt, dass Transaktionen von 5% bis 8.3% der Benutzer auffallend häufig von einzelnen Netzwerkknoten veröffentlicht wurden, was diese Benutzer dem Risiko netzwerkbasierter Deanonymisierungsangriffe aussetzt.
Abstract (englisch):
Permissionless blockchains are decentralized consensus systems. The most prominent example of a permissionless blockchain is the electronic payment system Bitcoin that achieves consensus on financial transactions issued by participants. While distributed consensus has been a subject of research for decades, Bitcoin was the first system to achieve consensus in the permissionless model, i.e., without prior establishment of identities of participants.
The participants of a permissionless blockchain communicate over an unstructured peer-to-peer (P2P) network. As the consensus protocol of permissionless blockchains relies on data transmitted through that P2P network, vulnerabilities in the network layer can also affect the establishment of consensus and, therefore, the intended function of the system. ... mehrWhile unstructured P2P networks have been extensively analyzed in the past, their deployment in permissionless blockchains leads to different security requirements and adversary models that existing work has not considered yet. Furthermore, although a number of attacks on the network layer of permissionless blockchains have been analyzed, no general notion of the desired security properties of the network layer of permissionless blockchains exists. This motivates the first research question addressed in this dissertation: How to research requirements and tradeoffs present in the network layer mechanisms of permissionless blockchains? First, we provide a systematization of attacks on the network layer of Bitcoin regarding the exploited network layer mechanisms and the effects of the attacks on the application and consensus layers of Bitcoin. Based on this systematization, we derive five requirements for the network layer of permissionless blockchains: performance, low cost of participation, anonymity, denial-of-service resistance, and topology hiding. Furthermore, we systematize the design space of the network layer and qualitatively show the effect of design decisions on the fulfillment of requirements. Our systematizations indicate inherent tradeoffs, point out research possibilities, and guide developers of permissionless blockchains.
Secondly, based on measurements performed since 2015 we provide a characterization of the Bitcoin P2P network. The characterization enables the parametrization and validation of simulation models and the assessment of the reliability of real-world experiments. Furthermore, the network characterization provides insights into the behavior of peers and their operators. For instance, we provide evidence that Sybil events happened in the past in the Bitcoin P2P network. Additionally, our measurements show that the performance and anonymity of transaction and block propagation has been improved by implementation and protocol changes.
Thirdly, research of the network layer of permissionless blockchains can be performed by employing network simulations. Based on the network characterization, we present two discrete-event simulation models of the Bitcoin P2P network that can be used for performing simulations at the full scale of the Bitcoin network. We validate our models by comparison of the simulated information propagation delay to the observed one in the real-world network. As the comparison shows a high correspondence, the presented simulation models enable the simulation of the Bitcoin network with a precision sufficient for the analysis of attacks.
Our simulation models and our systematization of attacks highlight the importance of knowledge of the network topology as a basis for research and as a prerequisite for certain attacks, such as network-based deanonymization attacks. Therefore, we address topology inference and deanonymization in the second research question of this dissertation: Under which assumptions and to which degree are network-based topology inference and deanonymization (im-)possible in Bitcoin? We answer this question by building on the results of the first research question, i.e., by applying a combination of measurements and experiments, and by using the presented simulation models.
We evaluate four different topology inference methods using real-world experiments and simulations. Using real-world experiments we show that an adversary that is able to connect to all peers of the network can infer the direct neighbors of a peer with high recall and precision (87% recall, 71% precision) at low costs by actively publishing conflicting transactions on the network. Furthermore, for a passive adversary that is able to connect to all reachable peers, inference of the neighbors of a peer was possible in 2016 with a recall of 40% at a precision of 40% by observing at least 8 transactions originating from that peer. Additionally, network topology information can be inferred at low costs by exploiting the client behavior transaction accumulation, however, the expected real-world inference quality remains unclear, because a ground-truth validation is inherently hard to perform for the proposed method. Subsequently, we show in simulations that a P2P network's peer discovery mechanism can be exploited for topology inference for certain parametrizations of the peer discovery mechanism.
Finally, we assess the possibility of network-based deanonymization by analyzing whether a correlation between the IP address of the peer announcing a transaction first and the suspected creator of the transaction can be detected. Our dataset is based on our network characterization and consists of almost 10 million transactions with associated IP addresses. We show that transactions of 5% to 8.3% of users were conspicuously often published by individual peers, potentially making these users susceptible to network-based deanonymization attacks.
