DISSENT: Accountable, Anonymous Communication Joan Feigenbaum - - PowerPoint PPT Presentation

dissent accountable anonymous communication
SMART_READER_LITE
LIVE PREVIEW

DISSENT: Accountable, Anonymous Communication Joan Feigenbaum - - PowerPoint PPT Presentation

Jan 01, 2023 202 likes •803 views

DISSENT: Accountable, Anonymous Communication Joan Feigenbaum http://www.cs.yale.edu/homes/jf/ Joint work with Bryan Ford (PI), Henry Corrigan Gibbs, Ramakrishna Gummadi, Aaron

slide-1
SLIDE 1

1

DISSENT:Accountable, AnonymousCommunication

JoanFeigenbaum http://www.cs.yale.edu/homes/jf/ JointworkwithBryanFord(PI),HenryCorriganGibbs, RamakrishnaGummadi,AaronJohnson(NRL), Vitaly Shmatikov(UTAustin),Ewa Syta, andDavidWolinksy SupportedbyDARPA

slide-2
SLIDE 2

2

ProblemStatement

•‣ AgroupofN 2partieswishtocommunicate anonymously,eitherwitheachotherorwith someoneoutsideofthegroup. •‣ Theyhavepersistent,“”realworld”„ identitiesandare known,bythemselvesandtherecipientsoftheir communications,tobeagroup. •‣ Theywantaprotocolwithfourproperties:

Integrity Anonymity Accountability

  • Efficiency
slide-3
SLIDE 3

3

Accountability

•‣ Groupmemberi exposes groupmemberj ifi obtains proof,verifiablebyathirdparty(notnecessarilyin thegroup),thatj disrupted aprotocolrun. •‣ Theprotocolmaintainsaccountability ifnohonest memberiseverexposed,and,aftereveryrun, either:

  • everyhonestmembersuccessfullyreceivesevery

honestmember’‚smessage,or

  • everyhonestmemberexposesatleastone

disruptivemember.

slide-4
SLIDE 4

4

NeedforAnonymity(1)

•‣ Communicationinhostileenvironments FromtheBAA:“”Thegoaloftheprogramisto developtechnologythatwillenablesafe,resilient communicationsovertheInternet,particularlyin situationsinwhichathirdpartyisattemptingto discovertheidentityorlocationoftheendusersor blockthecommunication.”„

slide-5
SLIDE 5

5

NeedforAnonymity(2)

•‣ Cashtransactions •‣ Twelvestepprograms(pseudonymy) •‣ Lawenforcement“”tip”„ hotlines •‣ Websitesaboutsensitivetopics,e.g.,sexuality, politics,religion,ordisease •‣ Voting •‣ ...

slide-6
SLIDE 6

6 ¡

Need ¡for ¡Accountability ¡

  • Authorita:ve, ¡creden:aled ¡group, ¡e.g.: ¡
  • ¡Board ¡of ¡Directors ¡of ¡an ¡organiza:on ¡
  • ¡Federa:on ¡of ¡journalists ¡(… ¡think ¡Wikileaks) ¡
  • ¡Registered ¡voters ¡
  • Internal ¡disagreement ¡is ¡inevitable. ¡
  • Infiltra:on ¡by ¡the ¡enemy ¡may ¡be ¡feasible. ¡ ¡

Ø Disrup:on ¡is ¡expected ¡and ¡must ¡be ¡combated. ¡ ¡ ¡ ? It’s ¡not ¡clear ¡that ¡“accountability” ¡is ¡the ¡right ¡word ¡ to ¡use ¡here ¡(… ¡and ¡that’s ¡part ¡of ¡a ¡longer ¡story). ¡ ¡

slide-7
SLIDE 7

7 ¡

Outline ¡

¡ ¡

  • Prior ¡work ¡on ¡anonymous ¡

communica:on ¡ ¡

  • Basic ¡DISSENT ¡protocol ¡(ACM ¡CCS ¡2010) ¡

¡

  • ¡Results ¡to ¡date ¡

¡

slide-8
SLIDE 8

8 ¡

Outline ¡

¡ ¡

  • Prior ¡work ¡on ¡anonymous ¡

communica/on ¡ ¡

  • Basic ¡DISSENT ¡protocol ¡(ACM ¡CCS ¡2010) ¡

¡

  • ¡Results ¡to ¡date ¡

¡ ¡

slide-9
SLIDE 9

9

MajorThemesinPriorWork

•‣ Generalpurposeanonymouscommunication mechanisms

  • MIXnetworksandOnionRouting(OR)
  • DiningCryptographersnetworks(DCnets)

•‣ Specialpurposemechanisms,e.g.:

  • Anonymousvoting
  • Anonymousauthentication,e.g.,grouporringsignatures
  • Ecash
slide-10
SLIDE 10

10

BasicOperationofOnionRouting

•‣ Clientpicksafew(e.g.,three)anonymizing relays fromacloudofavailablerelays. •‣ Hethenbuildsandusesanonion ofcryptographic tunnelsthroughtherelaystohiscommunication partner.

Anonymous Client Anonymous Client Anonymizing Relays Public Server

slide-11
SLIDE 11

11

BasicOperationofOnionRouting

•‣ Clientpicksafew(e.g.,three)anonymizing relays fromacloudofavailablerelays. •‣ Hethenbuildsandusesanonion ofcryptographic tunnelsthroughtherelaystohiscommunication partner.

Anonymous Client Anonymous Client Anonymizing Relays Public Server

slide-12
SLIDE 12

12

BasicOperationofOnionRouting

•‣ Clientpicksafew(e.g.,three)anonymizing relays fromacloudofavailablerelays. •‣ Hethenbuildsandusesanonion ofcryptographic tunnelsthroughtherelaystohiscommunication partner.

Anonymous Client Anonymous Client Anonymizing Relays Public Server

slide-13
SLIDE 13

13

BasicOperationofOnionRouting

•‣ Clientpicksafew(e.g.,three)anonymizing relays fromacloudofavailablerelays. •‣ Hethenbuildsandusesanonion ofcryptographic tunnelsthroughtherelaystohiscommunication partner.

Anonymous Client Anonymous Client Anonymizing Relays Public Server

slide-14
SLIDE 14

14

BasicOperationofOnionRouting

•‣ Clientpicksafew(e.g.,three)anonymizing relays fromacloudofavailablerelays. •‣ Hethenbuildsandusesanonion ofcryptographic tunnelsthroughtherelaystohiscommunication partner.

Anonymous Client Anonymous Client Anonymizing Relays Public Server

slide-15
SLIDE 15

15

PropertiesofOnionRouting

•‣ Keyadvantages:

  • Scalabletolargegroupsofclientsandrelays
  • Canbemadeinteractive(e.g.,Tor)
  • Widelydeployed(e.g.,Tor)

•‣ Keydisadvantages:

  • Manyvulnerabilitiestotrafficanalysis
  • Noaccountability:Anonymousdisruptorscan

SpamorDoSattackrelaysorinnocentnodes Compromiseotherusers’‚ anonymity

[Borisov etal. ’‚07]

slide-16
SLIDE 16

16

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.1:“”Alice+Bob”„ sendsa1bitsecrettoCharlie.

Alice Bob Charlie

slide-17
SLIDE 17

17

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.1:“”Alice+Bob”„ sendsa1bitsecrettoCharlie.

Alice Bob Charlie

1

Alice+Bob’‚s Shared Random Bit

slide-18
SLIDE 18

18

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.1:“”Alice+Bob”„ sendsa1bitsecrettoCharlie.

Alice Bob Charlie

1

Alice+Bob’‚s Shared Random Bit Alice’‚s Secret

slide-19
SLIDE 19

19

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.1:“”Alice+Bob”„ sendsa1bitsecrettoCharlie.

Alice Bob Charlie

1

Alice+Bob’‚s Shared Random Bit Alice’‚s Secret

  • 1

1

slide-20
SLIDE 20

20

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.1:“”Alice+Bob”„ sendsa1bitsecrettoCharlie.

Alice Bob Charlie

1

Alice+Bob’‚s Shared Random Bit Alice’‚s Secret

  • 1

1

slide-21
SLIDE 21

21

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.2:Homogeneous3memberanonymitygroup

Alice Bob Charlie

slide-22
SLIDE 22

22

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.2:Homogeneous3memberanonymitygroup

Alice Bob Charlie

1

Alice+Bob's Random Bit Alice+Charlie's Random Bit Bob+Charlie's Random Bit

1

slide-23
SLIDE 23

23

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.2:Homogeneous3memberanonymitygroup

Alice Bob Charlie Alice’‚s Secret

1 1

Alice+Bob's Random Bit Alice+Charlie's Random Bit Bob+Charlie's Random Bit

1

slide-24
SLIDE 24

24

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.2:Homogeneous3memberanonymitygroup

Alice Bob Charlie Alice’‚s Secret

1 1

Alice+Bob's Random Bit Alice+Charlie's Random Bit Bob+Charlie's Random Bit

1

  • 1
slide-25
SLIDE 25

25

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.2:Homogeneous3memberanonymitygroup

Alice Bob Charlie Alice’‚s Secret

1 1

Alice+Bob's Random Bit Alice+Charlie's Random Bit Bob+Charlie's Random Bit

1

  • 1
  • =1
slide-26
SLIDE 26

26

DiningCryptographers(DCnets)

•‣ Informationtheoreticgroupanonymity •‣ Ex.2:Homogeneous3memberanonymitygroup

Alice Bob Charlie Alice’‚s Secret

1 1

Alice+Bob's Random Bit Alice+Charlie's Random Bit Bob+Charlie's Random Bit

1

  • 1
  • =1
slide-27
SLIDE 27

27

PropertiesofDCnetsSchemes

•‣ Keyadvantages:

  • Provable,informationtheoreticanonymity
  • Resistence totrafficanalysisandcollusion

•‣ Keydisadvantages:

  • Noteasytoscaleuporimplementefficiently
  • Notwidelydeployed
  • Noaccountability:Anonymousdisruptorscan

SpamorDoSattackthegroupwithoutdiscovery Forcegroupreformationwithoutbeingeliminated

slide-28
SLIDE 28

28 ¡

Outline ¡

¡ ¡

  • Prior ¡work ¡on ¡anonymous ¡

communica:on ¡

  • Basic ¡DISSENT ¡protocol ¡(ACM ¡CCS ¡2010) ¡

¡

  • ¡Results ¡to ¡date ¡

¡ ¡

slide-29
SLIDE 29

29

StartingPoint:Verifiable,AnonymousShuffling [Brickell andShmatikov ’‚06] •‣ Npartieswithequallengthmessages m1,…‧,mN sendm(1),…‧,m(N)toadata collector. •‣ Theprotocolprovablyprovides

  • Integrity:{m1 ,…‧,mN}={m(1),…‧,m(N)}
  • Anonymity: israndomandnotknownbyanyone.
  • Resistancetotrafficanalysisandcollusion

•‣ DISSENTaddsaccountabilityandtheabilityto handlevariablelengthmessagesefficiently.

slide-30
SLIDE 30

30

BasicDISSENTProtocol:Overview

•‣ Assumptions:

–— Equallengthmessages –— Eachgroupmemberhasasignaturekeypair;allmessagesaresigned.

•‣ Phase1:Setup

–— Eachmemberchoosestwoencryptionkeypairsforthisrun.

•‣ Phase2:Onionencryption

–— Eachmemberencryptshismessagewitheveryone’‚s encryptionkeys.

•‣ Phase3:Anonymization

–— Eachmemberappliesarandompermutationtothesetofmessages.

•‣ Phase4:Validation

–— Eachmemberi checksthat(uncorrupted)mi isinthepermutedset.

•‣ Phase5:DecryptionorBlame

–— Ifallphase4checkssucceed,decryptallofthemessages. –— Else,honestmembersrunaprotocolthatallowseachofthemto exposeatleastonedisruptivemember.

slide-31
SLIDE 31

31

Phase1:Setup

•‣ Recallthat

  • Membersknoweachothers'publicverificationkeys.
  • Memberssign(andverifysignatureson)all messages.

•‣ Eachgroupmemberichooses:

  • Secretmessagemi (andpadsitifnecessary)
  • Outerencryptionkeypair(Oi,O'i)
  • Innerencryptionkeypair(Ii,I'i)

•‣ Eachgroupmemberi broadcastspublicencryption keysOi,Ii

slide-32
SLIDE 32

32

Phase2:OnionEncryption

Eachgroupmemberi: •‣ Encryptsmi withinnerkeysIN,...,I1 tocreatem'i •‣ Encryptsm'i withouterkeysON,...,O1 tocreatem''i

slide-33
SLIDE 33

33

Phase2:OnionEncryption

Eachgroupmemberi: •‣ Encryptsmi withinnerkeysIN,...,I1 tocreatem'i •‣ Encryptsm'i withouterkeysON,...,O1 tocreatem''i ExamplewithN=3:

slide-34
SLIDE 34

34

Phase2:OnionEncryption

Eachgroupmemberi: •‣ Encryptsmi withinnerkeysIN,...,I1 tocreatem'i •‣ Encryptsm'i withouterkeysON,...,O1 tocreatem''i ExamplewithN=3:

m1 m2 m3

slide-35
SLIDE 35

35

Phase2:OnionEncryption

Eachgroupmemberi: •‣ Encryptsmi withinnerkeysIN,...,I1 tocreatem'i •‣ Encryptsm'i withouterkeysON,...,O1 tocreatem''i ExamplewithN=3:

m1 m2 m3 m'1 = { { { }I3 }I2 }I1 m'2 = { { { }I3 }I2 }I1 m'3 = { { { }I3 }I2 }I1

slide-36
SLIDE 36

36

Phase2:OnionEncryption

Eachgroupmemberi: •‣ Encryptsmi withinnerkeysIN,...,I1 tocreatem'i •‣ Encryptsm'i withouterkeysON,...,O1 tocreatem''i ExamplewithN=3:

m1 m2 m3 m'1 = { { { }I3 }I2 }I1 m'2 = { { { }I3 }I2 }I1 m'3 = { { { }I3 }I2 }I1 m''1 = { { { }O3 }O2 }O1 m''2 = { { { }O3 }O2 }O1 m''3 = { { { }O3 }O2 }O1

slide-37
SLIDE 37

37

Phase3:Anonymization (1)

•‣ Member1collects(m''I,…‧,m''N). •‣ Fori 1toN,memberi

  • Decryptstheith layerofouterkeyencryption
  • Randomlypermutestheresultinglist(ofpartially

decryptedmessages)and(temporarily)savestherandom permutation

  • Forwardsthepermutedlisttomemberi+1(if i<N)

•‣ MemberNbroadcaststhepermutedm'i list.

slide-38
SLIDE 38

38

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1

slide-39
SLIDE 39

39

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1 m1 {{{ }}} {{{ }}} m2 {{{ }}} {{{ }}} m3 {{{ }}} {{{ }}}

Input to member 1: encrypted messages m''i

slide-40
SLIDE 40

40

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1 m1 {{{ }}} {{{ }}} m2 {{{ }}} {{{ }}} m3 {{{ }}} {{{ }}}

Node 1: Decrypt, Permute Input to member 1: encrypted messages m''i

slide-41
SLIDE 41

41

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1 m1 {{{ }}} {{{ }}} m2 {{{ }}} {{{ }}} m3 {{{ }}} {{{ }}}

Node 1: Decrypt, Permute

m3 {{{ }}} {{ }} m1 {{{ }}} {{ }} m2 {{{ }}} {{ }}

Input to member 1: encrypted messages m''i

slide-42
SLIDE 42

42

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1 m1 {{{ }}} {{{ }}} m2 {{{ }}} {{{ }}} m3 {{{ }}} {{{ }}}

Node 1: Decrypt, Permute Node 2: Decrypt, Permute

m3 {{{ }}} {{ }} m1 {{{ }}} {{ }} m2 {{{ }}} {{ }}

Input to member 1: encrypted messages m''i

slide-43
SLIDE 43

43

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1 m1 {{{ }}} {{{ }}} m2 {{{ }}} {{{ }}} m3 {{{ }}} {{{ }}}

Node 1: Decrypt, Permute Node 2: Decrypt, Permute

m3 {{{ }}} {{ }} m1 {{{ }}} {{ }} m2 {{{ }}} {{ }}

Input to member 1: encrypted messages m''i

m1 {{{ }}} { } m3 {{{ }}} { } m2 {{{ }}} { }

slide-44
SLIDE 44

44

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1 m1 {{{ }}} {{{ }}} m2 {{{ }}} {{{ }}} m3 {{{ }}} {{{ }}}

Node 1: Decrypt, Permute Node 2: Decrypt, Permute Node 3: Decrypt, Permute

m3 {{{ }}} {{ }} m1 {{{ }}} {{ }} m2 {{{ }}} {{ }}

Input to member 1: encrypted messages m''i

m1 {{{ }}} { } m3 {{{ }}} { } m2 {{{ }}} { }

slide-45
SLIDE 45

45

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1 m1 {{{ }}} {{{ }}} m2 {{{ }}} {{{ }}} m3 {{{ }}} {{{ }}}

Node 1: Decrypt, Permute

m2 {{{ }}} m1 {{{ }}} m3 {{{ }}}

Node 2: Decrypt, Permute Node 3: Decrypt, Permute

m3 {{{ }}} {{ }} m1 {{{ }}} {{ }} m2 {{{ }}} {{ }}

Input to member 1: encrypted messages m''i

m1 {{{ }}} { } m3 {{{ }}} { } m2 {{{ }}} { }

slide-46
SLIDE 46

46

Phase3:Anonymization (2)

mi m'i = { { { }I3 }I2 }I1 m''i = { { { }O3 }O2 }O1 m1 {{{ }}} {{{ }}} m2 {{{ }}} {{{ }}} m3 {{{ }}} {{{ }}}

Node 1: Decrypt, Permute

m2 {{{ }}} m1 {{{ }}} m3 {{{ }}}

Node 2: Decrypt, Permute Node 3: Decrypt, Permute

m3 {{{ }}} {{ }} m1 {{{ }}} {{ }} m2 {{{ }}} {{ }} m1 {{{ }}} { } m3 {{{ }}} { } m2 {{{ }}} { }

Output from member n: partly decrypted messages m'i in random, secret order

slide-47
SLIDE 47

47

Phase4:Validation

Aftertheanonymization phase,nomember knowsthefinalpermutation,butevery memberi shouldseehisownm'i inthelist! Eachmemberi looksform'iinthepermutedlist.

•‣ Present memberi broadcasts“”GO”„. •‣ Absent memberi broadcasts“”NOGO”„ and destroyshisinnerdecryptionkeyI'i .

slide-48
SLIDE 48

48

Phase5:DecryptionorBlame

•‣ Eachmemberi collectsallGO/NOGOmessages. •‣ GOmessagesfromall nodes(includingself):

  • Eachmemberi broadcastshisowninnerdecryptionkeyI'i .
  • AllmembersusekeysI'1,...,I'N todecryptallthem'j,

revealingallthecleartext messagesmj.

•‣ NOGOmessagefromany node:

  • Eachmemberi broadcaststheproofthathedecryptedand

permutedproperlyinPhase3.

  • Allmembersusetheseproofstoexposedisruptor(s).
slide-49
SLIDE 49

49

HowDISSENTProvidesAccountability

•‣ AnyNOGOmessageobligesall membersto “”provetheirinnocence,”„ i.e.,thatthey:

  • correctlyencryptedmessagesinPhase2
  • correctlydecrypted/permutedinPhase3
  • correctlyvalidatedthefinallistinPhase4

•‣ Thisprocessrevealsthe“”secret”„ permutationbut leavesthepermutedcleartexts mj undecipherable: Theyareprotectedbyallhonestnodes'inner decryptionkeys,whichhavenotbeenrevealed.

slide-50
SLIDE 50

50

HandlingVariableLengthMessages

•‣ Anonymousshuffleprotocolspadallmessagestoa commonlengthinordertoresisttrafficanalysis. •‣ Whatifthemessageloadisunbalanced,e.g.:

  • Memberi wantstosendanL=646MBvideo.
  • Membersj i havenothingtosendinthisrunofthe

protocol.

•‣ ThegroupmustshufflethevideoandN1 646MB paddedcleartexts,resultinginO(NL)bitspernode andO(N2L)bitstotal.

slide-51
SLIDE 51

51

Basic“”BulkSend”„ variant

•‣ Usethe(slow)accountableshuffleprotocolto exchangerandomlypermutedmetadata. •‣ Interprettherandompermutationasa“”schedule”„ forexchangeofdata,whichisdoneusingDCnets. •‣ AccountabilityoftheDISSENTshuffleallowseach groupmembertoverifythatallmembers transmittedthecorrectdataintheproperDCnets “”timeslot.”„ •‣ Costofthecaseinwhichjustonememberwantsto sendL=646MBdropstoO(L)bitspernodeandO(NL) bitstotal.

slide-52
SLIDE 52

52

BasicBulkSend(1)

Shufflemetadata describingthemessagesthat thenodeswanttosend.

L1 { –— }1 {S12}2 {S13}3 L2 {S21}1 { –— }2 {S23}3 L3 {S31}1 {S32}2 { –— }3

Message Length PRNG Seeds

slide-53
SLIDE 53

53

BasicBulkSend(1)

Shufflemetadata describingthemessagesthat thenodeswanttosend.

L1 { –— }1 {S12}2 {S13}3 L2 {S21}1 { –— }2 {S23}3 L3 {S31}1 {S32}2 { –— }3

Message Length PRNG Seeds

DISSENT Shuffle

L1 { –— }1 {S12}2 {S13}3 L2 {S21}1 { –— }2 {S23}3 L3 {S31}1 {S32}2 { –— }3

Permuted Message Descriptors

slide-54
SLIDE 54

54

BasicBulkSend(2)

Theshuffledmessagedescriptorsforma schedule foraDCnetstransmission.

L1 { –— }1 {S12}2 {S13}3 L2 {S21}1 { –— }2 {S23}3 L3 {S31}1 {S32}2 { –— }3

Permuted Message Descriptors

slide-55
SLIDE 55

55

BasicBulkSend(2)

Theshuffledmessagedescriptorsforma schedule foraDCnetstransmission.

L1 { –— }1 {S12}2 {S13}3 L2 {S21}1 { –— }2 {S23}3 L3 {S31}1 {S32}2 { –— }3

Permuted Message Descriptors Node 1 Node 2 Node 3

R(S31) R(S32) M3 R(S31) ... M1 ... R(S12) R(S13) R(S21) M2 R(S21) ... R(S23)

L3 L1 L2

slide-56
SLIDE 56

56 ¡

Outline ¡

¡ ¡

  • Prior ¡work ¡on ¡anonymous ¡

communica:on ¡ ¡ ¡

  • Basic ¡DISSENT ¡protocol ¡(ACM ¡CCS ¡2010) ¡
  • ¡Results ¡to ¡date ¡

¡ ¡

slide-57
SLIDE 57

57 ¡

Results ¡to ¡Date ¡(1) ¡

  • Reduced ¡latency ¡ ¡ ¡
  • Mul6ple ¡bulk ¡sends ¡per ¡shuffle ¡
  • Increased ¡scalability ¡ ¡(OSDI ¡2012) ¡
  • Groups ¡with ¡5000+ ¡members ¡
  • N ¡clients, ¡M ¡servers ¡
  • Secure ¡against ¡both ¡ac6ve ¡disrup6on ¡by ¡up ¡to ¡N-­‑2 ¡

clients ¡and ¡liveness ¡aJacks ¡by ¡a ¡(tunable) ¡constant ¡ frac6on ¡of ¡clients. ¡ ¡This ¡enables ¡``churn ¡tolerance.’’ ¡

  • Secure ¡against ¡ac6ve ¡disrup6on ¡by ¡up ¡to ¡M-­‑1 ¡servers ¡

(but ¡not ¡against ¡liveness ¡aJacks ¡by ¡servers). ¡

¡

¡

slide-58
SLIDE 58

58 ¡

Results ¡to ¡Date ¡(2) ¡

  • Applica6ons ¡ ¡ ¡
  • “Anonymity ¡scavenging” ¡for ¡wide-­‑area ¡microblogging ¡
  • WiNon: ¡DISSENT-­‑based ¡Web ¡Browsing ¡

ü “Strong, ¡small” ¡anonymity ¡sets ¡instead ¡of ¡the ¡“large, ¡

weak” ¡sets ¡offered ¡by ¡Tor-­‑based ¡browsing ¡tools ¡

  • WiNon ¡+ ¡Tor ¡

ü Diverse, ¡wide-­‑area ¡anonymity ¡against ¡weak ¡aJacker ¡ ü Local-­‑area ¡anon./deniability ¡if ¡aJacker ¡can ¡defeat ¡Tor ¡

  • Formal ¡proofs ¡that ¡basic ¡DISSENT ¡sa6sfies ¡
  • Integrity ¡
  • Anonymity ¡
  • Accountability ¡

¡

slide-59
SLIDE 59

Ongoing ¡and ¡Future ¡Work ¡

  • ProtecBon ¡against ¡``intersecBon ¡aFacks’’ ¡
  • ProtecBon ¡against ¡liveness ¡aFacks ¡on ¡servers ¡
  • Formal ¡security ¡proofs ¡for ¡enhanced ¡DISSENT ¡

protocols ¡

  • IntegraBon ¡with ¡other ¡anonymity ¡protocols ¡

59