Simulation of Privacy-Enhancing Technologies in Vehicular Ad-Hoc Networks
Language
Document Type
Issue Date
Issue Year
Authors
Editor
Abstract
Equipping vehicles with communication technology is a promising approach to in- crease both safety and the efficiency of tomorrow’s road traffic. However, without proper privacy protection, such a communication system can be exploited to com- promise drivers’ location privacy or to install fully automated overbearing traffic surveillance. In order to deploy effective Privacy-Enhancing Technologies (PETs), it is not only important to understand the concrete privacy risks that go along with vehicular networks, but also to be able to measure the level of privacy provided by the system. This thesis contributes to privacy research by providing a risk analysis, a taxon- omy for privacy in vehicular networks, and a review of the state of the art in privacy research. We further address shortcomings and potentials of simulation techniques and make recommendations to improve the quality and meaningfulness of privacy simulation. Based on our findings, we develop an open-source privacy simulation framework that allows evaluation of the level of location privacy enjoyed by drivers. Combined with detailed models for American and European communication stan- dards, we provide a powerful tool not only for the analysis of packet-based privacy protection mechanisms, but also to identify performance issues of the envisioned communication protocols. Using our simulator, we develop and evaluate different PETs that address open research topics: We introduce SlotSwap, a time-slotted pseudonym exchange scheme which protects against privacy violations by the system provider. Time-slotted pseu- donyms also protect from Sybil attacks and complicate tracking by simultaneously changing identifiers. Our certificate revocation system SmartRevoc also makes use of this technology and offers an efficient and backward privacy-preserving revoca- tion method. We show that parked vehicles can support the timely distribution of revocation lists and also considerably improve traffic safety. Lastly, we present a robust fingerprinting attack exploiting IEEE 802.11 scramblers that illustrates that one non-privacy-aware component can compromise privacy throughout the entire system. Based on our results we draw conclusions for the design of PETs in future transportation systems.
Abstract
Einer der derzeit vielversprechendsten Ansätze, um zukünftig Verkehrssicherheit und -effizienz zu erhöhen, sind miteinander kommunizierende Fahrzeuge. Ohne effektiven Privatsphärenschutz kann ein solches Kommunikationssystem allerdings missbraucht werden, z.B. um Fahrer auszuspähen oder ein vollautomatisches Ver- kehrsüberwachungssystem aufzubauen. Doch lässt sich ein solcher Schutz nicht entwickeln, ohne vorher die konkreten Risiken in Fahrzeugnetzen zu verstehen und den Grad der Privatsphäre eines Fahrers messbar zu machen. In dieser Arbeit präsentieren wir daher zunächst eine tiefgehende Risikoanalyse, sowie eine Taxonomie für Privatsphäre in Fahrzeugnetzen und einen Überblick über den aktuellen Stand der Privatsphärenforschung. Wir bewerten verbreitete Simulati- onsmethodiken hinsichtlich Qualität und Aussagekraft und zeigen mit der Entwick- lung eines Simulationswerkzeuges, wie sich diese steigern lassen. Das entwickelte Framework erlaubt die detaillierte Bewertung von Privatsphäre in Fahrzeugnetzen. Zusätzlich ermöglicht eine genaue Abbildung des amerikanischen und europäischen Kommunikationsstandards nicht nur die Untersuchung von Schutzmechanismen auf Paketebene, sondern auch das Aufdecken von Performanzproblemen. Unser Simulator erlaubt uns darüber hinaus eigene Beiträge zum Schutz der Privatsphäre in Fahrzeugnetzen zu entwickeln und zu bewerten: Gegen Privat- sphärenverletzungen durch den Betreiber schützt unser pseudonym-austauschendes SlotSwap-System. Die Benutzung zeitbasierter Pseudonyme schützt außerdem vor Sybilangriffen und der damit einhergehende synchrone Addresswechsel erschwert das Verfolgen von Fahrzeugen. Zeitbasierte Pseudonyme sind auch die Basis unse- res Zertifikatsperrsystems SmartRevoc, das sich fehlverhaltende Fahrzeuge effizient sperren kann, ohne deren Vergangenheit offenzulegen. Des Weiteren zeigen wir, dass parkende Fahrzeuge entscheidend zur Verkehrssicherheit beitragen und Zertifi- katsperrlisten schnell im Netzwerk verteilen können. Zum Abschluss präsentieren wir einen robusten Fingerprinting-Angriff auf IEEE 802.11-Geräte, dessen Tragweite wir mit Hilfe unseres Simulators quantifizieren können. Die Gesamtheit der Ergeb- nisse dieser Arbeit ermöglicht eine differenzierte Einschätzung und eine gezieltere Entwicklung von Mechanismen zum Privatsphärenschutz in Fahrzeugnetzen.