Trading dependability, performance, and security in first-price sealed-bid online auctions with temporal decoupling

Abstract

Bei Erstpreisauktionen mit verdeckten Geboten, wie sie zum Beispiel für Staatsanleihen durchgeführt werden, treten üblicherweise hohe Lastspitzen kurz vor dem Auktionsende auf, da ein spätes Bieten es den Bietern erlaubt ihr Gebot besser an die jeweilige Marktsituation anzupassen. Weiters gibt es hohe Anforderungen an die Zuverlässigkeit, da Ausfälle des Auktionsservers zu signifikanten finanziellen Verlusten führen können, falls sich bis zur Wiederholung der Auktion die Situation an den Finanzmärkten erheblich verändert. Aus diesem Grund müssen Systeme für hohe Lastspitzen und hohe Verfügbarkeit ausgelegt werden, was zu entsprechend hohen Kosten führt. Gerade in Bereichen, in denen Auktionen nur wenige Male pro Jahr durchgeführt werden, wie zum Beispiel Auktionen von Staatsanleihen, ist so eine Lösung nicht praktikabel, da die Systeme während der restlichen Zeit nicht verwendet werden. In vielen Fällen sind Alternativen wie Cloud-Computing aufgrund der gegebenen Sicherheitsanforderungen ebenfalls keine Lösung.<br />Grundidee hinter dem Lösungsansatz dieser Dissertation ist es, hohe Verfügbarkeit zu erreichen, indem ein Teil der vorhandenen Sicherheit gegen Verfügbarkeit eintauscht wird. In einem zweiten Schritt werden dann die neu entstandenen Sicherheitsprobleme gelöst. Zuerst wird die Verfügbarkeit erhöht, indem einzelne Komponenten des Systems zeitlich voneinander entkoppelt werden. Dadurch können Bieter Gebote direkt an eine sichere Smartcard übermitteln, und erst zu einem späteren Zeitpunkt zum Server übertragen. Allerdings entstehen dadurch neue Sicherheitsprobleme, da Angreifer neue Möglichkeiten erhalten das System zu attackieren. Diese Probleme werden durch Beiträge in folgenden Bereichen gelöst: (i) Adaptiver Regelung, (ii) sichere Zeitsynchronisation und Zeitstempel und (iii) sichere Kommunikation und Transaktionsauthentifizierung.<br />Das Ergebnis unserer Evaluierungen zeigt, dass unsere zeitliche Entkopplung es erlaubt, den Einfluss von Lastspitzen auf die Server entscheidend zu verringern und damit die Anzahl der pro Server unterstützbaren Bieter zu erhöhen. Weiters ist es möglich, die Gebote nicht nur in der zeitlichen Ebene gleichmäß ig zu verteilen, sondern auch die Gesamtanzahl der Geboten zu reduzieren, da in bestimmten Fällen später abgegebene Gebote frühere Gebote überschreiben können. Unser Interval-basierendes Zeitstempelprotokoll verhindert, dass Zeitstempel von Bietern manipuliert werden können, wodurch diese einen Vorteil gegenüber anderen Bietern erhalten würden. Weiters gewährleistet unser Authentifizierungsverfahren die Sicherheit während einer Auktion in Fällen, in denen ein Bieter einen unsicheren Computer verwendet, welcher möglicherweise mit Malware infiziert ist. Dies ermöglicht Nachweisbarkeit von Geboten, da es aufgrund der Sicherheitsmaß nahmen für Bieter schwieriger wird abzustreiten ein bestimmtes Gebot platziert zu haben.<br />

First-price sealed-bid auction scenarios generally exhibit high peak loads around the auction deadline as a majority of bidders tries to submit bids shortly before the deadline. Moreover, these auctions also exhibit high dependability requirements as an auction canceled due to service failures can lead to significant financial losses, because of financial market conditions changing over time. As a consequence, systems need to be designed for excessive workloads and high availability, leading to massive over-provisioning and high costs.<br />However, for some governmental auctions, such as bond auctions and CO2 certificate auctions, this over-provisioning is not cost efficient as auctions are only conducted a few times a year with the hardware being idle during the remaining time. Moreover, cloud computing solutions are not an option due to security issues such as data ownership.<br />Key idea of our approach is to alleviate the dependability problems by shifting them into the security domain and by consequently solving the new security problems. We increase dependability of the system by temporally decoupling the individual components of the system from each other and allowing users to place bids on trusted devices physically located at their place. However, by doing so we decrease the security as we give adversaries new options to attack the system. To address those issues, we provide contributions in the areas of (i) adaptive rate control, (ii) secure time synchronization and timestamping, and (iii) secure communication and transaction authentication, as those areas are primarily affected by our temporal decoupling approach.<br />Evaluation of our contributions shows that our temporal decoupling approach is able to considerably reduce the impact of peak load on servers and thereby increase the system's performance. We are not only able to distribute requests in the temporal domain, but due to the fact that some requests can deprecate earlier requests by the same client we can also reduce the overall amount of transmitted information. In addition, our secure time synchronization and timestamping protocol prevents bidders from manipulating timestamps and thereby ensures fairness of auctions. Finally, our secure communication and transaction authentication approaches provide security of transactions in cases where untrusted clients are used. Thereby, those contributions also provide non-repudiation, as they prevent malware on the local terminal from successfully manipulating bids.