IOTA ve DCI Grafiği Kalınlaşıyor

124 sayfalık uzun bir e-posta görüşmesi IOTA ekip üyeleri ile MIT’ye bağlı Dijital Para Birimi Girişimi arasında Tangler hafta sonu boyunca ve IOTA’nın güvenliği konusundaki tartışmalara ışık tutuyor. Sızıntı, IOTA’dan David Sønstebø ve Sergey Ivancheglo ile DCI’dan Ethan Heilman ve Neha Narula arasında aylarca süren bir sohbet voleybolunu ayrıntılarıyla anlatıyor ve çevredeki her iki ekip arasındaki perde arkasındaki konuşmanın perdesini geri çekiyor. iddia edilen bir güvenlik açığı IOTA’nın sisteminde.

Bir organizasyon olarak, DCI tartışmasının dışında kalmaya ve tartışmayı yönetmeyi ilgili kişilere bırakmaya çalıştık. Ancak, kamuoyuna açıklanacak bir şey var: hiçbir Vakıf üyesi e-posta sızıntılarına hiçbir şekilde dahil olmamıştır.

– Dominik Schiener (@DomSchiener) 26 Şubat 2018

Zemin

Mayıs 2017’de IOTA ekibi, MIT’ye bağlı bir Ph.D. akademik araştırma grubu olan DCI’ye ulaştı. mezun öğrenciler, geliştiriciler ve araştırma bilim adamları, IOTA’nın Tangle’ı herhangi bir güvenlik açığı için denetlemek üzere. 15 Temmuz’da Ethan Heilman’dan DCI’nın sisteme karşı başarılı bir saldırı gerçekleştirdiği konusunda ekibi uyaran bir yanıt aldılar:

“IOTA, Curl tarafından kullanılan kriptografik karma işlevi Curl’de ciddi kriptografik zayıflıklar bulduk. PoW ve Signatures, Curl’un sözde rastgele ve çarpışmaya dirençli olmasına güvendiğinden, bu zayıflıklar IOTA’daki imzaların ve PoW’un güvenliğini tehdit ediyor. “

Ivancheglo, kripto paranın karma işlevi olan IOTA ve Curl’e gösterdikleri ilgi ve incelemeleri için ekibe teşekkür ederek iyi niyetle yanıt verir. Ardından ekibin güvenlik açıklarından nasıl yararlandığını sormaya devam ediyor ve “zayıflık olarak tanımladıkları [sic] özellikler kasıtlı olarak eklenen özelliklerdir” dedi.

Dominik Schiener daha sonra DCI ekibinin görüşmeyi IOTA Slack kanalına götürmek isteyip istemediğini sormak için devreye girer. Narula, “gevşek yorgunluğu” nedeniyle daveti reddediyor, ancak Sønstebø konuyu vurguluyor ve “1 saat Slack sohbetinde neler yapılabileceği, posta yoluyla en az bir ay sürecektir.”

Ve haklıydı. E-postalar, Eylül ayının ilk iki haftasında, kriptografik kavramlar ve kodlardan oluşan epistolar bir gullash olarak devam ediyor. Görüşmeler boyunca Heilman saldırının mantığını genişletir ve IOTA ekibi ona Curl ve Tangle’ın giriş çıkışları konusunda koçluk yapar. Aslında Ivancheglo, “saldırının IOTA imzalama şeması hakkında yanlış bir varsayıma dayandığını” bile iddia ederek, IOTA’nın hashing işlevi hakkında derinlemesine bir açıklama yapıyor.

Bununla birlikte, ekip güvenli rotaya gitmeye ve IOTA’nın hashing işlevini Curl’den Keccak-384’e (şakacı bir şekilde Kerl olarak adlandırılır) güncellemeye karar verir.. Güncelleme Ağustos başında piyasaya sürüldü.

The Thick of It

Bu noktada, DCI’ın bulguları Heilman’ın öncülüğünde olduğu kadar önemli değilmiş gibi görünüyor. Dahası, IOTA ekibi, Tangle ile ilgisi olmayan saldırı vektörlerini uygulamaktan veya IOTA’nın nasıl çalıştığına dair tam bir yanlış anlamadan ortaya çıkmış olabileceklerini belirtiyor..

Yazışmanın biraz yonga olduğu yer burasıdır. Heilman, gayri resmi bilgilendirici kaynaklardan alıntılarla bazı önemli bilgileri özetledikten sonra, Ivancheglo’ya “sisteminizin güvenliğini anlamak için resmi olmayan yığın akışı yanıtlarını ve Wikipedia’yı kullanmamanın en iyisi” olduğunu söylüyor. Ivancheglo saygılı bir şekilde karşılık verir:

“İfadelerinizin güvenilirliğini sorguladım çünkü yüzeysel bir analizin birkaç işaretini fark ettim (dünkü mektupta” IOTA ekibine bildirimde bulunmaya öncelik verdiğim için henüz bununla ilgili resmi bir çalışma yapmadım “şeklinde doğruladınız). “Sorumlu İfşa: IOTA’daki Curl hash fonksiyonundaki Kriptografik Zayıflıklar” başlıklı mektuplarınız oldukça resmi geldi ve her şeyi ele almam gerektiğini düşündüm. Şimdi yanıldığımı görüyorum. “

Daha sonra Heilman’ın gündeme getirdiği sorunları listelemeye devam ediyor ve bunlardan hangilerinin gerçeklere dayandığını soruyor, böylece IOTA ekibi güvenlik açıklarını kamuya açık bir raporda makul bir şekilde ele alabilir. Neredeyse bir hafta boyunca yanıt alamayınca Sønstebø, Heilman’a daha fazla işbirliği yapması için baskı yapıyor, sadece başka şeylerin yanı sıra, “Sergey’in uzun liste sorularının pek bir amaca hizmet etmediğini” söylemesi için. Ivancheglo sorulara bir kez daha açıklık getirmesini istedikten sonra, Heilman yazışmanın geri kalanı için MIA’ya gidiyor.

Narula, IOTA ekibine sistemin güvenlik açıklarını ortaya çıkaran karma çarpışmaları göstermesi için bir dizi varsayımsal paket (işlemler ve bunların karmaları) göndererek onun yerine devreye girer. Ivancheglo, bu paketleri inceledikten sonra, javascript üzerinden çalıştırıldıktan sonra “hepsinin doğrulamada başarısız olduğunu” ortaya koyuyor. Ardından, nihayet havayı temizlemek ve e-posta dizisinde bu noktaya kadar henüz gösterilemeyen güvenlik açıklarını ortadan kaldırmak için “gösterilen çarpışmaların nicel bir analizini” gönderir. DCI ekibi daha sonra 10 gün boyunca yanıt vermiyor.

Birkaç mesajdan ve bir hafta daha hareketsiz kaldıktan sonra, Narula inceleme için başka bir paket gönderirken konuşma 1 Eylül’de tekrar devam eder. Bunu, ekibin gözden geçirmesini ve geri bildirim sağlamasını istediği IOTA ile ilgili DCI güvenlik açığı raporunun bir kopyası izler. Ivancheglo, tutarsızlıkların bir listesini sunarak, her iki takımın da ilerlemeden önce raporun ilk iki bölümünde bu konularda bir fikir birliğine varmasını istiyor. Narula bu sorunları ele alır, bazılarını kabul eder ve diğerlerini reddeder.

Raporun bu incelemesi 6 Eylül’de gerçekleşti ve 7 Eylül’de yayınlandı. Yanıt olarak Sønstebø şunları söyledi:

“Yayınınıza kapsamlı bir yanıt hazırlıyordum, sonra neredeyse anlaşılmaz bir şey oldu. Şu anda şaşkın ve açıkçası şok içindeyiz. Ethan’ın bu yayını aceleye getirmek için iletişime geçtiği bir CoinDesk gazetecisi bize ulaştı. Bu, profesyonel bir “sorumlu ifşa” olarak gösterilen şeyden duyduğum en büyük skandal olabilir. Ethan açıkça tam bir çıkar çatışması içinde ve bunu kendi kazancı için zorluyor, bu artık akademik değerlerle ilgili değil, Ethan’ın para kazanmak için umutsuz bir girişimi. Ethan bu erken hikayeyi yaydığı tüm insanlarla hemen iletişime geçmezse ve tüm ifadelerini geri çekmezse, bunu mümkün olduğunca kamuya açıklamak için tüm kaynakları kullanacağız. “

Narula, “Sorumlu ifşa süresi sona erdi; bulduğumuz güvenlik açığını düzelttiniz ve düzeltmeyi uyguladınız. Orijinal sözleşmemiz, 12 Ağustos’a kadar bağlı olduğumuzu belirtiyordu. “

Bazı Çıkarımlar

Sønstebø, “kod yığınlarında tekrarlanan hataların haftalarca ertelemelere yol açtığını” ve DCI ekibinin “sorularının yarısını bile yanıtlamadığını” savunarak Narula’nın yanıtını takip ediyor. Ayrıca Narula’yı “bir” akademisyen “tarafından tanık olunan en profesyonel olmayan davranışla suçlar:

“… Sergey ile sadece bir saat önce yaptığınız son iletişimde olduğu gibi, bir ön baskı ile basına koştunuz, hala çözülmemiş bir sürü sorun var. Akran değerlendirmesinden önce basına ne tür bir akademik telaşlar? “

E-postalar herkesin görmesi için herkese açıktır, böylece bu anlaşmada kimin haklı kimin yanlış olduğu konusunda kendi sonucunuza varabilirsiniz. Bununla birlikte, DCI ekibi bu sorunla ilgili gerçek zamanlı iletişim kurmaya direndi ve güvenlik açığının ekibiyle başlangıçta iletişime geçen Ethan Heilman, Ağustos ayının başından sonra hiçbir şekilde işbirliği yapmayı reddetti. Dahası, DCI, güvenlik açığından yararlandıklarına dair somut bir kanıt sunamadı ve e-posta boyunca IOTA’nın kodu ve çalışması hakkında çok az bilgiye sahip olduklarını kanıtladılar (ve hatta kabul ettiler).

Öyle olsa bile, IOTA ekibi ilk etapta aşırı aktif bir hayal gücünün bir hayaletinden biraz daha fazlası gibi görünen bir sorunu çözdü. Bu e-postalar güvenlik açığını dindiriyor gibi görünüyor ve sorun, IOTA’nın alışılmadık Dolaşma teknolojisi altında var olmayan bir güvenlik açığından yararlanmaya çalışan geleneksel kriptografi ders kitabı anlayışından kaynaklanıyor gibi görünüyor..

Heilman, IOTA’nın doğası gereği kusurlu olduğunu çünkü ekip “kendi kriptolarını [kendi] kriptolarını yuvarlamaya” çalışıyor. Belki de tüm bu yanlış anlama, Heilman’ın IOTA’nın kodunu değerlendirmeden önce başka bir şeyi ele geçirmesinden kaynaklanmıştır, ancak varsayıma gerek yoktur – bu e-postaların gösterdiği gibi, tahminler işleri berbat edebilir.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me