Het IOTA vs. DCI-plot wordt dikker
Een e-mailgesprek van 124 pagina’s tussen IOTA-teamleden en het aan MIT gelieerde Digital Currency Initiative werd gelekt De Tangler tijdens het weekend, en het werpt licht op het debat over de beveiliging van IOTA. Het lek beschrijft een maandenlange conversatie tussen David Sønstebø en Sergey Ivancheglo van IOTA en Ethan Heilman en Neha Narula van DCI, en het trekt het gordijn achter de schermen achter de schermen tussen beide teams rondom een vermeende kwetsbaarheid in het systeem van IOTA.
Als organisatie hebben we geprobeerd buiten de DCI-controverse te blijven en het aan de betrokken personen over te laten om de discussie te leiden. Er moet echter één openbare verduidelijking worden gemaakt: er was op geen enkele manier een lid van de Stichting betrokken bij de e-maillekken.
– Dominik Schiener (@DomSchiener) 26 februari 2018
De achtergrond
In mei 2017 nam het IOTA-team contact op met DCI, een aan het MIT gelieerde academische onderzoeksgroep van Ph.D. afgestudeerde studenten, ontwikkelaars en onderzoekswetenschappers om IOTA’s Tangle te controleren op eventuele kwetsbaarheden. Op 15 juli kregen ze een reactie van Ethan Heilman, waarin het team werd gewaarschuwd dat DCI een succesvolle aanval op het systeem had uitgevoerd:
“We hebben ernstige cryptografische zwakheden gevonden in de cryptografische hashfunctie Curl die wordt gebruikt door IOTA, Curl. Deze zwakke punten bedreigen de veiligheid van handtekeningen en PoW in IOTA, aangezien PoW en handtekeningen erop vertrouwen dat Curl pseudo-willekeurig en botsingsbestendig is. “
Ivancheglo reageert te goeder trouw en bedankt het team voor hun interesse in en beoordeling van IOTA en Curl, de hashfunctie van de crypto. Vervolgens vraagt hij hoe het team misbruik heeft gemaakt van de kwetsbaarheden, en voegt eraan toe dat “wat [zij] identificeerden als zwakke punten [sic] functies zijn die opzettelijk zijn toegevoegd.”
Dominik Schiener komt dan tussenbeide om te vragen of het DCI-team het gesprek wel of niet naar het IOTA Slack-kanaal wil leiden. Narula weigert de uitnodiging voor haar “slappe vermoeidheid”, maar Sønstebø dringt aan op de kwestie en zegt: “Wat kan worden bereikt in een Slack-chat van 1 uur duurt minstens een maand via e-mail.”
En hij had gelijk. De e-mails gaan door tot in de eerste twee weken van september, een epistolaire goulash van cryptografische concepten en code. Tijdens de gesprekken gaat Heilman in op de logica van de aanval, en het IOTA-team coacht hem over de ins en outs van Curl and the Tangle. In feite gaat Ivancheglo dieper in op de hashfunctie van IOTA, en beweert zelfs dat de “aanval is gebaseerd op een verkeerde aanname over het IOTA-ondertekeningsschema.”
Desalniettemin besluit het team om de veilige route te volgen en de hashfunctie van IOTA bij te werken van Curl naar Keccak-384 (speels Kerl genoemd). De update werd begin augustus uitgerold.
De dikke ervan
Op dit punt lijkt het erop dat de bevindingen van het DCI niet zo cruciaal zijn als Heilman voortbracht. Bovendien geeft het IOTA-team aan dat ze mogelijk zijn opgedoken door het toepassen van aanvalsvectoren die niet relevant zijn voor de Tangle, of door een volledig misverstand over hoe IOTA werkt..
Dit is waar de correspondentie een beetje chippy wordt. Na wat belangrijke informatie te hebben verzameld met citaten uit informele informatieve bronnen, zegt Heilman tegen Ivancheglo dat het “het beste is om geen informele stackoverflow-antwoorden en Wikipedia te gebruiken om de beveiliging van je systeem te begrijpen.” Ivancheglo vuurt respectvol terug:
“Ik betwijfelde de geloofwaardigheid van uw uitspraken omdat ik weinig tekenen van een oppervlakkige analyse had opgemerkt (wat u in de brief van gisteren bevestigde door‘ Ik heb hier nog geen formele studie van gemaakt omdat ik prioriteit gaf aan het informeren van het IOTA-team ’). Uw brieven met de titel “Responsible Disclosure: Cryptographic Weaknesses in the Curl hash function in IOTA” klonken behoorlijk officieel en ik dacht dat ik alles moest aanpakken. Nu zie ik dat ik het mis had. “
Vervolgens maakt hij een lijst van de problemen die Heilman oproept en vraagt hij welke van de problemen feitelijk zijn, zodat het IOTA-team de kwetsbaarheden redelijkerwijs kan adresseren in een openbaar rapport. Na bijna een week zonder reactie dringt Sønstebø bij Heilman aan op verdere medewerking, alleen om hem onder andere te laten zeggen dat “Sergey’s lange lijstvragen niet echt een doel dienden.” Nadat Ivancheglo nogmaals om duidelijkheid heeft gevraagd over de vragen, gaat Heilman MIA voor de rest van de correspondentie.
Narula grijpt hem in en stuurt het IOTA-team een reeks hypothetische bundels (transacties en hun hashes) om de hashing-botsingen aan te tonen die de kwetsbaarheden van het systeem blootleggen. Na het bekijken van deze bundels, onthult Ivancheglo dat “ze allemaal mislukten bij de validatie” nadat ze door javascript waren gehaald. Vervolgens stuurt hij “een kwantitatieve analyse van de aangetoonde botsingen” om eindelijk de lucht op te ruimen en de kwetsbaarheden te ontmaskeren die tot nu toe in de e-mailstring nog moeten worden aangetoond. Het DCI-team reageert dan 10 dagen niet.
Na een paar berichten en nog een week van inactiviteit, wordt het gesprek weer hervat op 1 september als Narula nog een bundel stuurt voor onderzoek. Dit wordt gevolgd door een kopie van het kwetsbaarheidsrapport van DCI op IOTA, dat ze het team vraagt om te beoordelen en feedback te geven. Ivancheglo geeft een waslijst met inconsistenties en vraagt dat beide teams overeenstemming bereiken over deze kwesties in de eerste twee delen van het rapport voordat ze verder gaan. Narula pakt deze problemen aan, sommige accepteren en andere afwijzen.
Deze herziening van het rapport vond plaats op 6 september en werd gepubliceerd op 7 september. In reactie daarop had Sønstebø het volgende te zeggen:
‘Ik was een grondige reactie op uw publicatie aan het voorbereiden, maar toen gebeurde er iets bijna onbegrijpelijk. We zijn op dit moment buitengewoon verbijsterd en eerlijk gezegd geschokt. We zijn zojuist benaderd door een CoinDesk-journalist waarmee Ethan contact heeft opgenomen in een poging om deze publicatie te versnellen. Dit is misschien wel het grootste schandaal waar ik ooit van heb gehoord van wat is afgeschilderd als een professionele ‘verantwoordelijke openbaarmaking’. Ethan is duidelijk in een volledig belangenconflict en dringt dit aan voor zijn eigen gewin, dit gaat niet langer over academische verdiensten, maar over een wanhopige poging van Ethan om geld te verdienen. We zullen alle middelen gebruiken om dit zo openbaar mogelijk toe te lichten als Ethan niet onmiddellijk contact opneemt met alle mensen aan wie hij dit voorbarige verhaal heeft verspreid en al zijn verklaringen intrekt. “
Narula antwoordt door te zeggen: “De periode van verantwoordelijke openbaarmaking is voorbij; je hebt de kwetsbaarheid die we hebben gevonden opgelost en de oplossing geïmplementeerd. In onze oorspronkelijke overeenkomst stond dat we tot 12 augustus gebonden waren. “
Enkele afhaalrestaurants
Sønstebø volgt Narula’s reactie op, met het argument dat “herhaalde bugs in [de bundels van] code leiden tot weken van uitstel” en dat het DCI-team “nog steeds niet de helft van [hun] vragen heeft beantwoord.” Hij beschuldigt Narula ook van “het meest onprofessionele gedrag [dat hij] ooit heeft meegemaakt door een ‘academicus'”:
‘… Je haastte zich naar de pers met een voordruk, volgens je laatste gesprek met Sergey net een uur geleden zijn er nog een heleboel onopgeloste problemen. Wat voor soort academicus haast zich naar de pers voor peer review? “
De e-mails zijn openbaar zodat iedereen deze kan bekijken, dus je kunt tot je eigen conclusie komen over wie er gelijk heeft en wie er fout zit in deze tiff. Dat gezegd hebbende, verzette het DCI-team zich om in realtime over dit probleem te communiceren en Ethan Heilman, die oorspronkelijk contact opnam met het team van de kwetsbaarheid, weigerde na begin augustus helemaal mee te werken. Bovendien kon DCI geen tastbaar bewijs leveren dat ze ooit misbruik hadden gemaakt van de kwetsbaarheid, en gedurende de e-mail tonen ze aan (en geven zelfs toe) dat ze weinig kennis hebben van de code en de werking van IOTA..
Toch heeft het IOTA-team een probleem opgelost dat eruitzag alsof het in de eerste plaats niet meer was dan een spook van een overactieve verbeelding. Deze e-mails lijken de kwetsbaarheid te laten rusten, en het lijkt erop dat het probleem aan de oppervlakte kwam uit een leerboek met kennis van traditionele cryptografie die probeerde een kwetsbaarheid te misbruiken die niet bestaat onder de onconventionele Tangle-technologie van IOTA..
Heilman is van mening dat IOTA inherent gebrekkig is omdat het team probeerde “[hun] eigen crypto te rollen.” Misschien kwam dit hele misverstand doordat Heilman zichzelf van iets anders rolde voordat hij de IOTA-code evalueerde, maar er is geen reden voor gissen – zoals deze e-mails laten zien, kan giswerk een puinhoop van dingen maken.
