2018年2月27日火曜日

IOTAの脆弱性発表までの経緯

これはいいニュースですね。IOTAとMITのメールのやりとりがリークされて、IOTAの脆弱性に関する発表がどのように行われたのかが公になりました。
Reports of IOTA cryptographic vulnerabilities debunked in email leak

要旨部分を訳してみます。
  • DCIは、IOTAのシステムに攻撃でき、ユーザーの資金を盗めるかもしれない方法についてIOTAに報告した。DCIは実際に攻撃のデモンストレーションは出来なかったが、理論的に可能であると主張した。IOTAは、後悔するより安全性を優先し、テストされたハッシュ関数へのアップデートを2017年8月に実施した。
  • この間、IOTAは、堅苦しいEメールよりさらなる詳細とリアルタイムの会話を求めていたが、DCIは情報のリクエストを無視し、リアルタイムの会話を拒否した。代わりに、何週間にも渡るEメールの交換を選んだ。その時に、出所不明の人が、まだデモンストレーションされていないIOTAの脆弱性について記者にリークし、これは責任ある情報開示の期間が終わる前に行われた。
  • DCIは、IOTA側の助けを得ながら脆弱性を見つけるためにタングルのあら探しをしていた。数ヵ月しても、何も新しい物は得られなかった。攻撃は成功していないし、デモンストレーションも出来ていない。IOTAのCurlの開発者は、DCIの人々より新しいシステムについて、当然もっと多くを経験していることが、Eメールのやりとりから明らかになった。
  • DCIは、IOTAの暗号化についてレポートを発表するつもりであると伝え、学術と専門家の礼儀として草稿をIOTAに送った。学術の同輩でありCurl暗号化の専門家として、必然的にIOTAはその論文をレビューし、事実に基づく要点について詳細な提案を残したが、これらの提案は完全に無視された。
  • DCIは、IOTAの暗号化技術が脆弱であると宣言した論文を発表し、IOTAが不器用でごちゃごちゃで専門的でない反論のみをしたと主張し、IOTAチームが十中八九自分達で暗号化関数を作る能力がないと示唆した。
この内容が事実であれば、すでに8/12の時点でハッシュ関数が変更されているので、9月に発表された脆弱性云々の話は一体何だったのかということになります。IOTAの開発者は変なのに絡まれて散々だったということになり、DCIがセンセーショナルな発表をしたかっただけという風に見えますね。

コピープロテクションという、IOTA側の意味の分からない言い訳も不要だったのではないかと思います。当事者たちは、そんなに簡単ではなかったのかもしれませんけど。

このEメールのリークを誰がしたのか、まだ明らかにはなっていないようです。しかし、DCIがあまりに酷いので、IOTA側の誰かがリークしたと考えるのが自然でしょう。最高学府のひとつであるMIT所属でもこんな態度なんでしょうか。私の訳がどこまで正確かわかりませんが、この話も徐々に広まっていくと思います。

IOTAが公式にこのリークに対して声明を発表していますので、これについても次で取り上げます。

0 件のコメント:

コメントを投稿