本文将作为IOTA团队与来自波士顿大学和MIT DCI(麻省理工大学数字货币计划)的安全研究人员正在进行谈话的一部分(该团队在今天发布了他们关于Curl算法中存在漏洞的报告)。8月8日,IOTA团队实施了一项安全预防措施,将Curl算法切换为Keccak-384算法(封装命名为“Kerl”,以半开玩笑的方式表示对它所替换Curl算法的尊重),但在此次升级之前,用户资金也并未处于任何危险之中。
我们非常感谢研究人员的信息披露,因为这将进一步帮助IOTA完善产品和成为主流应用。然而,我们确实对Narula等人发文使用的强烈措辞颇有意见。
正如许多人已经知道的那样,IOTA团队已经
详细讨论网络使用KECCAK-384算法进行签名
的事宜长达几个月了。
关于攻击的可操作性
在Narula等人论文中提出的攻击方式,虽然是对最新公共版本的Curl哈希函数的有效学术批评,但并不代表此方式就可以有效攻击IOTA加密货币。原因如下:
在IOTA支付行为上伪造签名。
“花钱”和“偷钱”的攻击方式主要依赖于Eve能够促使Alice签名Eva提交的针对Alice的恶意交易包,并且比Alice自己提交的诚实交易包更快的确认。
首先,现有的IOTA钱包都没有提供这种外部签名交易包的功能——因此,Alice必须成为熟练的程序员,使用现有的库手动签名一个交易包,并且还有非常天真的去签一个她自己没有创建的交易包。
其次,在攻击之前,Eva必须要能够生成用于攻击的交易包,也就是说Eve必须先知道哪些地址属于Alice。Eve无法根据Alice的一个已知地址来算出属于Alice的其他地址,所以完成这次攻击首先需要Eva将Alice 的种子暴漏(拥有种子也就没有攻击的意义了),或者Alice先把她的将要发起交易的地址泄露给Eva。
第三,在任何给定的时间内,Eva交易包中只有的一个能够存在于IOTA节点上。在Eve没有比Alice更好的网络传播能力,或者Eva没有成功实现对Alice日蚀攻击(eclipse attack)的情况下,Eve就不会看到她的恶意包早于Alice的诚信包得到确认。然而,IOTA的网状网络特性使这种日蚀攻击变的很难实现。
这些攻击条件在现实中是极其不可能满足的。因此,提出这种攻击方式是不符合实际的——更不用说结合先前观点的情况了。
然而,Narula等人的工作是对于进一步完善缠结的一些研究学者而言,是非常有价值。
除此以外,区块链系统中很少有活跃的团体以深度分析的方式提供如此优秀的研究课题。IOTA加密货币不算是这些区块链系统中的一员,因此在用区块链系统的方式对IOTA进行实际攻击时,IOTA的特点背景就非常重要。
前行与上进
学术界和加密货币社区之间需要加强合作,这一点至关重要的。只有共同努力,搁置利益与冲突,我们才能建立更好的体系来服务人类(或机器经济)。对于非学术界的人们来说,很难融入学术界,而且在敏感话题上也很难获得必要的支持。IOTA团队之前曾在这个领域接触过几位知名的密码学家,他们中的许多人(包括该出版物的研究人员)一直无法与我们合作,其原因往往是利益冲突。
此后,我们已经与世界上很多大型学术机构建立了牢固的伙伴关系,并将继续巩固完善下去。至于Curl算法,IOTA基金会已经转包给由五位世界级的密码专家组成的团队,还有三个独立的团队,他们最终设计出了Curl,然后开始了长期的同行评审过程,就像一直以来的计划一样。没有变化。
IOTA团队将继续勤奋不懈的努力把IOTA打造为第一个成熟产品级的分布式账本协议。安全永远是相对的。我们希望,无论是独立的还是学术机构的研究人员,都能继续加入我们的行列,一同构建可扩展、可靠的和安全的协议。
备注:
在文章结尾之前,我们想更正一下研究人员发文上的错误陈述:
-IOTA团队致
英文原文链接:
https://blog.iota.org/curl-disclosure-beyond-the-headline-1814048d08ef
