Das Chrysalis-Upgrade ist das bedeutendste in der Geschichte von IOTA. Jede einzelne Komponente des Protokolls wurde während der Chrysalis-Phase 1 und 2 geändert, einschließlich aller Entwickler-Tools, Bibliotheken und unserer Wallet. Bei einem Projekt dieser Größenordnung sind die richtigen Entwicklungsprozesse, Praktiken und Tests entscheidend. Insbesondere die externe Validierung unserer Entwicklung durch Audits.
Wir haben mehrere externe Parteien beauftragt, alle kritischen Komponenten von Chrysalis zu prüfen. Die Komponenten von Chrysalis Phase 1 wurden im Sommer 2020 auditiert. Das Audit der Phase 2 begann im Januar 2021. Für Chrysalis Phase 2 wurden die folgenden Einzelaudits durchgeführt:
- Firefly. Ein vertikales Audit, durchgeführt von F-Secure. Ein peripheres Audit von wallet.rs, stronghold.rs, iota.rs und crypto.rs wurde ebenfalls durchgeführt, obwohl es nicht der Hauptfokus war
- wallet.rs. Wallet.rs ist eine Schlüsselkomponente des von Firefly und den Börsen verwendeten Stacks
- stronghold.rs
- Chrysalis Migrationslogik und Architektur
- Hornet-Knoten-Software
- Bee-Knoten-Software
Heute veröffentlichen wir den Bericht von unserer Wallet-Software – Firefly. Hinweis: Die Software wurde erneut geprüft, nachdem die von F-Secure aufgeworfenen Probleme behoben wurden.
Im Folgenden finden Sie einige kurze Anmerkungen zu den Punkten, die im Firefly-Auditbericht nicht als „behoben“ markiert sind:
- [Fix In Progress] Unzureichende Überprüfung von Zertifikatsketten. Die betroffene Auto-Update-Funktion wurde in der Release-Version von Firefly unter Windows deaktiviert. Ein Fix ist fertig und wird aufgenommen, sobald er vollständig überprüft und getestet wurde.
- [Wird nicht behoben] Schwacher Schutz gegen bösartige Knotenbetreiber. Firefly erlaubt es Benutzern, sich mit benutzerdefinierten Knoten zu verbinden. Da jeder einen Knoten betreiben kann, ist es nicht möglich zu garantieren, dass jeder Knoten korrekte Informationen zurückgibt. Aus diesem Grund empfehlen wir, dass Benutzer entweder die standardmäßige (offizielle) Knotenliste verwenden, oder ihren eigenen Knoten betreiben.
- (Wird nicht behoben) Die Isolierung mehrerer Firefly-Anwendungsbenutzer kann unter einer einzigen Anwendungsinstallation nicht garantiert werden. Firefly-Profile sind dafür gedacht, von einer Person als Mittel zur Trennung der eigenen Gelder oder von mehreren Personen in der gleichen Familie verwendet zu werden. Profile sind nicht dafür gedacht, von Personen verwendet zu werden, die sich nicht kennen oder einander nicht vertrauen.
Für alle anderen geprüften Komponenten wurden alle Feststellungen vor der Freigabe von Chrysalis behoben.
Externe Audits sind ein wesentlicher Bestandteil der Softwareentwicklung. Diese erfolgreichen Audits geben unseren Partnern Sicherheit und der IOTA-Gemeinschaft die Gewissheit, ihre eigenen Implementierungen zu entwickeln. Wenn wir neue Funktionen zu unseren verschiedenen Produkten hinzufügen, werden wir weiterhin einem umfassenden Prozess von interner teamübergreifender Überprüfung und externem Re-Audit folgen.
Es gibt eine Fülle von neuen Werkzeugen mit Chrysalis und eine endlose Anzahl von Anwendungsfällen. Treten Sie dem IOTA Discord bei, um Hilfe für Ihre eigenen Ideen zu bekommen oder um sich in andere Community-Projekte einzubringen. Wir laden Sie ein, mit uns zu bauen und diesen neuen Aufbruch für IOTA zu begrüßen.
Original by Jakub Cech: https://blog.iota.org/chrysalis-firefly-audits/
Schreibe einen Kommentar