Zum Inhalt springen

„Iota (Kommunikationsprotokoll)“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][ungesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →

Iridium487 (Diskussion | Beiträge)

18 Bearbeitungen
rückgängig
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
Iridium487 (Diskussion | Beiträge)
18 Bearbeitungen
K Kritik: Fehlendes Wort
Iridium487 (Diskussion | Beiträge)
18 Bearbeitungen
Kritik und Schwachstellen: Zentralisierung, kaputte KDF
Zeile 31: Zeile 31:
Im Mai 2017 firmierte die „grandcentrix GmbH“ in Köln und im November 2017 wurde die „IOTA Stiftung“ als gemeinnützige [[Stiftung des bürgerlichen Rechts]] von der Berliner Stiftungsaufsicht registriert. Kurz darauf wird der Datenmarktplatz bekannt gegeben und online gestellt.<ref>{{cite web|url=https://datum.iota.org/|title=IOTA Data Market|website=datum.iota.org|accessdate=2017-12-06}}</ref> LATTICE80, ein [[Finanztechnologie|Fintech]]-[[Hub (Netzwerktechnik)|Hub]] in Singapur und der größte seiner Art, unterzeichnete eine Vereinbarung, ein IOTA-Innovationslabor für das Internet der Dinge zu öffnen.<ref>{{cite web|url=https://www.crowdfundinsider.com/2017/11/125158-lattice80-worlds-largest-fintech-hub-partners-germanys-iota-new-innovation-lab/|title=LATTICE80, World's Largest Fintech Hub, Partners with Germany's IOTA on New Innovation Lab - Crowdfund Insider|date=2017-11-28|website=Crowdfundinsider.com|accessdate=2017-12-06}}</ref>
Im Mai 2017 firmierte die „grandcentrix GmbH“ in Köln und im November 2017 wurde die „IOTA Stiftung“ als gemeinnützige [[Stiftung des bürgerlichen Rechts]] von der Berliner Stiftungsaufsicht registriert. Kurz darauf wird der Datenmarktplatz bekannt gegeben und online gestellt.<ref>{{cite web|url=https://datum.iota.org/|title=IOTA Data Market|website=datum.iota.org|accessdate=2017-12-06}}</ref> LATTICE80, ein [[Finanztechnologie|Fintech]]-[[Hub (Netzwerktechnik)|Hub]] in Singapur und der größte seiner Art, unterzeichnete eine Vereinbarung, ein IOTA-Innovationslabor für das Internet der Dinge zu öffnen.<ref>{{cite web|url=https://www.crowdfundinsider.com/2017/11/125158-lattice80-worlds-largest-fintech-hub-partners-germanys-iota-new-innovation-lab/|title=LATTICE80, World's Largest Fintech Hub, Partners with Germany's IOTA on New Innovation Lab - Crowdfund Insider|date=2017-11-28|website=Crowdfundinsider.com|accessdate=2017-12-06}}</ref>


Am 20. Oktober 2017 wurde ein [[Programmfehler|Bug]] in der [[Schlüssel (Kryptologie)|Schlüsselerzeugung]] behoben<ref>{{Internetquelle |url=https://github.com/iotaledger/iota.lib.js/commit/3e3adf60b337f8e39d84bb1b3b5ee365af288965 |titel=Bugfix and make jshint happy · iotaledger/iota.lib.js@3e3adf6 |zugriff=2018-04-29 |sprache=en}}</ref>, der es erlaubte, von bestimmten Konten IOTA ohne Beteiligung des eigentlichen Eigentümers entwenden zu können<ref name=":0">{{Internetquelle |autor=Lekkertech |url=http://blog.lekkertech.net/blog/2018/03/07/iota-signatures/ |titel=IOTA Signatures, Private Keys and Address Reuse? - Lekkertech |zugriff=2018-04-29 |sprache=en}}</ref>. Diese Schwachstelle war möglicherweise die Grundlage für vorangegangene Diebstähle von IOTA.<ref>{{Internetquelle |url=https://www.reddit.com/r/CryptoCurrency/comments/7gwl38/hello_guys_i_have_lost_30k_in_iota_and_i_would/ |titel=r/CryptoCurrency - Hello guys. I have lost $30k in IOTA and I would like to know what has happened. Please help me. |zugriff=2018-04-29 |sprache=en}}</ref><ref name=":0" />
Am 20. Oktober 2017 wurde ein [[Programmfehler|Bug]] in der [[Schlüssel (Kryptologie)|Schlüsselerzeugung]] behoben<ref name=":4">{{Internetquelle |url=https://github.com/iotaledger/iota.lib.js/commit/3e3adf60b337f8e39d84bb1b3b5ee365af288965 |titel=Bugfix and make jshint happy · iotaledger/iota.lib.js@3e3adf6 |zugriff=2018-04-29 |sprache=en}}</ref>, der es erlaubte, von bestimmten Konten IOTA ohne Beteiligung des eigentlichen Eigentümers entwenden zu können<ref name=":0">{{Internetquelle |autor=Lekkertech |url=http://blog.lekkertech.net/blog/2018/03/07/iota-signatures/ |titel=IOTA Signatures, Private Keys and Address Reuse? - Lekkertech |zugriff=2018-04-29 |sprache=en}}</ref>. Diese Schwachstelle war möglicherweise die Grundlage für vorangegangene Diebstähle von IOTA.<ref>{{Internetquelle |url=https://www.reddit.com/r/CryptoCurrency/comments/7gwl38/hello_guys_i_have_lost_30k_in_iota_and_i_would/ |titel=r/CryptoCurrency - Hello guys. I have lost $30k in IOTA and I would like to know what has happened. Please help me. |zugriff=2018-04-29 |sprache=en}}</ref><ref name=":0" />


Am 18. April 2018 wurde die weltweit erste IOTA-Ladesäule für Elektroautos aufgestellt.<ref>https://blog.iota.org/worlds-first-iota-smart-charging-station-52f9024db788</ref>
Am 18. April 2018 wurde die weltweit erste IOTA-Ladesäule für Elektroautos aufgestellt.<ref>https://blog.iota.org/worlds-first-iota-smart-charging-station-52f9024db788</ref>
Zeile 43: Zeile 43:
Damit ein IOTA-Benutzer eine [[Transaktion (Informatik)|Transaktion]] senden kann, muss der Benutzer zwei andere Transaktionen überprüfen. Eine gesendete Transaktion muss ein ausreichendes Verifizierungsniveau akkumulieren und muss daher von anderen Benutzern ausreichend oft [[Validierung (Informatik)|validiert]] werden, um von ihrem Empfänger als „bestätigt“ markiert zu werden. Um eine Transaktion durchzuführen, muss der Sender außerdem eine kryptographische Aufgabe lösen ([[Proof of Work]]), vergleichbar mit den Aufgaben der Miner im Bitcoin-Protokoll.<ref>{{cite web|url=https://iota.org/IOTA_Whitepaper.pdf|title=Iota Whitepaper| Iota Whitepaper |website=iota.org|accessdate=2018-02-07}}</ref>
Damit ein IOTA-Benutzer eine [[Transaktion (Informatik)|Transaktion]] senden kann, muss der Benutzer zwei andere Transaktionen überprüfen. Eine gesendete Transaktion muss ein ausreichendes Verifizierungsniveau akkumulieren und muss daher von anderen Benutzern ausreichend oft [[Validierung (Informatik)|validiert]] werden, um von ihrem Empfänger als „bestätigt“ markiert zu werden. Um eine Transaktion durchzuführen, muss der Sender außerdem eine kryptographische Aufgabe lösen ([[Proof of Work]]), vergleichbar mit den Aufgaben der Miner im Bitcoin-Protokoll.<ref>{{cite web|url=https://iota.org/IOTA_Whitepaper.pdf|title=Iota Whitepaper| Iota Whitepaper |website=iota.org|accessdate=2018-02-07}}</ref>


IOTA verwendet eine zentrale Instanz, den sogenannten "Coordinator"<ref name=":1" />, der eine Vertrauensbasis im IOTA-Netzwerk darstellt. Dieser veröffentlicht in regelmäßigen Abständen sogenannte "Meilensteine", wobei alle Transaktionen bis zu diesem Meilenstein vom Netzwerk als verifiziert betrachtet werden. Dadurch sollen Angriffe gegen IOTA, wie etwa [[Double-Spending]], verhindert werden. Entwicklungsziel des Projekts ist es, bei ausreichender Größe des IOTA-Netzwerkes ohne Coordinator auszukommen.<ref name="Forbes" /> Im Vergleich zu anderen [[Kryptowährung|Kryptowährungen]] wie etwa [[Bitcoin]] stellt IOTA damit momentan kein rein dezentrales System dar und besitzt einen [[Single Point of Failure]] sowie eine zentrale Vertrauensinstanz.
IOTA verwendet eine zentrale Instanz, den sogenannten "Coordinator"<ref name=":1" />, der eine Vertrauensbasis im IOTA-Netzwerk darstellt. Dieser veröffentlicht in regelmäßigen Abständen sogenannte "Meilensteine", wobei alle Transaktionen bis zu diesem Meilenstein vom Netzwerk als verifiziert betrachtet werden. Dadurch sollen Angriffe gegen IOTA, wie etwa [[Double-Spending]], verhindert werden. Entwicklungsziel des Projekts ist es, bei ausreichender Größe des IOTA-Netzwerkes ohne Coordinator auszukommen.<ref name="Forbes" /> Im Vergleich zu anderen [[Kryptowährung|Kryptowährungen]] wie etwa [[Bitcoin]] stellt IOTA damit momentan kein rein dezentrales System dar und besitzt einen [[Single Point of Failure]] sowie eine zentrale Vertrauensinstanz.<ref name=":5">{{Internetquelle |autor=Eric Wall |url=https://medium.com/@ercwl/iota-is-centralized-6289246e7b4d |titel=IOTA is centralized |werk=Eric Wall |datum=2017-06-14 |zugriff=2018-04-29}}</ref>


Jedes Kästchen in der dargestellten Abbildung steht für eine gesendete Transaktion – gelesen wird hierbei von rechts nach links. Für jede neue Transaktion werden zwei bestehende unbestätigte Transaktionen im Tangle validiert. Die Auswahl dieser Transaktionen erfolgt durch den Client. Jede Validierung (''n'') einer Transaktion erhöht die Wahrscheinlichkeit, bis zu einem Schwellenwert von (''c''), dass eine Transaktion echt ist. In der Abbildung zeigen rote Kästchen Transaktionen an, bei denen ''n > 0'' ist, unter einer bestimmten Bestätigungsschwelle ist jedoch ''n < c''. Die grauen Kästchen stellen Transaktionen dar, bei denen ''n = 0'' ist. Die grünen Kästchen stellen Transaktionen dar, die durch die Empfängeradresse bestätigt mit ''n ≥ c'' ausreichend oft validiert wurden.
Jedes Kästchen in der dargestellten Abbildung steht für eine gesendete Transaktion – gelesen wird hierbei von rechts nach links. Für jede neue Transaktion werden zwei bestehende unbestätigte Transaktionen im Tangle validiert. Die Auswahl dieser Transaktionen erfolgt durch den Client. Jede Validierung (''n'') einer Transaktion erhöht die Wahrscheinlichkeit, bis zu einem Schwellenwert von (''c''), dass eine Transaktion echt ist. In der Abbildung zeigen rote Kästchen Transaktionen an, bei denen ''n > 0'' ist, unter einer bestimmten Bestätigungsschwelle ist jedoch ''n < c''. Die grauen Kästchen stellen Transaktionen dar, bei denen ''n = 0'' ist. Die grünen Kästchen stellen Transaktionen dar, die durch die Empfängeradresse bestätigt mit ''n ≥ c'' ausreichend oft validiert wurden.
Zeile 56: Zeile 56:


== Kritik und Schwachstellen ==
== Kritik und Schwachstellen ==
Sowohl das IOTA-Projekt als auch die Kryptowährung selbst waren und sind Gegenstand umfangreicher Kritik.<ref>{{Internetquelle |autor=Casey Rodarmor |url=https://casey.github.io/iota/ |titel=IOTA: The Brave Little Toaster That Couldn’t |zugriff=2018-04-29 |sprache=en}}</ref><ref>{{Literatur |Autor=Jeff Kauflin |Titel=IOTA Rose 464% In 2017, But Buyer Beware: Experts Have Major Security Concerns |Sammelwerk=Forbes |Online=https://www.forbes.com/sites/jeffkauflin/2018/01/03/iota-rose-464-in-2017-but-buyer-beware-experts-have-major-security-concerns/#66b140b85faa |Abruf=2018-04-29}}</ref>
Sowohl das IOTA-Projekt als auch die Kryptowährung selbst waren und sind Gegenstand umfangreicher Kritik.<ref>{{Internetquelle |autor=Casey Rodarmor |url=https://casey.github.io/iota/ |titel=IOTA: The Brave Little Toaster That Couldn’t |zugriff=2018-04-29 |sprache=en}}</ref><ref>{{Literatur |Autor=Jeff Kauflin |Titel=IOTA Rose 464% In 2017, But Buyer Beware: Experts Have Major Security Concerns |Sammelwerk=Forbes |Online=https://www.forbes.com/sites/jeffkauflin/2018/01/03/iota-rose-464-in-2017-but-buyer-beware-experts-have-major-security-concerns/#66b140b85faa |Abruf=2018-04-29}}</ref><ref name=":6">{{Internetquelle |url=https://ftalphaville.ft.com/2018/04/25/1524628801000/FUD--inglorious-FUD/ |titel=https://ftalphaville.ft.com/2018/04/25/1524628801000/FUD--inglorious-FUD/ |zugriff=2018-04-29 |sprache=en}}</ref><ref>{{Literatur |Titel=Why I find Iota deeply alarming – Hacker Noon |Sammelwerk=Hacker Noon |Datum=2017-09-26 |Online=https://hackernoon.com/why-i-find-iota-deeply-alarming-934f1908194b |Abruf=2018-04-29}}</ref>


=== Schwachstellen in Curl ===
=== Schwachstellen in Curl ===
Bis August 2017 nutzte IOTA die [[Kryptographische Hashfunktion]] Curl, eine Eigenentwicklung im Rahmen des IOTA-Projekts. Mitarbeiter der Digital Currency Initiative (DCI) des [[Massachusetts Institute of Technology]] fanden im Rahmen ihrer Forschungsarbeit umfangreiche Schwachstellen in Curl und zeigten, dass Curl weder [[Kollisionssicherheit|kollisionssicher]] noch [[Pseudozufällige Funktion|pseudozufällig]] ist. <ref name=":3" /> Diese Schwachstellen hätten unter Umständen genutzt werden können, um das IOTA-Netzwerk anzugreifen und IOTA-Token zu entwenden.<ref name=":3" /><ref name=":2" /> Der Bericht wurde von anderen Forschern als glaubwürdig und korrekt eingeschätzt<ref>{{Literatur |Titel=Unrolled thread from @matthew_d_green |Online=https://threadreaderapp.com/thread/976830315443507205.html |Abruf=2018-04-29}}</ref>.
Bis August 2017 nutzte IOTA die [[Kryptographische Hashfunktion]] Curl, eine Eigenentwicklung im Rahmen des IOTA-Projekts. Mitarbeiter der Digital Currency Initiative (DCI) des [[Massachusetts Institute of Technology]] fanden im Rahmen ihrer Forschungsarbeit mittels [[Differenzielle Kryptoanalyse|differenzieller Kryptoanalyse]] umfangreiche Schwachstellen in Curl und zeigten, dass Curl weder [[Kollisionssicherheit|kollisionssicher]] noch [[Pseudozufällige Funktion|pseudozufällig]] ist. <ref name=":3" /><ref>{{Internetquelle |autor=Neha Narula |url=https://medium.com/@neha/cryptographic-vulnerabilities-in-iota-9a6a9ddc4367 |titel=Cryptographic vulnerabilities in IOTA |werk=Neha Narula |datum=2017-09-07 |zugriff=2018-04-29}}</ref> Diese Schwachstellen hätten unter Umständen genutzt werden können, um das IOTA-Netzwerk anzugreifen und IOTA-Token zu entwenden.<ref name=":3" /><ref name=":2" /> Der Bericht wurde von anderen Forschern als glaubwürdig und korrekt eingeschätzt<ref>{{Literatur |Titel=Unrolled thread from @matthew_d_green |Online=https://threadreaderapp.com/thread/976830315443507205.html |Abruf=2018-04-29}}</ref>.


In einer Reaktion gab die IOTA-Stiftung an, dass die gezeigten Angriffe gegen Curl nicht gegen IOTA verwendet konnten, da die Sicherheit von IOTA nicht von der Kollisionssicherheit von Curl abhänge. Dennoch wurde Curl durch eine Variante der standardisierten Funktion [[Keccak]] ersetzt<ref>{{Literatur |Titel=Official IOTA Foundation Response to the Digital Currency Initiative at the MIT Media Lab — Part 1… |Sammelwerk=IOTA |Datum=2018-01-07 |Online=https://blog.iota.org/official-iota-foundation-response-to-the-digital-currency-initiative-at-the-mit-media-lab-part-1-72434583a2 |Abruf=2018-04-29}}</ref>. Gleichzeitig wurden die veröffentlichen Schwachstellen durch an IOTA beteiligte Kryptographen angezweifelt<ref>{{Literatur |Titel=Come-from-Beyond on Twitter |Sammelwerk=Twitter |Online=https://twitter.com/c___f___b/status/965614817577971712 |Abruf=2018-04-29}}</ref> und die beteiligten Forscher der absichtlichen Täuschung beschuldigt sowie rechtliche Schritte angedroht<ref>{{Literatur |Titel=Come-from-Beyond on Twitter |Sammelwerk=Twitter |Online=https://twitter.com/c___f___b/status/966258068408369153 |Abruf=2018-04-29}}</ref><ref>{{Literatur |Titel=Come-from-Beyond on Twitter |Sammelwerk=Twitter |Online=https://twitter.com/c___f___b/status/965667086348509185 |Abruf=2018-04-29}}</ref>. Weiterhin gab einer der Gründer von IOTA an, die gefundenen Schwachstellen seien absichtlich eingebaut worden, um gegen Kopien des IOTA-Netzwerkes vorgehen zu können<ref>{{Internetquelle |url=https://gist.github.com/Come-from-Beyond/a84ab8615aac13a4543c786f9e35b84a |titel=CFB's letters to Neha Narula's team during their analysis of Curl-P hash function |zugriff=2018-04-29 |sprache=en}}</ref>.
In einer Reaktion gab die IOTA-Stiftung an, dass die gezeigten Angriffe gegen Curl nicht gegen IOTA verwendet konnten, da die Sicherheit von IOTA nicht von der Kollisionssicherheit von Curl abhänge. Dennoch wurde Curl durch eine Variante der standardisierten Funktion [[Keccak]] ersetzt<ref>{{Literatur |Titel=Official IOTA Foundation Response to the Digital Currency Initiative at the MIT Media Lab — Part 1… |Sammelwerk=IOTA |Datum=2018-01-07 |Online=https://blog.iota.org/official-iota-foundation-response-to-the-digital-currency-initiative-at-the-mit-media-lab-part-1-72434583a2 |Abruf=2018-04-29}}</ref>. Gleichzeitig wurden die veröffentlichen Schwachstellen durch an IOTA beteiligte Kryptographen angezweifelt<ref>{{Literatur |Titel=Come-from-Beyond on Twitter |Sammelwerk=Twitter |Online=https://twitter.com/c___f___b/status/965614817577971712 |Abruf=2018-04-29}}</ref> und die beteiligten Forscher der absichtlichen Täuschung beschuldigt sowie rechtliche Schritte angedroht<ref>{{Literatur |Titel=Come-from-Beyond on Twitter |Sammelwerk=Twitter |Online=https://twitter.com/c___f___b/status/966258068408369153 |Abruf=2018-04-29}}</ref><ref>{{Literatur |Titel=Come-from-Beyond on Twitter |Sammelwerk=Twitter |Online=https://twitter.com/c___f___b/status/965667086348509185 |Abruf=2018-04-29}}</ref>. Weiterhin gab einer der Gründer von IOTA an, die gefundenen Schwachstellen seien absichtlich eingebaut worden, um gegen Kopien des IOTA-Netzwerkes vorgehen zu können<ref>{{Internetquelle |url=https://gist.github.com/Come-from-Beyond/a84ab8615aac13a4543c786f9e35b84a |titel=CFB's letters to Neha Narula's team during their analysis of Curl-P hash function |zugriff=2018-04-29 |sprache=en}}</ref>.


Am 21. Februar 2018 wurden durch das IOTA-nahe [[Blog]] ''tangleblog.com'' die vollständige E-Mail-Kommunikation zwischen Forschern des MIT sowie den IOTA-Entwicklern veröffentlicht<ref>{{Literatur |Titel=Full Emails of Ethan Heilman and the Digital Currency Initiative with the IOTA Team leaked |Sammelwerk=The T▲ngler |Datum=2018-02-24 |Online=http://www.tangleblog.com/2018/02/24/full-emails-ethan-heilman-digital-currency-initiative-iota-team-leaked/ |Abruf=2018-04-29}}</ref>.
Am 21. Februar 2018 wurden durch das IOTA-nahe [[Blog]] ''tangleblog.com'' die vollständige E-Mail-Kommunikation zwischen Forschern des MIT sowie den IOTA-Entwicklern veröffentlicht<ref>{{Literatur |Titel=Full Emails of Ethan Heilman and the Digital Currency Initiative with the IOTA Team leaked |Sammelwerk=The T▲ngler |Datum=2018-02-24 |Online=http://www.tangleblog.com/2018/02/24/full-emails-ethan-heilman-digital-currency-initiative-iota-team-leaked/ |Abruf=2018-04-29}}</ref>.

Die IOTA-Stiftung wurde für den Umgang mit den Veröffentlichungen scharf kritisiert<ref name=":6" /><ref>{{Literatur |Titel=Matthew Green on Twitter |Sammelwerk=Twitter |Online=https://twitter.com/matthew_d_green/status/990232642913210374 |Abruf=2018-04-29}}</ref>. Als Reaktion darauf stellte unter anderem das [[University College London]] die Kooperation mit der IOTA-Stiftung ein<ref>{{Literatur |Autor=Mix |Titel=University College London (UCL) severs ties with IOTA Foundation |Sammelwerk=Hard Fork {{!}} The Next Web |Datum=2018-04-28 |Online=https://thenextweb.com/hardfork/2018/04/28/iota-university-college-london-ucl/ |Abruf=2018-04-29}}</ref>.

=== Schwachstellen in der Schlüsselerzeugung ===
Im Dezember 2017 wurde ein Fall bekannt, in dem IOTA im Gegenwert von etwa 30.000$ eines Nutzers gestohlen wurden. Im Rahmen einer Untersuchung der Ursachen wurden Schwachstellen in der Schlüsselerzeugung von IOTA sowie dem Signaturverfahren bekannt, durch die für eine Teilmenge aller Adressen (ungefähr 3%) bereits eine Signatur ausreicht, um den gesamten privaten Schlüssel zu berechnen. Diese Schwachstellen erlaubten es unter Umständen, ohne Zutun des Eigentümers IOTA von fremden Adressen zu entwenden, sobald dieser eine Transaktion von diesen auslöst<ref name=":0" />. Durch Änderungen in aktuellen Versionen der IOTA-Software sind diese Schwachstellen nicht mehr ausnutzbar.<ref name=":4" />

=== Zentralisierung ===
Durch Nutzung des "Coordinator" stellt IOTA in seiner momentanen Form kein dezentralisiertes System dar<ref name=":5" /><ref name=":7">{{Internetquelle |autor=Eric Wall |url=https://medium.com/@ercwl/hello-david-b77bbc62c457 |titel=Hello David, |werk=Eric Wall |datum=2017-06-18 |zugriff=2018-04-29}}</ref>. Laut Aussage der Entwickler ist der Coordinator eine Übergangslösung auf dem Weg zu einem dezentralen System<ref>{{Literatur |Titel=The Transparency Compendium – IOTA |Sammelwerk=IOTA |Datum=2017-06-15 |Online=https://blog.iota.org/the-transparency-compendium-26aa5bb8e260 |Abruf=2018-04-29}}</ref>. Die Dezentralisierung des IOTA-Systems ist derzeit noch Gegenstand von Forschung<ref>{{Internetquelle |url=https://www.reddit.com/r/Iota/comments/6z0y1e/scalability_questions_not_answered_in_yesterdays/dmwf8wy/ |titel=r/Iota - Scalability questions not answered in yesterday´s AMA |zugriff=2018-04-29 |sprache=en}}</ref>, allerdings wird die Erreichbarkeit dieses Ziels weitläufig angezweifelt<ref name=":5" /><ref name=":7" /><ref>{{Internetquelle |autor=Kay Kurokawa |url=https://medium.com/@kaykurokawa/iota-doesnt-scale-fff54f56e975 |titel=IOTA Doesn’t Scale |werk=Kay Kurokawa |datum=2018-02-09 |zugriff=2018-04-29}}</ref>.


== Weblinks ==
== Weblinks ==

Version vom 30. April 2018, 00:15 Uhr

Die Neutralität dieses Artikels oder Abschnitts ist umstritten. Eine Begründung steht auf der Diskussionsseite.
Iota
Symbol MIOTA
Erscheinungsjahr 2016
Entwickler David Sønstebø,
Sergey Ivancheglo,
Dominik Schiener,
Dr. Serguei Popov
Blockchain nein
Mining nein
Website www.iota.org

IOTA (abgeleitet von dem kleinsten Buchstaben im griechischen Alphabet Iota) ist ein digitales Bezahlsystem – auch Kryptowährung genannt. Referenzsoftware zur Abwicklung von IOTA-Zahlungen wurde als Open Source veröffentlicht.[1] IOTA ist auf eine sichere Kommunikation und Zahlung zwischen zwei Maschinen ausgerichtet. Diese sogenannte „Machine to Machine“-Kommunikation findet vor allem im Internet der Dinge statt. Hierbei soll IOTA Zahlungsvorgänge vereinfachen.[2] Ein Entwurfsziel ist die schnelle Abwicklung von Transaktionen ohne hohen Rechenaufwand und ohne Kosten.[3] Ende 2017 betrug die Marktkapitalisierung rund 12 Milliarden US-Dollar. IOTA war zu dem Zeitpunkt eine der zehn größten Kryptowährungen.[4]

IOTA basiert nicht, wie etwa Bitcoin, auf einer Blockchain. Transaktionen werden stattdessen in einem gerichteten azyklischen Graphen erfasst. Dadurch sollen Transaktionskosten verringert werden und eine bessere Skalierbarkeit als bei Blockchain-basierten Kryptowährungen erreicht werden.[5][6] Für IOTA-Transaktionen fallen keine direkten Transaktionsgebühren an, allerdings muss durch den Absender einer Transaktion Rechenleistung aufgebracht werden (Proof of Work).

IOTA stellt in seiner momentanen Form keine dezentrale Währung dar, da die Sicherheit des Systems teilweise auf einer zentralen Instanz, dem sogenannten Coordinator, basiert[7]. Der Quellcode des Coordinator ist nicht als Open Source veröffentlicht. Ziel des Projekts ist es, mittelfristig auf den Coordinator verzichten zu können.

Die IOTA-Stiftung entwickelte gemeinsam mit Volkswagen und Innogy CarPass als IOTA-basierte Technologie, um sichere Prüfpfade, Identitäten und Ladesysteme für Autos zu ermöglichen.[8] Mit der Deutschen Telekom, Fujitsu und Samsung hat die Stiftung einen Datenmarkt mit der IOTA-Technologie erschlossen.[9][10]

Geschichte

IOTA wurde 2015 von David Sønstebø, Sergey Ivancheglo, Dominik Schiener und Dr. Serguei Popov gegründet und wird von der IOTA-Stiftung beaufsichtigt, einer Non-Profit-Organisation, die sich der Entwicklung der Technologie widmet und sie für alle Entwickler lizenzfrei hält.[11] Die feste Menge an 2.779.530.283.277.761 Iota (2.779.530.283 Miota) wurde bereits geschaffen und in einem Initial Coin Offering verteilt. Da es kein Mining gibt, wird auch kein Iota mehr erstellt, um eine Inflation zu vermeiden. Ein paar Monate später begann IOTA Open-Beta-Tests. Während der Betaphase begann der Handel zwischen den Betanutzern für die nächsten elf Monate.[12][13]

Im Mai 2017 kündigte IOTA einen Ökosystemfonds in Höhe von 10 Mio. US-Dollar an, um größere Unternehmenskooperationen, Community-Projekte und Entwicklererwerbsinitiativen zu fördern.[14] Im darauf folgenden Juni wurde IOTA auf der Handelsbörse Bitfinex gelistet[15] und startete mit 0,64 US-Dollar pro Miota (1 Mio. IOTA).[16] Outlier Ventures, ein Venture-Capital-Unternehmen, investierte eine siebenstellige Summe in IOTA – die erste direkte Investition in eine verteilte Ledger-Technologie.[17] SatoshiPay kündigte einen Übergang von der Nutzung von Bitcoin zur Verwendung von IOTA an, da die Transaktionskosten von Bitcoins kontinuierlich steigen und sich mit IOTA zudem 98 Prozent der Stromkosten einsparen lassen.[18]

Im August 2017 schloss die IOTA-Stiftung eine Partnerschaft mit Refunite (Refugees United), der weltweit größten Datenbank für vermisste Personen, um die IOTA-Technologie dazu zu nutzen, Familien während und nach Konflikten wieder zu vereinen.[19] Zusätzlich wurde IOTAs Flash-Netzwerk, das extrem hohe Geschwindigkeiten und sofortige Nano-Zahlungen unterstützt, vor den Versionen von Bitcoin und Ethereum aktiviert.[20] Monster Cleaning Services, ein Unternehmen mit Sitz in London, gab bekannt, dass sie IOTA als Zahlung akzeptieren[21] und ebenso Sopra Steria kündigte eine Partnerschaft mit IOTA an, um einen Rahmen zur Optimierung der Sicherheit zwischen Geräten im Internet der Dinge zu schaffen.[22]

Mit einem Upgrade vom 7. August 2017[23] wurde die Kryptographische Hashfunktion Curl, eine Eigenentwicklung im Rahmen des IOTA-Projekts, durch eine Variante von Keccak ersetzt. Auslöser dieser Änderungen war die Veröffentlichung von umfangreichen Schwachstellen in Curl. Diese hätten möglicherweise die Basis für Angriffe gegen IOTA selbst bilden können.[24][25]

Im Mai 2017 firmierte die „grandcentrix GmbH“ in Köln und im November 2017 wurde die „IOTA Stiftung“ als gemeinnützige Stiftung des bürgerlichen Rechts von der Berliner Stiftungsaufsicht registriert. Kurz darauf wird der Datenmarktplatz bekannt gegeben und online gestellt.[26] LATTICE80, ein Fintech-Hub in Singapur und der größte seiner Art, unterzeichnete eine Vereinbarung, ein IOTA-Innovationslabor für das Internet der Dinge zu öffnen.[27]

Am 20. Oktober 2017 wurde ein Bug in der Schlüsselerzeugung behoben[28], der es erlaubte, von bestimmten Konten IOTA ohne Beteiligung des eigentlichen Eigentümers entwenden zu können[29]. Diese Schwachstelle war möglicherweise die Grundlage für vorangegangene Diebstähle von IOTA.[30][29]

Am 18. April 2018 wurde die weltweit erste IOTA-Ladesäule für Elektroautos aufgestellt.[31]

Technik

Beispiel eines IOTA-„Tangles“

Tangle

Anstatt eine Blockchain zu verwenden, wie es unter anderem bei Bitcoin üblich ist, verwendet IOTA einen gerichteten azyklischen Graphen (DAG). IOTAs DAG wird umgangssprachlich als „Tangle“ bezeichnet und stellt eine Verallgemeinerung einer Blockchain dar.[5]

Damit ein IOTA-Benutzer eine Transaktion senden kann, muss der Benutzer zwei andere Transaktionen überprüfen. Eine gesendete Transaktion muss ein ausreichendes Verifizierungsniveau akkumulieren und muss daher von anderen Benutzern ausreichend oft validiert werden, um von ihrem Empfänger als „bestätigt“ markiert zu werden. Um eine Transaktion durchzuführen, muss der Sender außerdem eine kryptographische Aufgabe lösen (Proof of Work), vergleichbar mit den Aufgaben der Miner im Bitcoin-Protokoll.[32]

IOTA verwendet eine zentrale Instanz, den sogenannten "Coordinator"[7], der eine Vertrauensbasis im IOTA-Netzwerk darstellt. Dieser veröffentlicht in regelmäßigen Abständen sogenannte "Meilensteine", wobei alle Transaktionen bis zu diesem Meilenstein vom Netzwerk als verifiziert betrachtet werden. Dadurch sollen Angriffe gegen IOTA, wie etwa Double-Spending, verhindert werden. Entwicklungsziel des Projekts ist es, bei ausreichender Größe des IOTA-Netzwerkes ohne Coordinator auszukommen.[5] Im Vergleich zu anderen Kryptowährungen wie etwa Bitcoin stellt IOTA damit momentan kein rein dezentrales System dar und besitzt einen Single Point of Failure sowie eine zentrale Vertrauensinstanz.[33]

Jedes Kästchen in der dargestellten Abbildung steht für eine gesendete Transaktion – gelesen wird hierbei von rechts nach links. Für jede neue Transaktion werden zwei bestehende unbestätigte Transaktionen im Tangle validiert. Die Auswahl dieser Transaktionen erfolgt durch den Client. Jede Validierung (n) einer Transaktion erhöht die Wahrscheinlichkeit, bis zu einem Schwellenwert von (c), dass eine Transaktion echt ist. In der Abbildung zeigen rote Kästchen Transaktionen an, bei denen n > 0 ist, unter einer bestimmten Bestätigungsschwelle ist jedoch n < c. Die grauen Kästchen stellen Transaktionen dar, bei denen n = 0 ist. Die grünen Kästchen stellen Transaktionen dar, die durch die Empfängeradresse bestätigt mit n ≥ c ausreichend oft validiert wurden.

Adressen

Eine IOTA-Adresse stellt, wie bei Bitcoin, einen öffentlichen Schlüssel dar. Zur Überweisung von IOTA, die an einer Adresse hinterlegt sind, wird der dazugehörige private Schlüssel benötigt.

Zur Signatur von Transaktionen wird ein auf kryptographischen Hashfunktionen basiertes Schema verwendet (Winternitz-Einmalsignaturen). Im Gegensatz zu weiter verbreiteten Verfahren wie RSA oder DSA soll dies Sicherheit gegen Angriffe durch Quantencomputer bieten. Auf Grund der Eigenschaften des verwendeten Signaturschemas stellt eine Wiederverwendung von IOTA-Adressen, nachdem von diesen bereits einmalig Zahlungen gesendet wurden, ein schwerwiegendes Sicherheitsrisiko dar und muss durch den Benutzer vermieden werden.[34]

Ternärsystem

Der Inhalt des IOTA-Tangles wird im Ternärsystem dargestellt, obwohl das Dualsystem die Grundlage sämtlicher moderner Computer darstellt. Dies wird dadurch begründet, dass künftige Hardware im Bereich des Internet der Dinge auf ternärer Logik basieren solle[35].

Kritik und Schwachstellen

Sowohl das IOTA-Projekt als auch die Kryptowährung selbst waren und sind Gegenstand umfangreicher Kritik.[36][37][38][39]

Schwachstellen in Curl

Bis August 2017 nutzte IOTA die Kryptographische Hashfunktion Curl, eine Eigenentwicklung im Rahmen des IOTA-Projekts. Mitarbeiter der Digital Currency Initiative (DCI) des Massachusetts Institute of Technology fanden im Rahmen ihrer Forschungsarbeit mittels differenzieller Kryptoanalyse umfangreiche Schwachstellen in Curl und zeigten, dass Curl weder kollisionssicher noch pseudozufällig ist. [25][40] Diese Schwachstellen hätten unter Umständen genutzt werden können, um das IOTA-Netzwerk anzugreifen und IOTA-Token zu entwenden.[25][24] Der Bericht wurde von anderen Forschern als glaubwürdig und korrekt eingeschätzt[41].

In einer Reaktion gab die IOTA-Stiftung an, dass die gezeigten Angriffe gegen Curl nicht gegen IOTA verwendet konnten, da die Sicherheit von IOTA nicht von der Kollisionssicherheit von Curl abhänge. Dennoch wurde Curl durch eine Variante der standardisierten Funktion Keccak ersetzt[42]. Gleichzeitig wurden die veröffentlichen Schwachstellen durch an IOTA beteiligte Kryptographen angezweifelt[43] und die beteiligten Forscher der absichtlichen Täuschung beschuldigt sowie rechtliche Schritte angedroht[44][45]. Weiterhin gab einer der Gründer von IOTA an, die gefundenen Schwachstellen seien absichtlich eingebaut worden, um gegen Kopien des IOTA-Netzwerkes vorgehen zu können[46].

Am 21. Februar 2018 wurden durch das IOTA-nahe Blog tangleblog.com die vollständige E-Mail-Kommunikation zwischen Forschern des MIT sowie den IOTA-Entwicklern veröffentlicht[47].

Die IOTA-Stiftung wurde für den Umgang mit den Veröffentlichungen scharf kritisiert[38][48]. Als Reaktion darauf stellte unter anderem das University College London die Kooperation mit der IOTA-Stiftung ein[49].

Schwachstellen in der Schlüsselerzeugung

Im Dezember 2017 wurde ein Fall bekannt, in dem IOTA im Gegenwert von etwa 30.000$ eines Nutzers gestohlen wurden. Im Rahmen einer Untersuchung der Ursachen wurden Schwachstellen in der Schlüsselerzeugung von IOTA sowie dem Signaturverfahren bekannt, durch die für eine Teilmenge aller Adressen (ungefähr 3%) bereits eine Signatur ausreicht, um den gesamten privaten Schlüssel zu berechnen. Diese Schwachstellen erlaubten es unter Umständen, ohne Zutun des Eigentümers IOTA von fremden Adressen zu entwenden, sobald dieser eine Transaktion von diesen auslöst[29]. Durch Änderungen in aktuellen Versionen der IOTA-Software sind diese Schwachstellen nicht mehr ausnutzbar.[28]

Zentralisierung

Durch Nutzung des "Coordinator" stellt IOTA in seiner momentanen Form kein dezentralisiertes System dar[33][50]. Laut Aussage der Entwickler ist der Coordinator eine Übergangslösung auf dem Weg zu einem dezentralen System[51]. Die Dezentralisierung des IOTA-Systems ist derzeit noch Gegenstand von Forschung[52], allerdings wird die Erreichbarkeit dieses Ziels weitläufig angezweifelt[33][50][53].

Einzelnachweise

  1. IOTA. Abgerufen am 28. April 2018 (englisch).
  2. IOTA Support - what is IOTA?
  3. Patrícia R. Sousa, Luís Antunes, Rolando Martins: The Present and Future of Privacy-Preserving Computation in Fog Computing. In: Amir Rahmani, Pasi Liljeberg, Jürgo-Sören Preden, Axel Jantsch (Hrsg.): Fog Computing in the Internet of Things. Intelligence at the Edge. Springer Science+Business Media, Cham 2017, ISBN 978-3-319-57639-8, S. 54–55, doi:10.1007/978-3-319-57639-8_4.
  4. IOTA (MIOTA) price, charts, market cap, and other metrics - CoinMarketCap. In: coinmarketcap.com. Abgerufen am 6. Dezember 2017.
  5. a b c Roger Aitken: IOTA's Bitfinex Listing Surges To $1.5B Record-Breaking 'Crypto' Capitalization On Market Debut. 2017;.
  6. Future of Digital Currency May Not Involve Blockchains. In: Cointelegraph.com. Abgerufen am 6. Dezember 2017.
  7. a b Dominik Schiener: Current role of the coordinator · IOTA Guide. Abgerufen am 28. April 2018 (englisch).
  8. Jonathan Ponciano: IOTA Foundation Launches Data Marketplace For 'Internet-Of-Things' Industry. In: Forbes.com. Abgerufen am 6. Dezember 2017.
  9. Blockchain network IOTA teams up with Microsoft, others on data marketplace
  10. Nein, IOTA hat keine fixe Kooperation mit Microsoft. Trending Topics, 12. Dezember 2017, abgerufen am 13. Dezember 2017.
  11. IOTA Support - what is IOTA?
  12. Micropayment Company Ditches “Outdated Bitcoin” For IoT Technology. In: Cointelegraph.com. Abgerufen am 6. Dezember 2017.
  13. Thomas Bocek, Burkhard Stiller: Smart Contracts – Blockchains in the Wings. In: Claudia Linnhoff-Popien, Ralf Schneider, Michael Zaddach (Hrsg.): Digital Marketplaces Unleashed. Springer Science+Business Media, Berlin/Heidelberg 2017, ISBN 978-3-662-49275-8, S. 178, doi:10.1007/978-3-662-49275-8_19.
  14. David Sønstebø: IOTA Ecosystem Fund ($10 million). In: IOTA. 5. Mai 2017, abgerufen am 6. Dezember 2017.
  15. IOTA Launch. In: Nlog.bitfinex.com. 2017, abgerufen am 6. Dezember 2017.
  16. IOTAs Preisentwicklung
  17. Roger Aitken: IOTA's Bitfinex Listing Surges To $1.5B Record-Breaking 'Crypto' Capitalization On Market Debut In: Forbes. Abgerufen am 18. August 2017 (englisch). 
  18. Micropayment Company Ditches “Outdated Bitcoin” For IoT Technology. In: Cointelegraph.com. Abgerufen am 6. Dezember 2017.
  19. IOTA Blockchain to Help Trace Families of Refugees During and After Conflicts. In: Cointelegraph.com. Abgerufen am 6. Dezember 2017.
  20. IOTA Unveils Flash Network, Allowing for true Nanopayments. In: Cryptocoinsnews.com. 20. August 2017, abgerufen am 6. Dezember 2017.
  21. Monster Cleaning is now accepting IOTA payments | Monster Cleaning In: Monster Cleaning, 6. Oktober 2017. Abgerufen am 15. November 2017 (amerikanisches Englisch). 
  22. Press release. In: Soprasteria.com. Abgerufen am 6. Dezember 2017.
  23. Curl Upgrades & Updates. Abgerufen am 9. Februar 2018.
  24. a b Curl disclosure, beyond the headline. Abgerufen am 9. Februar 2018.
  25. a b c IOTA Vulnerability Report: Cryptanalysis of the Curl Hash Function Enabling Practical Signature Forgery Attacks on the IOTA Cryptocurrency. Abgerufen am 9. Februar 2018.
  26. IOTA Data Market. In: datum.iota.org. Abgerufen am 6. Dezember 2017.
  27. LATTICE80, World's Largest Fintech Hub, Partners with Germany's IOTA on New Innovation Lab - Crowdfund Insider. In: Crowdfundinsider.com. 28. November 2017, abgerufen am 6. Dezember 2017.
  28. a b Bugfix and make jshint happy · iotaledger/iota.lib.js@3e3adf6. Abgerufen am 29. April 2018 (englisch).
  29. a b c Lekkertech: IOTA Signatures, Private Keys and Address Reuse? - Lekkertech. Abgerufen am 29. April 2018 (englisch).
  30. r/CryptoCurrency - Hello guys. I have lost $30k in IOTA and I would like to know what has happened. Please help me. Abgerufen am 29. April 2018 (englisch).
  31. https://blog.iota.org/worlds-first-iota-smart-charging-station-52f9024db788
  32. Iota Whitepaper. In: iota.org. Abgerufen am 7. Februar 2018.
  33. a b c Eric Wall: IOTA is centralized. In: Eric Wall. 14. Juni 2017, abgerufen am 29. April 2018.
  34. IOTA Support - Wie Adressen in IOTA verwendet werden. Abgerufen am 29. April 2018.
  35. Why does IOTA use a ternary number system? Abgerufen am 29. April 2018.
  36. Casey Rodarmor: IOTA: The Brave Little Toaster That Couldn’t. Abgerufen am 29. April 2018 (englisch).
  37. Jeff Kauflin: IOTA Rose 464% In 2017, But Buyer Beware: Experts Have Major Security Concerns. In: Forbes. (forbes.com [abgerufen am 29. April 2018]).
  38. a b https://ftalphaville.ft.com/2018/04/25/1524628801000/FUD--inglorious-FUD/. Abgerufen am 29. April 2018 (englisch).
  39. Why I find Iota deeply alarming – Hacker Noon. In: Hacker Noon. 26. September 2017 (hackernoon.com [abgerufen am 29. April 2018]).
  40. Neha Narula: Cryptographic vulnerabilities in IOTA. In: Neha Narula. 7. September 2017, abgerufen am 29. April 2018.
  41. Unrolled thread from @matthew_d_green. (threadreaderapp.com [abgerufen am 29. April 2018]).
  42. Official IOTA Foundation Response to the Digital Currency Initiative at the MIT Media Lab — Part 1… In: IOTA. 7. Januar 2018 (iota.org [abgerufen am 29. April 2018]).
  43. Come-from-Beyond on Twitter. In: Twitter. (twitter.com [abgerufen am 29. April 2018]).
  44. Come-from-Beyond on Twitter. In: Twitter. (twitter.com [abgerufen am 29. April 2018]).
  45. Come-from-Beyond on Twitter. In: Twitter. (twitter.com [abgerufen am 29. April 2018]).
  46. CFB's letters to Neha Narula's team during their analysis of Curl-P hash function. Abgerufen am 29. April 2018 (englisch).
  47. Full Emails of Ethan Heilman and the Digital Currency Initiative with the IOTA Team leaked. In: The Tngler. 24. Februar 2018 (tangleblog.com [abgerufen am 29. April 2018]).
  48. Matthew Green on Twitter. In: Twitter. (twitter.com [abgerufen am 29. April 2018]).
  49. Mix: University College London (UCL) severs ties with IOTA Foundation. In: Hard Fork | The Next Web. 28. April 2018 (thenextweb.com [abgerufen am 29. April 2018]).
  50. a b Eric Wall: Hello David,. In: Eric Wall. 18. Juni 2017, abgerufen am 29. April 2018.
  51. The Transparency Compendium – IOTA. In: IOTA. 15. Juni 2017 (iota.org [abgerufen am 29. April 2018]).
  52. r/Iota - Scalability questions not answered in yesterday´s AMA. Abgerufen am 29. April 2018 (englisch).
  53. Kay Kurokawa: IOTA Doesn’t Scale. In: Kay Kurokawa. 9. Februar 2018, abgerufen am 29. April 2018.
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Iota_(Kommunikationsprotokoll)&oldid=176997644