This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

النقاد التشفير تأخذ على خدمة كيم الدوت كوم في MEGA جديدة - الدوت كوم يستجيب، "جعله على!"

Filed Under: Featured, Web Browsers

كان الخبر الحزب لمرة وعطلة نهاية الأسبوع الماضي عن إطلاق كيم الدوت كوم في ملف عودة خدمة مشاركة، ميجا.

إذا كنت قد تم من اتصال مع shenaningans الأمن خلال الأشهر الاثني عشر الماضية، كيم الدوت كوم هو أكبر من الحياة الألمانية الفنلندية منظم المتمركزة حاليا في نيوزيلندا.

انه ولد كيم شميتز ، وكان معروفا مختلفة كما كيمبل واللقب Goonshowesque من جيم كيم تيم Vestor قبل تغيير اسمه الى الدوت كوم وتسوية متوهجا في الأعمال التجارية تخزين خزانة رقمية مع فيلم شركته.

حصلت الأمور قليلا العام الماضي البرية، عندما FBI الوجود مساعدة من إنفاذ القانون الكيوي في محاولة لنقله إلى أسفل القرصنة والابتزاز ل.

يبدو أن الادعاءات اضحة إلى حد ما: كان المقرصنة نسبة كبيرة من محتوى المواد المخزنة في فيلم. كان حتى الآن الشركة عوائد سنوية تبلغ نحو 200،000،000 $ في السنة، وعاش في منزل الدوت كوم نيوزيلندا أغلى. (وكان لديه سجل جنائي، لم يكن قادرا على شرائه، لكنه اضطر الى الإيجار بدلا من ذلك.)

بعد ذلك تم جره الدوت كوم للخروج من غرفة آمنة في المنزل، اعتقلت إدارتها، ل جعل بكفالة ، وكان في وخارج المحكمة القتال ضد تسليم المجرمين والحصول على الأصول المجمدة ... وله كما وجدت الوقت لإعادة اختراع عمله تحت العلامة التجارية اسم ميجا.

استغرق إطلاق المكان في نهاية الأسبوع الماضي لأنها كانت ذكرى اعتقاله للجدل.

الفرق هذه المرة هو أن تم تصميم هذه الخدمة لحماية ميجا من مزاعم استضافة علم والاستفادة من تفشي القرصنة. تم القيام به أن استخدام التشفير.

كل ما هو مشفر تحميل قبل أن يترك المتصفح، وذلك باستخدام المفتاح الذي تم الوحيد المعروف من أي وقت مضى لك. عند تحميل البرنامج، فك ذلك انها في نهاية الخاص بك للاتصال.

لذا، فإن نظرية المثل، انها ليست خدمة تبادل الملفات، لأن ميجا نفسها يجهل الملفات والمجلدات والمحتويات. في كلماتها الخاصة، انها:

لتخزين سحابة رهيبة خدمة من شأنها أن تساعد على حماية خصوصيتك.

وبعبارة أخرى، كل ما يفعله هو لتخزين كومة ضخمة من الملفوف تمزيقه نيابة عنك.

بحيث لا تحتاج إلى تثبيت أي برامج متخصصة أو برامج تشغيل على جهاز الكمبيوتر الخاص بك، والدافع ميجا بواسطة سكريبت داخل المتصفح.

الكتابة المشفرة في جافا سكريبت الخدمات لا يعطيك أسرع البرامج حولها، ولكنه جعل الخدمة أسهل بكثير، وبالتالي، قد يجادل وأكثر أمنا للاستخدام.

(والمعروف أن المحتالين هذا لسنوات، مع أدوات البرمجيات الخبيثة على الانترنت مثل Luckysploit باستخدام جافا سكريبت القائمة على الترميز بالمفتاح العمومي بحيث لا يمكن مشموم نسخ من الحمولات في HTTP يمكن فك تشفير مرة واحدة في هجوم انتهى.)

ولكن قد اتخذت بالفعل النقاد المسألة مع بعض جوانب تنفيذ ميجا، وخاصة بما في ذلك الملاحظات التالية:

1. المفتاح الخاص لدت في المتصفح عند أول استخدام ميجا يعتمد على Math.random سكريبت ل() وظيفة.

مولدات الأرقام العشوائية هي البرمجيات الخطرة المعروف .

إذا كان يمكنك تخمين البذور التي تم استخدامها بدءا، يمكنك تكرار تسلسل سابقا صدر ومهاجمة أمن التشفير التي يستخدمها.

كما الرياضيات الشهير ويفترض عالم الكمبيوتر جون فون نيومان ل وقال :

أي واحد الذي يعتبر أساليب حسابية لإنتاج الأرقام العشوائية هو، بطبيعة الحال، في حالة من الخطيئة. ل، كما أشار إلى عدة مرات، لا يوجد شيء مثل رقم عشوائي. هناك طرق فقط لإنتاج الأرقام العشوائية، وإجراء العمليات الحسابية الصارمة ... ليست هذه الطريقة.

2. ميجا ل شروط الخدمة الدولة صراحة أن خدمة "قد حذف تلقائيا قطعة من البيانات التي تحميل أو إعطاء شخص آخر الوصول إلى حيث رأى أن تلك البيانات هي نسخة مطابقة من البيانات الأصلية بالفعل على خدمتنا."

لكن منتقدين تريد أن تعرف لماذا مطلقا حتى هذا الاحتمال، إذا ميجا حقا لا تشفير كل كائن تم الرفع فريد لكل مستخدم بطريقة تجعل اسمها والمحتوى غير مرئية إلى ملقمات ميجا ل. يجب إلغاء البيانات المكررة من المستحيل.

في الواقع، ميجا و التعليمات يوضح أنك لن ترى الصور المصغرة أو معاينات الفيديو على وجه التحديد لخدمة نموذجها التشفير من النهاية إلى النهاية "يحول دون أي تلاعب من جانب الخادم من البيانات الخاصة بك".

حتى لو لا يمكن تكرار مضمون يمكن استرجاع، مع العلم أن مجرد مستخدم A و B يكون لدى المستخدم نفس الاشياء هي مشكلة الخصوصية، بسبب حدوث تسرب من قبل المستخدم A (أو اعتراف لenforcment القانون) ثم ينتقل إلى تسرب للمستخدم B .

3. خدمة الاشتراك ميجا يرسل رسالة تأكيد تحتوي على تجزئة AES-based من المفتاح الرئيسي الخاص بك، مما يسمح هجوم القاموس خارج الشبكة.

لديه أداة تكسير الانترنت ظهرت بالفعل لهذه الرسائل تأكيد.

انها بطيئة نوعا ما، ولكن النقاد يشيرون إليه كدليل على قرار تصميم التشفير التي كان ينبغي تجنبها.

وقد استجابت الشركة مع بعض التطمينات وردود على بلوق لها، أبرزها:

1. المرحلة إنشاء المفتاح يستخدم حركات الماوس وضغط المفاتيح أوقات عشوائية لتحسين قليلا، وسيتم إضافة ميزة تسمح لك بإضافة قريبا العشوائية الخاصة بك في هذه العملية.

2. وإلغاء البيانات المكررة فقط القيام به من أي وقت مضى على البيانات مشفرة بالفعل، لذلك لا يزال ميجا لا يرى محتوى الخام.

3. اختيار كلمة مرور لائقة.

التي سوف النقاد الرد ربما يقول:

1. حركات الماوس ولوحة المفاتيح ليست مصادر إضافية جيدة جدا من العشوائية.

2. مع العلم أن اثنين من الملفات هي نفسها، حتى دون معرفة المحتوى، ومع ذلك تسرب معلومات حول البيانات.

3. هذا لا يزال قليلا مثل قوله لسائق قبل أن ينطلق، "ليس لديك تحطم!"

هناك قضايا أخرى للنظر، أيضا، مثل مدى ما كنت تريد أن يعهد إلى سحابة تحت أي ظرف من الظروف.

كما عارية الأمن في تشيستر Wisniewski تحذر من Technews اليومي:

لا أنصح تخزين معلوماتك الأكثر حساسية في التشفير، سحابة أم لا. كم الثقة هل تمنح المجرمين المدانين في ظروف أخرى؟

وباختصار، ونتوقع مزيدا من الجدل حول ميجا وأمنها المتصورة. أنا متأكد من أن كيم الدوت كوم لا تريد ذلك بأي طريقة أخرى!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog