This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Crypto críticos asumen nuevo servicio de MEGA Kim Dotcom - dotcom responde: "¡Adelante!"

Filed Under: Featured, Web Browsers

La noticia partido a tiempo del fin de semana pasado fue el lanzamiento del servicio de uso compartido de Kim Dotcom regreso archivo, Mega.

Si usted ha estado fuera de contacto con shenaningans de seguridad en los últimos doce meses, Kim Dotcom es más grande que la vida alemana-finlandesa empresario actualmente con sede en Nueva Zelanda.

Nació Kim Schmitz , y era conocido indistintamente como Kimble y por el apodo Goonshowesque de Kim Tim Jim Vestor antes de cambiar su nombre por el de las puntocom y la solución de ostentosamente en el negocio de almacenamiento de almacén digital con su compañía Megaupload.

Las cosas se pusieron un poco el año pasado salvaje, cuando el FBI recurrió a la ayuda de la aplicación de la ley Kiwi para tratar de acabar con la piratería y el crimen organizado.

Las acusaciones parecía bastante sencillo: una enorme proporción de contenidos almacenados Megaupload fue pirateada material. Sin embargo, la compañía tuvo unos ingresos anuales de cerca de $ 200.000.000 por año, y Dotcom vivía en la casa más cara de Nueva Zelanda. (Como no tenía antecedentes penales, no fue capaz de comprar, pero tuvo que alquilar su lugar.)

Dotcom fue sacado de una caja fuerte en la casa, detenido , logró salir bajo fianza , estuvo en juicio y fuera de la lucha contra la extradición y para el acceso a sus activos congelados ... y también encontró tiempo para reinventar su negocio bajo la marca Mega nombre.

El lanzamiento tuvo lugar la semana pasada porque era el aniversario de su detención polémica.

La diferencia esta vez es que el servicio ha sido diseñado para proteger a las acusaciones de Mega sabiendas de alojamiento y se benefician de la piratería rampante. Eso se ha hecho uso de la criptografía.

Todo lo que subas se cifra antes de que salga de su navegador, utilizando una clave que sólo he conocido a usted. Cuando se descarga, se descifra en el extremo de la conexión.

Así, según la teoría, no es un servicio de intercambio de archivos, ya que Mega sí es ignorante de sus carpetas, archivos y contenidos. En sus propias palabras, es:

Un servicio de almacenamiento en la nube impresionante que ayudará a proteger su privacidad.

Dicho de otra manera, lo único que hace es almacenar una pila gigante de repollo rallado en su nombre.

Así que no es necesario instalar ningún software especializado o drivers en su ordenador, Mega es impulsado por JavaScript dentro de su navegador.

Escritura de servicios de cifrado en JavaScript no te da el software más rápido alrededor, pero hace que su servicio mucho más fácil y por lo tanto, se podría argumentar, más seguro de usar.

(Los ladrones lo saben desde hace años, con kits de herramientas de malware en línea como LuckySploit basado en JavaScript utilizando criptografía de clave pública para que olfateó copias de sus cargas útiles de HTTP no puede descifrar una vez que el ataque ha terminado.)

Pero los críticos ya han tomado la cuestión con algunos aspectos de la aplicación de Mega, entre las que destacan las siguientes observaciones:

1. La clave privada generada en el navegador cuando se utiliza por primera vez Mega cuenta con JavaScript Math.random () de función.

Generadores de números aleatorios de software son notoriamente peligroso .

Si se puede adivinar a partir de la semilla que se utilizó, puede repetir una secuencia previamente emitidas y atacar la seguridad del criptosistema que lo usó.

Como el famoso matemático y científico de la computación John von Neumann se supone que han dicho :

Cualquiera que considere métodos aritméticos para producir dígitos aleatorios es, por supuesto, en un estado de pecado. Porque, como se ha señalado en varias ocasiones, no hay tal cosa como un número aleatorio. Hay métodos sólo para producir números aleatorios, y un procedimiento aritmético estricto ... no es un método tal.

2. De Mega Términos de servicio de forma explícita que el servicio "automáticamente puede eliminar una pieza de información que cuelgas o dar a alguien el acceso a donde se determina que esos datos es una copia exacta de los datos originales que ya están en nuestro servicio."

Pero los críticos quieren saber por qué esta posibilidad incluso entretenido, si realmente Mega cifrar cada objeto cargado exclusiva para cada usuario de una manera que hace que su nombre y el contenido invisible a los servidores de Mega. La deduplicación debería ser imposible.

En efecto, de Mega FAQ explica que usted no verá miniaturas o vistas previas de vídeo en el servicio precisamente por su extremo a extremo modelo de cifrado "excluye cualquier manipulación del lado del servidor de los datos".

Incluso si el contenido duplicado no puede ser recuperada, simplemente sabiendo que el usuario A y el usuario B tiene el mismo material es un problema de privacidad, ya que una fuga por el usuario A (o una confesión a enforcment ley) entonces se convierte en un escape para el usuario B .

3. El servicio de registro Mega envía un correo electrónico de confirmación que contiene un hash de AES basada en la llave de su maestro, lo que permite un ataque de diccionario sin conexión.

Una herramienta de cracking en línea ha aparecido ya en estos correos electrónicos de confirmación.

Es un poco lento, pero los críticos señalan que como prueba de una decisión de diseño criptográfico que debería haberse evitado.

La empresa ha respondido con algunas réplicas y consuelos en su blog, en particular:

1. La etapa de generación de claves utiliza los movimientos del ratón y los tiempos de teclas para mejorar un poco el azar, y una característica se añadirá en breve lo que le permite añadir su propia aleatoriedad en el proceso.

2. La deduplicación sólo se haya hecho sobre los datos ya codificados, por lo que Mega sigue sin ver el contenido sin formato.

3. Elija una contraseña decente.

Para que los críticos probablemente responderá a decir:

1. Los movimientos del ratón y el teclado no son muy buenas fuentes adicionales de aleatoriedad.

2. Sabiendo que dos archivos son los mismos, incluso sin conocer el contenido, sin embargo las fugas de información acerca de los datos.

3. Eso sigue siendo un poco como decir a un conductor antes de que pone en marcha, "¿No tienes un accidente!"

Hay otros aspectos a tener en cuenta, también, como lo mucho que quieren confiar en la nube bajo ninguna circunstancia.

Como la seguridad Naked Chester Wisniewski advierte sobre TechNews diario:

Yo no recomendaría el almacenamiento de su información más sensible en la nube, cifrado o no. ¿Cuánta confianza le otorgan a los criminales convictos en otras circunstancias?

En resumen, esperamos más controversia acerca de Mega y su seguridad percibida. Estoy seguro de que Kim Dotcom no querría de ninguna otra manera!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog