This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

암호화 비평가들은 김 Dotcom의 새로운 메가 서비스를 맡게 - Dotcom는 응답 "을 와라!"

Filed Under: Featured, Web Browsers

지난 주말의 파티 시간 뉴스 김 Dotcom의 부활 파일 공유 서비스 메가의 시작이었다.

당신은 지난 12 개월에 대한 보안 shenaningans들과 연락을 벗어난 적이 한 경우 김 Dotcom은 현재 뉴질랜드에 근거를 둔 실물 크기 이상의 독일 핀란드어 기업가입니다.

그는 태어난 김 Schmitz을 , 그리고 다양하게로 알려진 킴블 및 Goonshowesque 모니 커로 김 팀 짐 Vestor Dotcom 자신의 이름을 변경하고 그의 회사 Megaupload으로 디지털 저장 사물함 사업을 flamboyantly 정착하기 전에.

FBI가 불법 복제 및 갈취 놈을 좀 취하도록 노력하는 키위 법 집행의 도움을 입대 때 상황은 약간 야생 지난해 있어요.

주장은 매우 간단 보였다 : Megaupload의 저장 내용의 큰 비율 자료를 불법 복제되었습니다. 그러나이 회사는 연간 약 200,000,000달러의 연간 수익을했고, Dotcom 뉴질랜드에서 가장 비싼 집에서 살았습니다. (그는 범죄 기록되고 있었다, 그는 그것을 살 수 없습니다었지만, 대신을 임대했는데.)

Dotcom은 밖으로 끌려 갔을 안전 방 집에서 체포 로 관리 보석금을 , 확대 및 법원의이었다 인도에 대한 싸움 과 냉동 자산에 액세스하기위한 ... 그리고 또한 브랜드로 자신의 사업을 재발견하는 시간을 발견 이름 메가.

그게 그 논란의 체포 주년을했기 때문에 출시는 지난 주말에 개최되었습니다.

차이는 시간 서비스가 의도적으로 호스팅 및 만연 불법 복제함으로써 수익을 얻는 행위에서 메가를 보호하도록 설계되었습니다 것입니다. 그는 암호화를 사용하여 끝났어요.

그것은 단지 당신에게 알려진 키를 사용하여 브라우저를 떠나기 전에 모든 당신은 업로드 암호화됩니다. 당신이 그것을 다운로드 할 때, 그것은 연결의 끝에서 복호화있어.

자체 메가는 폴더, 파일 및 내용의 무지 때문에, 그래서 이론 간다, 이건 파일 공유 서비스 없습니다. 자체 즉, 다음과 같습니다

개인 정보를 보호하는 데 도움이 될 멋진 클라우드 스토리지 서비스를 제공합니다.

다른 방법을 넣어, 맞아 모든 사용자를 대신하여 조각난 배추의 거대한 더미를 저장하는 것입니다.

귀하의 컴퓨터에서 전문화 된 소프트웨어 또는 드라이버를 설치하실 필요가 없습니다 않도록, 메가은 브라우저 내에서 자바 스크립트로 구동된다.

자바 스크립트에서 암호화 서비스를 작성하면, 또 가장 빠른 소프트웨어를 제공하지 않습니다,하지만 당신의 서비스를 더욱 쉽게 않으며, 따라서, 당신이 사용하기 안전하고, 주장 할 수 있습니다.

(도둑놈과 같은 온라인 악성 코드 툴킷과 함께 년 동안이 사실을 안지 Luckysploit 그 공격이 끝나면는 HTTP payloads의 사본을 해독 할 수 없습니다 냈 있도록 자바 스크립트 기반의 공개 키 암호화를 사용하여.)

그러나 비평가는 벌써 특히 다음과 같은 관찰을 포함 메가의 구현의 일부 측면에 문제를 촬영했습니다

1. 개인 키 브라우저에서 생성 먼저 메가 사용할 때 자바 스크립트의 Math.random () 함수에 의존하고 있습니다.

소프트웨어 난수 생성기는 악명이 위험한 .

당신이 사용 된 시작 씨앗을 추측 할 수없는 경우, 당신은 이전에 발급 순서를 반복하여 사용하는 cryptosystem의 보안을 공격 할 수 있습니다.

유명한 수학자 및 컴퓨터 과학자 존으로 폰 노이만이하도록되어 말했다 :

임의의 숫자를 생산 산수 방법을 고려하는 모든 사람은 죄의 상태에서, 물론입니다. 여러 번 지적 된 것처럼, 들어, 임의의 숫자와 같은 것은이 없습니다. 가 임의의 숫자를 생산하는 유일한 방법이며, 엄격한 산술 절차 ... 이러한 방법은 아닙니다.

2. 메가의 서비스 약관은 서비스를 "자동 업로드 데이터의 조각을 삭제하거나 다른 사람이 그 데이터가 이미 서비스에 대한 원본 데이터의 중복 정확한하다고 판단 위치로 액세스를 제공 할 수 있습니다."라고 명시 적으로 상태

그러나 비평가들은 메가 정말 이름 및 메가의 서버에 보이지 않는 내용을 만드는 방식으로 각 사용자에 대해 고유 모든 업로드 객체를 암호화 않는 경우이 가능성은, 심지어 음악을 즐길 수 있습니다 이유를 알고 싶어요. 중복 제거가 불가능 할 차례입니다.

사실, 메가의 FAQ는 자사의 엔드 - 투 - 엔드 암호화 모델은 "데이터의 서버 측 조작을 precludes"정확하게 때문에 서비스에 대한 미리보기 이미지 또는 비디오 미리보기를 볼 수 없습니다 것을 설명합니다.

중복 콘텐츠를 검색 할 수 없습니다 경우에도 사용자에 의해 누설 (또는 법률 enforcment에 고백) 다음 사용자 B의 누출로 변 때문에, 단지 그 사용자가 A와 사용자 B가 같은 물건이 개인 정보 보호 문제는 사실 .

3. 메가 가입 서비스는 따라서 오프라인 사전 공격을 허용, 마스터 키의 AES 기반의 해시를 포함하는 확인 이메일을 보냅니다.

온라인 균열 도구는 한 이미 등장 이 확인 이메일에.

그것은 오히려 느린하지만 비평가들은 그를 가리 킵니다 피할 것 같은데 암호화 디자인 결정의 증거로.

이 회사는 일부 응답했다 rebuttals하고 그게 얼마나 특히, 그 블로그에서 :

1. 키 생성 단계가 약간 임의성을 향상시키기 위해 마우스 움직임과 키 입력 타이밍을 사용하고있는 기능이 바로이 과정에 자신의 임의성을 추가 할 수 있도록 추가됩니다.

2. 중복 제거 만 적 이미 암호화 된 데이터에 이루어 지므로 메가 여전히 원시 콘텐츠를 볼 수 없습니다.

3. 품위있는 비밀번호를 선택하십시오.

어떤 비평가는 아마 말을 회신 해 드리겠습니다하려면 :

1. 마우스와 키보드 움직임이 임의성의 좋은 소스 추가되지 않습니다.

2. 데이터에 대한 정보는 그럼에도 불구 누출, 심지어 내용을 알지 못하고, 두 개의 파일이 동일하다는 사실을 알고.

3. 는 "충돌하지 마!"아직도가 작동하기 전에 드라이버로 말을 같은 비트입니다

당신은 어떤 상황에서도 클라우드로 위탁하고 싶어요 얼마나 좋아도 고려해야 할 다른 문제가 있습니다.

누드 보안의 체스터 Wisniewski는 다음과 같이 매일 Technews에 경고 :

나는 구름, 암호화 여부에 가장 민감한 정보를 저장하지 않는 것이 좋습니다 것입니다. 당신은 다른 상황에서 유죄 판결을 범죄자로 얼마나 신뢰를 허용하려면 어떻게해야합니까?

즉, 메가과 인식 보안에 대한 자세한 논쟁을 기대합니다. 나는 김 Dotcom가 다른 방법을하지 않으려합니다!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog