This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Críticos Crypto assumir novo serviço Kim Dotcom do MEGA - Dotcom responde: "Vá em frente!"

Filed Under: Featured, Web Browsers

A notícia festa tempo do fim de semana passado foi o lançamento do serviço de compartilhamento de Kim Dotcom retorno de arquivo, Mega.

Se você já esteve fora de contato com shenaningans de segurança para os últimos doze meses, Kim Dotcom é maior do que a vida empresário alemão-finlandês baseado atualmente na Nova Zelândia.

Ele nasceu Kim Schmitz , e foi conhecida também como Kimble e pelo apelido Goonshowesque de Kim Tim Jim Vestor antes de mudar seu nome para Dotcom e liquidação flamboyantly no negócio digital de armazenamento armário com a sua companhia Megaupload.

As coisas ficaram um pouco selvagem ano passado, quando o FBI contou com a ajuda da aplicação da lei Kiwi para tentar derrubá-lo para a pirataria e extorsão.

As alegações parecia bastante simples: uma proporção enorme de conteúdo armazenado Megaupload foi material pirateado. No entanto, a empresa teve um faturamento anual de quase $ 200.000.000 por ano, e Dotcom morava na casa mais cara da Nova Zelândia. (Como ele tinha uma ficha criminal, ele não foi capaz de comprá-lo, mas teve de alugá-lo em seu lugar.)

Dotcom foi arrastado para fora de um cofre na casa, preso , conseguiu pagar a fiança , estava dentro e fora do tribunal luta contra a extradição e de acesso aos seus bens congelados ... e também encontrou tempo para reinventar seus negócios sob a marca mega nome.

O lançamento teve lugar na semana passada, porque era o aniversário de sua prisão controversa.

A diferença desta vez é que o serviço foi projetado para proteger mega de alegações de conhecimento de hospedagem e lucrar com a pirataria. Isso tem sido feito usando criptografia.

Tudo o que você upload é criptografada antes de deixar seu navegador, usando uma chave que só é já conhecido para você. Quando você baixá-lo, ele é descriptografado em sua extremidade da conexão.

Assim, a teoria, não é um serviço de compartilhamento de arquivo, porque mega-se é ignorante de suas pastas, arquivos e conteúdos. Em suas próprias palavras, é:

Um serviço de armazenamento em nuvem incrível que ajudam a proteger a sua privacidade.

Dito de outra forma, tudo que ele faz é armazenar uma pilha gigante de repolho picado em seu nome.

De modo que você não precisa instalar nenhum software especializado ou drivers no seu computador, Mega é impulsionado por JavaScript no seu navegador.

Escrevendo cripto serviços em JavaScript não lhe dá o software mais rápido ao redor, mas faz seu serviço muito mais fácil e, portanto, você pode argumentar, mais seguro de usar.

(Os bandidos já sabem disso há anos, com kits de ferramentas de malware online como Luckysploit baseado em JavaScript usando criptografia de chave pública para que cheirou cópias de suas cargas úteis HTTP não pode ser descriptografado uma vez que o ataque é longo.)

Mas os críticos já tiveram problema com alguns aspectos da implementação de Mega, incluindo nomeadamente, as seguintes observações:

1. A chave privada gerada em seu navegador quando você usar mega depende do JavaScript Math.random () função.

Geradores de números aleatórios de software são notoriamente arriscado .

Se você pode imaginar a semente inicial que foi utilizado, você pode repetir uma sequência previamente emitido e atacar a segurança do sistema de criptografia que o utilizou.

Como o famoso matemático e cientista da computação John von Neumann é suposto ter dito :

Qualquer um que considera métodos aritméticos de produção de dígitos aleatórios, é claro, em um estado de pecado. Pois, como já foi referido várias vezes, não há tal coisa como um número aleatório. Há apenas métodos para produzir números aleatórios, e um procedimento rigoroso aritmética ... não é um método desse tipo.

2. Mega termos de serviço declaram explicitamente que o serviço "pode ​​excluir automaticamente um pedaço de dados que você enviar ou dar a alguém o acesso ao local onde ele determina que esses dados é uma cópia exata dos dados originais já no nosso serviço."

Mas os críticos querem saber por que essa possibilidade é ainda entretido, se realmente mega criptografar cada objeto enviado exclusivamente para cada usuário de uma forma que faz com que seu nome e conteúdo invisível para os servidores da MEGA. Desduplicação deve ser impossível.

Na verdade, Mega FAQ explica que você não vai ver miniaturas ou visualizações de vídeo no serviço, precisamente porque o seu modelo de criptografia end-to-end "se opõe a qualquer manipulação do lado do servidor de seus dados".

Mesmo que o conteúdo duplicado não pode ser recuperada, apenas sabendo que o usuário A eo usuário B têm o mesmo material é um problema de privacidade, porque um vazamento pelo usuário A (ou uma confissão a enforcment lei), então se transforma em uma fuga para o usuário B .

3. O serviço de inscrição mega envia um e-mail de confirmação contendo um hash AES baseada em sua chave mestra, permitindo assim que um ataque de dicionário off-line.

Uma ferramenta online tem rachaduras já apareceram para esses e-mails de confirmação.

É um pouco lento, mas os críticos apontam para ele como prova de uma decisão de projeto criptográfico que deveria ter sido evitado.

A empresa respondeu com algumas refutações e garantias em seu blog, nomeadamente:

1. A etapa de geração de chave usa os movimentos do mouse e horários de teclas para melhorar a aleatoriedade ligeiramente, e um recurso será adicionado em breve permitindo que você adicione seu próprio aleatoriedade no processo.

2. Desduplicação só é feito com os dados já codificados, de forma mega ainda não vê o conteúdo bruto.

3. Escolha uma senha decente.

Para que os críticos provavelmente responder a dizer:

1. Movimentos do mouse e do teclado não são muito boas fontes adicionais de aleatoriedade.

2. Sabendo que os dois arquivos são os mesmos, mesmo sem conhecer o conteúdo, no entanto vazamentos de informações sobre os dados.

3. Isso ainda é um pouco como dizer a um motorista antes de ele dispara: "Não tem um acidente!"

Há outras questões a considerar, também, como o quanto você quer confiar à nuvem sob quaisquer circunstâncias.

Como a segurança Naked Chester Wisniewski adverte sobre TechNews Diário:

Eu não recomendaria armazenar suas informações mais sensíveis na nuvem criptografia, ou não. Quanto a confiança que você conceder a criminosos condenados em outras circunstâncias?

Em suma, espera que mais controvérsia sobre Mega e sua segurança percebida. Tenho certeza de que Kim Dotcom não gostaria que fosse de outra forma!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog