This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Crypto критики взять на себя новые MEGA службы Ким Dotcom автора - Dotcom отвечает: «Сообщите об этом!"

Filed Under: Featured, Web Browsers

Партия времени новости минувший уик-энд стал запуск возвращение Ким Dotcom на файлообменник службы, Mega.

Если вы были вне связи с безопасностью shenaningans в течение последних двенадцати месяцев, Ким Dotcom это больше, чем жизнь немецко-финских предпринимателей в настоящее время базируется в Новой Зеландии.

Он родился Ким Шмитц , и была известная как Кимбл и Goonshowesque прозвище Ким Тим Джим Вестор перед изменением его имя Dotcom и урегулирования пышно в цифровом бизнесе шкафчик хранения с его компанией как незарегистрированный пользователь.

Все стало немного диким прошлым годом, когда ФБР обратились за помощью к правоохранительным Kiwi, чтобы попытаться снять его за пиратство и рэкетом.

Обвинения казалось довольно простым: огромная часть контента, хранящегося Megaupload был пиратских материалов. Тем не менее, компания имела годовой доход около $ 200.000.000 в год, а Dotcom жил в самой дорогой дом в Новой Зеландии. (Как он судимость, он был не в состоянии его купить, но был вынужден сдавать его в аренду, а).

Dotcom вытащили из безопасной комнате в доме, арестован , удалось сделать залог , был в и из суда борьбу против экстрадиции и для доступа к своему замороженных активов ..., а также нашел время, чтобы заново изобретать свой ​​бизнес под торговой маркой Название Mega.

Запуск состоялся в минувшие выходные, потому что это была годовщина его спорной арест.

Разница на этот раз в том, что сервис был разработан, чтобы защитить от обвинений Mega заведомо хостинг и прибыль от разгула пиратства. Это было сделано с помощью криптографии.

Все, что вы загружаете зашифрованы прежде чем он покинет ваш браузер, используя ключ, только когда вам известны. Когда вы загружаете его, он расшифрован на вашем конце соединения.

Таким образом, согласно теории, это не файлообменный сервис, так как Mega сам не знает о ваших папок, файлов и содержимого. В его собственным словам, это:

Удивительный сервис облачного хранения, которые помогут защитить вашу конфиденциальность.

Иными словами, все это делает для хранения огромной куче нашинкованную капусту от вашего имени.

Так что вам не нужно устанавливать какое-либо специализированное программное обеспечение и драйверы на ваш компьютер, Mega обусловлен JavaScript в Вашем браузере.

Дать крипто услуг в наличие не дает вам быстрый программного обеспечения во всем, но это не делает вашу услугу гораздо проще и, следовательно, можно утверждать, безопаснее в использовании.

(Преступники знали об этом в течение многих лет, с онлайн-инструментарий вредоносных программ, как Luckysploit использовании JavaScript на основе криптографии с открытым ключом, так что понюхал копий своего HTTP полезной нагрузки не могут быть расшифрованы только атака закончилась.)

Но критики уже принятых вопрос с некоторыми аспектами реализации МЕГА, в частности, в том числе следующие замечания:

1. Секретный ключ генерируется в вашем браузере при первом использовании Mega опирается на JavaScript Math.random () функции.

Программное обеспечение генераторы случайных чисел являются заведомо рискованным .

Если вы можете догадаться, начиная семя, которое было использовано, вы можете повторить ранее выданных последовательность и напасть на безопасность криптосистемы, которые использовали его.

Как известный математик и ученый Джон фон Нейман предполагается сказал :

Любой, кто считает, арифметические методы получения случайных чисел, конечно, в состоянии греха. Ибо, как уже отмечалось несколько раз, не существует такой вещи, как случайное число. Есть только способы получения случайных чисел, и строгая процедура арифметического ... Не такой метод.

2. МЕГА условия предоставления услуг четко указывается, что служба "может автоматически удалять часть данных, которые вы загружаете или дать кому-то еще доступ к где она определяет, что данные точная копия исходных данных уже на нашем сервисе".

Но критики хотят знать, почему эта возможность даже развлекают, если Mega действительно шифрования каждого загружен объект уникальным для каждого пользователя таким образом, что делает его название и содержание невидимым для серверов Mega. Дедупликация должна быть невозможной.

Действительно, в Mega FAQ объясняет, что вы не увидите эскизы или видео-превью на службу именно потому, что его конец в конец шифрования модель "исключает любое серверных манипуляции данными".

Даже если дублированного контента не может быть восстановлена, просто зная, что пользователь, а пользователь B имеют тот же самый материал является частной жизни проблемы, потому что утечка пользователь (или признания закона enforcment), а затем превращается в утечке пользователю B .

3. Mega службы регистрации отправляет письмо с подтверждением содержащие AES на основе хэша вашего мастер-ключ, что позволяет автономно атака по словарю.

Онлайн-инструмент крекинг уже появились эти электронные подтверждения.

Это довольно медленный, но критики указывают на это как свидетельство криптографической дизайнерское решение, которое должно было бы избежать.

Компания ответил с некоторым опровержения и заверения в своем блоге, а именно:

1. Ключевым этапом поколение использует движения мыши и нажатия клавиш тайминги для улучшения случайность немного, и функция будет добавлена ​​в ближайшее время позволяя добавлять собственные случайности в этот процесс.

2. Дедупликация только не делал на уже зашифрованные данные, поэтому Mega-прежнему не видит сырья содержание.

3. Выберите достойных пароль.

К какой критики, вероятно, ответит, чтобы сказать:

1. Мышь и клавиатура движений не очень хорошо дополнительных источников случайности.

2. Зная, что два файла одинаковые, даже не зная содержания, тем не менее, утечка информации о данных.

3. Вот еще немного, как говорит водитель, прежде чем он выделяет, "Не имею аварии!"

Есть и другие вопросы, чтобы рассмотреть, тоже, как только, сколько вы хотите возложить на облаке при каких обстоятельствах.

Как Chester Naked Security, Вишневский предупреждает о TechNews Ежедневно:

Я бы не рекомендовал хранения Вашей самой чувствительной информации в облаке, шифрование или нет. Сколько доверия вы предоставляете осужденных преступников при других обстоятельствах?

Короче говоря, ожидал более споры о Mega и ее воспринимали безопасности. Я уверена, что Ким Dotcom не хотел бы этого никаким другим путем!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog