This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

加密金Dotcom公司的新MEGA服务的批评采取 - Dotcom公司回应说:“来吧!”

Filed Under: Featured, Web Browsers

党的新闻过去的周末推出的金Dotcom公司的的复出文件共享服务,兆丰。

如果你已经为过去12个月里与安全shenaningans的触摸,金Dotcom公司是一个更大高于生活的的德国和芬兰的企业家,目前在新西兰。

他出生于金施密茨金布尔和的绰号金添吉姆Vestor的改变了他的名字之前,网络公司和解决张扬,他的公司互联星空的数字储物柜业务的Goonshowesque的被称为是不同的。

事情变得有点野去年,FBI招募猕猴桃执法的帮助下,尝试带他走盗版和敲诈勒索。

这些指控似乎很简单:一个巨大的比例互联星空的存储内容被盗版的材料。然而,该公司的年度收入每年近2亿美元的,Dotcom公司在新西兰的最昂贵的房子住。 (因为他有犯罪记录,他是不能买它,但不得不租用它,而不是)。

Dotcom公司被拖出一个安全的房间在房子里, 逮捕 ,设法保释反对引渡的法庭战斗,并为他被冻结的资产,也发现了时间,重新塑造自己的品牌下的业务名

推出了在上周末,因为这是他的有争议的逮捕周年。

这次的不同是,该服务已经被屏蔽万明知托管和猖獗的盗版中获利的指控。这是使用加密技术来完成。

您上传的是加密的,这会使你的浏览器,使用的关键,只知道给你。当你下载它,它在最终的连接解密。

因此,从理论上说,这是不是一个文件共享服务,,因为兆丰本身是无知的文件夹,文件和内容。在其自己的话来说,它是:

一个可怕的云存储服务,这将有助于保护您的隐私。

换句话说,它的作用是存储一个巨大的一堆白菜切丝以您的名义。

所以,你并不需要在您的计算机上安装任何专门的软件或驱动程序,是由您的浏览器内的JavaScript万。

编写加密服务在JavaScript中不给你周围的最快的软件,但它确实让你的服务更容易,因此,你可能会说,使用更安全。

(骗子知道这几年,在线恶意软件工具包像Luckysploit使用基于JavaScript的公共密钥加密,因此嗅一次攻击结束,HTTP有效载荷的副本,不能被解密。)

但批评人士已经采取的某些方面的问题,Mega的实施,特别是包括以下几点意见:

1。 在您的浏览器中,当你第一次使用万的私钥生成的依赖于JavaScript的Math.random()的函数。

软件随机数生成器是出了名的风险

如果你能猜到开始种子,你可以重复先前发行的顺序和攻击,用它的密码系统的安全性。

作为著名的数学家和计算机科学家约翰·冯·诺伊曼应该

任何一个人认为算术产生随机数的方法,当然,是在一个国家的罪过。因为,正如已经指出的那样好几次,有没有这样的东西作为一个随机数。只有产生随机数的方法,并有严格的算法程序...是没有这样的方法。

2。 Mega的服务条款明确规定,服务“可能会自动删除您上传的数据一块或给别人访问到它确定的数据的原始数据,已经对我们的服务是完全相同的副本。”

但批评者想知道为什么这种可能性甚至封盘,如果兆丰确实加密每个上载的对象为每个用户唯一一种时尚,使得它的看不见的Mega的服务器的名称和内容。重复数据删除技术应该是不可能的。

事实上,Mega的常见问题解释说,你不会看到缩略图或视频预览的服务,正是因为它的终端到终端的加密模式“,排除了任何服务器端处理您的数据”。

即使重复的内容不能被检索到,仅仅知道用户A和用户B有相同的东西,是一个隐私问题,因为泄漏用户A(坦白,依法协管员),然后变成一个泄漏用户B 。

3。兆SIGNUP服务发送确认电子邮件,其中包含您的主密钥的AES的哈希,从而使离线字典攻击。

A网上的破解工具已经出现确认邮件。

这是相当缓慢的,但批评者指出,作为证据的加密设计决策,应该是可以避免的。

该公司已作出回应一些反驳和保证,在其博客中,主要有:

1。密钥生成阶段使用鼠标移动和键盘定时略微提高随机性,我们会尽快添加允许您添加您自己的随机性的过程和功能。

2。重复数据删除只做过的已经加密的数据,因此兆丰仍然没有看到原始的内容。

3。选择体面的密码。

对于这些批评很可能会回答说:

1。鼠标和键盘的动作不是很好,其他来源的随机性。

2。知道这两个文件是相同的,甚至不知道内容,但泄漏的数据信息。

3。这仍然是一个有点像说的驱动程序,在他之前关闭,“还没有崩溃!”

有其他要考虑的问题,也喜欢你想托付给云计算在任何情况下,到底有多少。

由于裸安全的切斯特Wisniewski律师警告说,Technews日报:

我不建议在云中,加密或存储您最敏感的信息。你给予多少信任在其他情况下被定罪的重罪犯?

总之,希望有更多的争议万和感知的安全。我敢肯定,金Dotcom公司不希望任何其他的方式!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog