本月初,永久华丽(有时被监禁)的Kim Dotcom推出了一个名为Mega的加密文件存储系统。 Dotcom着重指出了关闭其前任公司Megaupload的法律问题,并称新服务为私有,加密和超级安全。 但是很明显,Mega对这意味着什么有一些非常不寻常的想法。
加密情况
Mega使用一种巧妙的方案以便宜的价格提供安全的连接。 用户通过使用2048位RSA密钥的集中式服务器连接到Mega。 这些服务器使用1024位RSA密钥连接到“便宜”服务器的分布式网络。 根据Sophos的Naked Security博客所说,“这意味着您必须妥协2048位受保护的服务器和1024位受保护的服务器,以便从网络中较低安全性的部分提供未经授权的脚本。
“瞧!这是一种让您的安全蛋糕精巧但又省钱的好方法。”
该方案很聪明,但并未引起一些批评者的追捧,Sophos对此进行了详细记录。 当fail0verflow查看用于从1024位服务器移出数据的JavaScript时,情况变得更糟。 他们发现Mega使用CBC-MAC身份验证,其中包含在脚本中清晰可见的硬编码密钥。 这就像使用密码锁,但在背面编写代码,这样您就不会忘记它。
对于Java问题,Mega在几个小时内迅速纠正了这种情况。 但是,即使是这样的快速反应也不能使所有人放松。 Sophos Canada的高级安全顾问Chester Wisniewski告诉 SecurityWatch ,“仍然存在的一个挥之不去的问题是,Mega的员工/程序员是否掌握如何正确进行加密的第一个线索?您不会指望加密专家会犯这样的业余错误。 ”
他继续说:“他们可能还会犯其他多少错误?当您看不到别人在做什么时,您是否应该信任别人来保护您的数据?”
另一方面,CounterTack首席研究员肖恩·博德默(Sean Bodmer)在对Mega加密系统的评估中直言不讳。 “没有,这不是对数据完整性的长期解决方案的深思熟虑,但更多的是作为一种折衷解决方案,这是进入市场战略的一部分。”
Bodmer告诉 SecurityWatch: “有许多更可靠的实现,例如Google Drive,Dropbox或SkyDrive,它们提供了更加强大的存储解决方案。”
一切都是为了保证金的安全
Mega的卖点之一是它提供了“端到端加密”,即在数据存储在Mega中之前,在将数据发送到Mega之前对其进行加密,并且只有在用户使用特定的加密密钥下载后才进行解密。 这个想法是,即使Mega被黑客入侵或(更有可能)被执法部门移交信息,您的数据也将无用甚至无法识别。
这是至关重要的,因为根据美国《数字千年版权法案》,如果网站与执法部门迅速合作将其删除,则可以避免对拥有版权的内容进行托管的惩罚。 欧盟的“电子商务指令”包含类似概念的有限责任安排。 对于Mega,加密方案确实允许用户以加密形式存储其信息,但是当警察来敲门时,它也允许Dotcom及其公司完全可否认。
但是,据报道,Mega不加密用户信息。 我们与之交谈的专家说,尽管这不一定是奇特的,甚至是疏忽大意的,但大多数人的确与执法合作联系在一起。
Wisniewski说:“这并不稀奇,但确实表明,他们实施的加密保护比服务用户更能保护Mega。” “如果新西兰执法部门希望了解Mega的文件所有权和连接信息,我们将愿意将这些信息移交给我们。”
在Mega用户分发他们的加密密钥以共享文件(他们已经是)并且执法部门可以确认内容确实受版权保护的情况下,Mega确实可以访问用户的信息。 这可能使Mega可以同时使用它。 他们可以对系统中的非法内容视而不见,但仍然是“安全港”。
博德默对此表示同意,他说:“为缓解未来的法律挑战而采用指标的前瞻性似乎是一种合乎逻辑的方法,如果我的上一次冒险以这种方式结束了,我也会做同样的事情。”
CORE Security的安全策略师Alex Horan确实指出,Mega不会独自采取措施避免法律纠缠。 他告诉“ 安全 观察”说:“不是有很多旨在保护公司免受诉讼侵害的系统吗?我认为兆丰有义务这样做。”
霍兰继续说:“可能比普通人对它更敏感,因为他可以假设他的新服务将被仔细分析。”
外卖
尽管Mega确实可以加密信息,但其操作的其他方面似乎值得怀疑。 除了加密故障和分布式系统之外,最令人困扰的是服务的营销方式。 从一开始就应该清楚:它并不是为了保护 您 ,而是为了保护 他们 。
有关Max的更多信息,请在Twitter @wmaxeddy上关注他。
