ビデオ: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
今月初めに、永久に派手な(そして時々投獄される)Kim Dotcomは、Megaと呼ばれる暗号化されたファイルストレージシステムを立ち上げました。 Dotcomは、以前の会社Megauploadを閉鎖した法的問題を強調して、新しいサービスをプライベート、暗号化、およびスーパーセキュアとして宣伝しました。 しかし、Megaがそれが何を意味するかについてかなり珍しいアイデアを持っていたことは明らかです。
暗号化の状況
Megaは巧妙なスキームを使用して、安価で安全な接続を提供します。 ユーザーは、2048ビットRSAキーを使用する中央サーバーを介してMegaに接続します。 これらのサーバーは、1024ビットRSAキーを使用して「安価な」サーバーの分散ネットワークに接続されます。 ソフォスのNaked Securityブログによると、「ネットワークのセキュリティの低い部分から許可されていないスクリプトを提供するには、2048ビットで保護されたサーバーと1024ビットで保護されたサーバーを侵害する必要があります。
「Lo!セキュリティケーキを手に入れるのに最適な方法ですが、配送料は安くなります。」
このスキームは巧妙ですが、ソフォスが詳細に文書化した一部の批評家からの批判はありませんでした。 fail0verflowが1024ビットサーバーからデータを移動するために使用されるJavaScriptを見たとき、問題は悪化しました。 彼らは、MegaがCBC-MAC認証を採用していることを発見しました。CBC-MAC認証には、スクリプトではっきりと見えるハードコード化されたキーが含まれていました。 これは、コンビネーションロックを使用するようなものでしたが、忘れないように裏面にコードを書いています。
Javaの問題の場合、メガは数時間のうちに状況を迅速に修正しました。 しかし、その迅速な対応でさえ、誰もが安心できませんでした。 Sophos Canada Chester Wisniewskiのシニアセキュリティアドバイザーは SecurityWatch に次のように語っています。 」
彼は続けて、「彼らは他にどのくらいの間違いを犯したのだろうか。他の誰かがあなたのデータを保護しているのを見ることができないとき、あなたはそれを信頼するべきだろうか?」
一方、CounterTackのチーフリサーチャーであるSean Bodmerは、Megaの暗号化システムの評価に鈍感でした。 「いいえ、これはデータの整合性に対する長期的な解決策として十分に考えられていませんが、ひねくれた解決策として市場参入戦略の一部です。」
「Google Drive、Dropbox、SkyDriveなど、はるかに堅牢なストレージソリューションを提供する、より信頼性の高い実装が多数あります」とBodmer氏は SecurityWatchに 語りました。
キムを安全に保つことがすべて
Megaのセールスポイントの1つは、「エンドツーエンド暗号化」を提供することです。Megaにある間、データはMegaに送信される前に暗号化され、特定の暗号キーを持つユーザーがダウンロードした場合にのみ復号化されます。 アイデアは、Megaがハッキングされたり、法執行機関によって(おそらく)情報の引き渡しを余儀なくされたとしても、データは役に立たず、特定できないことさえあります。
米国デジタルミレニアム著作権法の下では、ウェブサイトが法執行機関と迅速に協力して削除する場合、著作権で保護されたコンテンツをホストすることに対する罰を回避できるため、これは重要です。 EUの電子商取引指令には、同様に考えられた有限責任契約が含まれています。 Megaの場合、暗号化スキームにより、ユーザーは自分の情報を暗号化された形式で保存できますが、警察がノックしたときにDotcomと彼の会社が完全に拒否されることもできます。
ただし、メガはユーザー情報を暗号化しないと伝えられています。 私たちが話をした専門家は、これは必ずしも特有である、または過失であるとは限らないが、ほとんどが法執行機関との協力と関係があると述べた。
「それは珍しいことではありませんが、彼らが実装した暗号化保護は、サービスのユーザーよりもメガを保護するためにあることを示唆しています」とWisniewskiは言いました。 「ニュージーランドの法執行機関が、ファイルの所有権と接続情報について知りたい場合、Megaができるようになり、その情報を喜んで引き渡すと思います。」
Megaユーザーがファイルを共有するために暗号キーを配布し(既に所有している)、法執行機関がコンテンツが実際に著作権で保護されていることを確認できる状況では、Megaはユーザーの情報にアクセスできます。 これにより、Megaは両方の方法でそれを使用できるようになります。 彼らは自分のシステム上の違法なコンテンツを知らないままにすることができますが、それでも「安全な港」です。
ボドマーは、「将来の法的課題を緩和するために指標を焼き付けることを前もって考えることは論理的なアプローチのように思えます。最後のベンチャーがやったように終わった場合、私は同じことをします。」
CORE SecurityのセキュリティストラテジストであるAlex Horanは、法的な絡み合いを回避するための措置を講じるのにMegaだけではないことを指摘しました。 「会社を訴訟から保護するように設計されたシステムはたくさんありませんか。メガにはそうする義務があると主張します」と彼は SecurityWatch に語った。
「彼の新しいサービスがかなり綿密に分析されると想定できるので、平均的な人よりも敏感です。」とHoranは続けました。
テイクアウト
メガは確かに情報を暗号化しますが、その操作の他の側面は疑わしいようです。 最も厄介なのは、暗号化の失敗や分散システムよりも、サービスの販売方法です。 それは最初から明確であるはずです:それは あなた を保護 する ように設計されていませ ん 、 彼ら を保護 する ように設計されてい ます 。
Maxの詳細については、Twitter @wmaxeddyで彼をフォローしてください。