Christian Kruse: Ein paar Fragen zum Konzept

Beitrag lesen

SELF-Forum

Ein paar Fragen zum Konzept

Christian Kruse Homepage des Autors
+3 Informationen zu den Bewertungsregeln

Moin Siri,

Es gibt da überlicherweise zwei Ansätze. Entweder, der Schlüssel ist ein Passwort oder eine Passphrase, die der User eingeben muss oder der Schlüssel wird verschlüsselt mit einem Passwort oder einer Passphrase des Users gespeichert in einer Datenbank abgelegt.

Wenn ich das richtig verstanden habe, ist das einer der Kritikansätze an Mega. Vergisst man das Passwort, sind die Daten nicht mehr zugänglich […]

Naja, kommt drauf an. Wenn das bedeutet, dass der Schlüssel bei dir lokal liegt, wäre das ja das richtige und gute Vorgehen. Sicherheit ist halt nicht unbedingt bequem ;)

[…] oder es wird beides in einer DB abgelegt, dann hat derjenige Zugriff, der die DB knackt, richtig?

Naja, bei Mega läuft das etwas anders. Wenn wir die technischen Schwächen und den Idioten Kim mal beiseite lassen, haben sie das gar nicht so schlecht gemacht. Der Schlüssel mit deinem Passwort verschlüsselt bei denen abgelegt. Das ist nicht optimal, aber ich kann nachvollziehen, warum sie das machen: es muss ja auch für den DAU benutzbar bleiben. Zusätzlich zu deinem symmetrischen Schlüssel gibt es noch ein je 2048 Bit grosses RSA Schlüsselpaar für exakt das Verfahren, dass ich unten beschrieben habe. Der private Schlüssel wird scheinbar (so richtig weiss man es nicht, weil die Doku unklar ist) mit deinem symmetrischen Schlüssel verschlüsselt gespeichert.

Der reine Datenbank-Zugriff nützt dir also nichts, du benötigst immer noch das Passwort des Users.

Allerdings kommen hier zwei Sachen zum tragen:

  1. Die Privacy Terms von Mega:

Your information we collect
[...]

  • Any personal information included in data uploaded to our system including but not limited to registration information.

Das legt nahe, dass sie lügen.

  1. Technische Schwächen in der Implementation. Schlechter Zufall, kaputtes Hashing, Unicode-Bugs, etc

Das legt nahe, dass die Verschlüsselung angreifbar ist.

Man sollte Mega also nicht trauen.

[… asymmetrische Verschlüsselung …]
Interessant! Das bedeuted aber auch, das beide -Sender und Empfänger- im gleichen Kontext stehen müssen (also z.B. Mega) oder anders ausgedrückt: Der Empfänger benötigt einen Mega_Account für seinen private key. Einfach einen Key generieren, den Link in eine Standard-Mail kopieren reichtdann wohl nicht...

Das ist so, ja.

LG,
 CK

--
http://ck.kennt-wayne.de/
Beitrag melden
+3
Informationen zu den Bewertungsregeln
0 38

MEGA - Pro und Contra

misterunknown
  • meinung
  1. 0
    suit
    1. 0
      suit
  2. 1
    Jens Holzkämper
    1. 0
      Jens Holzkämper
    2. 0
      suit
      1. 0
        Jens Holzkämper
    3. 0
      Jens Holzkämper
  3. 0

    MEGA - Kim coole Socke

    Jost
    1. 0
      Jens Holzkämper
      1. 0
        Fred Furunkelstein 2013
      2. 0
        micha2013
        1. 0
          Der Martin
          1. 1
            Bernd
            1. 0
              Gunnar Bittersmann
    2. 0
      Christian Kruse
      1. 0
        Jost
        1. 0
          Christian Kruse
      2. 0
        molily
        1. 0
          Fred Furunkelstein 2013
        2. 0
          Jens Holzkämper
          1. 0
            molily
            1. 0
              Jens Holzkämper
              1. 1
                molily
  4. 0
    ichbinich
    1. 0
      Christian Kruse
  5. 0

    Ein paar Fragen zum Konzept

    Siri
    • sonstiges
    1. 2
      Christian Kruse
      1. 0
        Siri
        1. 3
          Christian Kruse
          1. 0
            Siri
            1. 2
              Christian Kruse
              1. 0
                Jens Holzkämper
  6. 0

    Hab's noch nicht ganz verstanden

    Siri
    • programmiertechnik
    1. 0
      Jens Holzkämper
      1. 0
        Siri
        1. 0
          Jens Holzkämper
          1. 0
            Siri