Schemat szyfrowania serwisu Mega Kima DotComa

Kim DotCom - wypowiedział wojnę
Kim DotCom - wypowiedział wojnę materiały prasowe
  1. Poufność: Wszystkie dane przechowywane na serwerach Mega są szyfrowane, w związku z czym firma Mega nigdy nie widzi zawartości danych użytkownika. Można to bardzo łatwo zweryfikować, ponieważ pełne szyfrowanie realizują skrypty tekstowe oparte na otwartym kodzie źródłowym po stronie klienta. (DotCom jest tak pewny skuteczności swojego mechanizmu szyfrowania, że ufundował nagrodę w wysokości 10 000 EUR dla osoby, która zdoła go złamać). Podsumowując, bezpieczeństwo danych zależy od osoby dysponującej kluczami, czyli od użytkownika. Jest to również zdecydowana korzyść dla dostawcy usługi, ponieważ serwis może uniknąć problemów z prawami autorskimi, które wcześniej doprowadziły do ostatecznego wyłączenia serwisu Megaupload. Jednak, parafrazując słowa Kim DotComa, jest to niewielka korzyść w porównaniu z całkowitym uniezależnieniem się od inwigilacji, jakie Mega może zaoferować swoim użytkownikom.
  2. Bezpieczne udostępnianie plików: Użytkownicy (nawet ci, którzy nie zarejestrowali się w serwisach udostępniania plików) mogą w bezpieczny sposób udostępniać pliki między sobą, ponieważ odwołania do plików w serwisie Mega opierają się na łączu do pliku oraz kluczu pliku. Z tego względu dostęp do pliku może uzyskać osoba dysponująca informacjami o obu tych elementach. Jest to dodatkowa warstwa bezpieczeństwa dostępu do przesłanych plików.
  1. Ataki za pośrednictwem przeglądarek: Usługa jest nadal wrażliwa na ataki ze strony klienta, na przykład ataki typu "Man in the Browser", które mogą zastąpić algorytmy szyfrowania używane przez serwis Mega algorytmami znanymi dla osoby przeprowadzającej atak. Atak tego typu pozwala również obejść kontrolę spójności danych po stronie klienta, realizowaną poprzez wczytanie kodu Javascript z innego serwera Mega. Podsumowując, wszystkie znane słabości wszystkich mechanizmów uwierzytelniania (włącznie z uwierzytelnianiem dwuczynnikowym) występują również w mechanizmie uwierzytelniania serwisu Mega. Jeśli więc komputer klienta padnie ofiarą ataku, użytkownik jest "ugotowany".
  2. Protokół SSL: Złamanie zabezpieczeń protokołu SSL (lub atak typu booby trap przeprowadzony przez NSA) oznacza złamanie zabezpieczeń serwisu Mega. Jednak według mnie przypadki złamania zabezpieczeń protokołu SSL będą oznaczały o wiele większe problemy dla całego Internetu niż dla serwisu Mega.
Informacja prasowa
Masz sugestie, uwagi albo widzisz błąd?