Mega: Verschlüsselungs-Versprechen fällt wie ein Kartenhaus zusammen

Die Cloudspeicher-Plattform Mega wirbt zwar damit, dass hoch­ge­la­de­ne Dateien aufgrund einer starken Ende-zu-Ende-Ver­schlüs­se­lung ausschließlich durch den Nutzer selbst ein­ge­se­hen wer­den kön­nen - davon bleibt bei praktischer Prü­fung aber ... mehr... DesignPickle, Internet, Sicherheit, Laptop, Verschlüsselung, Kryptographie, Schlüssel, schloss, Ende-zu-Ende-Verschlüsselung, Absicherung, Verschlüsselungssoftware, Kryptografie Internet, Sicherheit, Laptop, Verschlüsselung, Kryptographie, Schlüssel, schloss, Ende-zu-Ende-Verschlüsselung, Absicherung, Verschlüsselungssoftware, Kryptografie

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Interessanter wären ja Details zum Angriff, was der "grundlegende Fehler" denn nun ist.
 
@DRMfan^^:

Steht im Paper unter Abschnitt A, es liegt an der Schlüsselhierachie woraus sich triviale Akttacken ableiten lassen:

The MEGA client derives an authentication key and an encryption key from the password. The authentication key is used to identify users to MEGA. The encryption key encrypts a randomly generated master key, which in turn encrypts other key material of the user.
[...]
A user on a new device can enter their password, authenticate to MEGA, fetch the encrypted key material, and decrypt it with the encryption key derived from the password.

https://mega-awry.io/pdf/mega-malleable-encryption-goes-awry.pdf
 
@Stefan1: Man kriegt also ein "Keepass" und kann das dann offline angreifen. Ich hoffe doch, dass da PBKDF2 o.ä. verwendet werden, so dass das bei ordentlichem Passwort eher nicht helfen dürfte. Das bei "geleaktem" Passwort oder Link die Daten zugreifbar sind ist ja klar - und dass der Betreiber oder eine Behörde bei Kooperation mit diesem im Ernstfall nicht online das Passwort erraten muss und in "3 Versuche, dann CAPTCHA"-Sperren o.ä. läuft ist auch klar.

Wenn also nicht das Passwort aus irgendeinem Grund besonders leicht auszutesten ist (wodurch auch sichere PWs geknackt werden) sehe ich nicht das unerwartete.
 
Ist grad irgendeine Art von "Jubiläum" im Zusammenhang mit Kim Schmitz? Hatte jahrelang nix mehr von dem gehört, und jetzt ständig irgendwas zu Mega, dann haben Stayi und andere Twitcher den aktuell grad wieder thematisiert etc.

Hab ich irgendwas verpasst, oder hilft der lediglich beim Zuschütten des Sommerlochs?
 
@DON666: Zitat: "dann haben Stayi und andere..." Wer?
 
@Saldavon: Schon mal von Suchmaschinen in diesem "Internet" gehört? Bzw. innerhalb von Twitch? Hab das ja sogar geschrieben.

Egal, darum geht's ja gar nicht, sondern um Kim Schmitz.
 
@DON666: er wollte damit zum ausdruck bringen, dass dieser "stayi" keine hohe relevanz hat wenn man erst nach ihm googlen muss...
 
@DON666: sofern ichs richtig mitbekommen, irgendwer ist gestorben, zwei seiner ehemaligen partner/mitstreiter/whatever haben irgendeinen deal mit der neuseeländischen justiz gemacht damit sie nicht an die usa ausgeliefert werden. Da nach jahren des quasi stillstands in dem rechtsstreit bewegung ist könnte das aktuell ein grund sein....aber keine ahnung ob das der hintergrund ist.
 
@0711: Ah, danke, das könnte es tatsächlich sein!
 
Quelle? Wer sind denn "die Sicherheitsexperten"?
 
@Steiner2: This research was conducted by Matilda Backendal, Miro Haller, and Prof. Dr. Kenny Paterson from the Applied Crypto Group at ETH Zurich.

https://mega-awry.io/
 
Ich habe meine eigene Cloud: Externe Festplatten als redudantes System. Werden nur aktiviert durch Backups und deaktivierter Netzverbindung.
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 09:00 Uhr Amazon eero Mesh Wlan RoutersAmazon eero Mesh Wlan Routers
Original Amazon-Preis
79,00
Im Preisvergleich ab
?
Blitzangebot-Preis
54,99
Ersparnis zu Amazon 30% oder 24,01

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!