비디오: ìë² , ì기 1ë ë¨ê¸°ê³ ì§ë³ ì íë¡ ì¬ì íëª â궤ìì± ëì¥ì¼ ì¬ë°â (십월 2024)
이달 초 김연 영은 끊임없이 화려한 (때로는 투옥) 메가 (Mega)라는 암호화 된 파일 저장 시스템을 출시했다. Dotcom은 이전 회사 인 Megaupload를 폐쇄 한 법적 문제를 강조하면서 새로운 서비스를 개인, 암호화 및 초보 안으로 선전했습니다. 그러나 메가가 그 의미에 대해 매우 특이한 아이디어를 가지고 있다는 것은 분명합니다.
암호화 상황
메가는 영리한 구성표를 사용하여 저렴하게 안전한 연결을 제공합니다. 사용자는 2048 비트 RSA 키를 사용하는 중앙 서버를 통해 Mega에 연결합니다. 이러한 서버는 1024 비트 RSA 키를 사용하여 "저렴한"서버의 분산 네트워크에 연결됩니다. Sophos의 Naked Security 블로그에 따르면, "네트워크의 보안 수준이 낮은 부분에서 무단 스크립트를 제공하려면 2048 비트로 보호 된 서버와 1024 비트로 보호 된 서버를 손상시켜야합니다.
"Lo! 보안 케이크를 가지고 있지만 그것을 제공하는 데 적은 비용을 지불하는 깔끔한 방법입니다."
이 계획은 영리하지만 소포스가 자세히 기록한 일부 비평가들과 소집하지는 않았다. fail0verflow가 1024 비트 서버에서 데이터를 이동하는 데 사용되는 JavaScript를 살펴보면 문제가 악화되었습니다. 그들은 메가가 CBC-MAC 인증을 사용한다는 것을 발견했다.이 인증에는 스크립트에서 명백하게 볼 수있는 하드 코딩 된 키가 포함되어있다. 이것은 콤비네이션 자물쇠를 사용하는 것과 같지만 뒷면에 코드를 작성하여 잊지 않도록하십시오.
Java 문제의 경우 Mega는 몇 시간 안에 상황을 신속하게 수정했습니다. 그러나 그 빠른 응답조차도 모든 사람을 편안하게 해주지는 못했습니다. Sophos Canada의 수석 보안 고문 체스터 Wisniewski는 SecurityWatch에 다음 과 같이 말했습니다."
그는 "얼마나 많은 실수가 있었 을까? 데이터를 어떻게 처리하는지 알 수 없을 때 다른 사람을 신뢰하여 데이터를 보호해야합니까?"
반면에 CounterTack의 수석 연구원 인 Sean Bodmer는 Mega의 암호화 시스템에 대한 평가에서 무뚝뚝했습니다. "이것은 데이터 무결성에 대한 장기적인 해결책으로 잘 생각되지 않지만 시장 전략으로 나아가는 무릎을 꿇는 해결책으로 생각됩니다."
Bodmer는 "보다 강력한 스토리지 솔루션을 제공하는 Google Drive, Dropbox 또는 SkyDrive와 같은보다 안정적인 구현이 많이 있습니다"라고 SecurityWatch 는 말했습니다.
김 안전 유지에 관한 모든 것
메가의 판매 포인트 중 하나는 데이터가 메가에 전송되는 동안 메가로 전송되기 전에 암호화되어 특정 암호화 키를 가진 사용자가 다운로드 할 때만 해독되는 "엔드 투 엔드 암호화"를 제공한다는 것입니다. 아이디어는 메가가 해킹 당하거나 법 집행 기관에 의해 정보를 전달하도록 강요 당하더라도 데이터가 쓸모없고 식별 할 수 없다는 것입니다.
미국 디지털 밀레니엄 저작권법 (Digital Millennium Copyright Act)에 따라 웹 사이트는 저작권을 침해하는 콘텐츠를 법 집행 기관과 신속하게 협력하는 경우 저작권이있는 콘텐츠를 호스팅 한 것에 대한 처벌을 피할 수 있기 때문에 중요합니다. EU의 전자 상거래 지침에는 유사하게 고안된 유한 책임 약정이 포함되어 있습니다. Mega의 경우 암호화 구성표를 사용하면 사용자가 정보를 암호화 된 형식으로 저장할 수 있지만 경찰이 노크 할 때 Dotcom과 회사의 전체 거부 가능성도 허용됩니다.
그러나 메가는 사용자 정보를 암호화하지 않는다고한다. 우리와 대화를 나눈 전문가들은 이것이 반드시 독특하지는 않았지만, 심지어 무시 만해도 대부분은 법 집행 기관과 협력하는 것과 관련이 있다고 말했다.
Wisniewski는“이상한 것은 아니지만 이들이 구현 한 암호화 보호 기능이 서비스 사용자보다 Mega를 보호 할 수있는 기능이 더 많을 것”이라고 말했다. "뉴질랜드 법 집행 기관이 파일 소유권과 연결 정보에 대해 알고 싶다면 메가가 할 수있을 것이며 우리는 그 정보를 기꺼이 전달할 것이라고 가정합니다."
Mega 사용자가 파일을 공유하기 위해 암호화 키를 전달하고 (이미 존재하는 경우) 법 집행 기관에서 컨텐츠가 실제로 저작권의 대상임을 확인할 수있는 경우 Mega는 사용자 정보에 액세스 할 수 있습니다. 이것은 메가가 두 가지 방법을 가질 수있게한다. 그들은 시스템에서 불법적 인 내용에 대해 눈을 멀게 할 수는 있지만 여전히 "안전한 항구"입니다.
Bodmer는 다음과 같이 말했습니다. "미래의 법적 도전을 완화하기 위해 메트릭스를 구워야하는 선견지명이 논리적 접근 방식 인 것 같습니다. 마지막 벤처가 그 방식대로 끝났다면 같은 일을 할 것입니다."
CORE Security의 보안 전략가 인 Alex Horan은 Mega가 법적 얽힘을 피하기위한 조치를 취하는 데 혼자가 아닐 것이라고 지적했습니다. "회사를 소송으로부터 보호하기 위해 설계된 시스템은 많지 않습니까? 메가가 그렇게해야 할 의무가 있다고 주장합니다."라고 SecurityWatch 는 말했습니다.
Horan은 "새로운 서비스가 매우 밀접하게 분석 될 것이라고 가정 할 수 있기 때문에 일반인보다 더 민감 할 것"이라고 말했다.
테이크 아웃
Mega는 확실히 정보를 암호화하지만 운영의 다른 측면은 의심스러워 보입니다. 암호화 실패 및 분산 시스템 이상의 문제는 서비스 마케팅 방식입니다. 처음부터 명확해야 합니다 . 사용자를 보호하기위한 것이 아니라 보호하기위한 것 입니다.
Max에서 더 많은 정보를 얻으려면 Twitter @wmaxeddy에서 팔로우하십시오.
