Mega: Verschlüsselungs-Versprechen fällt wie ein Kartenhaus zusammen

[o1] DRMfan^^ am 23.06. 13:59

+1 -1

Interessanter wären ja Details zum Angriff, was der "grundlegende Fehler" denn nun ist.

[re:1] Stefan1 am 23.06. 14:24

+1 -

@DRMfan^^:

Steht im Paper unter Abschnitt A, es liegt an der Schlüsselhierachie woraus sich triviale Akttacken ableiten lassen:

The MEGA client derives an authentication key and an encryption key from the password. The authentication key is used to identify users to MEGA. The encryption key encrypts a randomly generated master key, which in turn encrypts other key material of the user.
[...]
A user on a new device can enter their password, authenticate to MEGA, fetch the encrypted key material, and decrypt it with the encryption key derived from the password.

https://mega-awry.io/pdf/mega-malleable-encryption-goes-awry.pdf

[re:1] DRMfan^^ am 23.06. 15:50

+ -

@Stefan1: Man kriegt also ein "Keepass" und kann das dann offline angreifen. Ich hoffe doch, dass da PBKDF2 o.ä. verwendet werden, so dass das bei ordentlichem Passwort eher nicht helfen dürfte. Das bei "geleaktem" Passwort oder Link die Daten zugreifbar sind ist ja klar - und dass der Betreiber oder eine Behörde bei Kooperation mit diesem im Ernstfall nicht online das Passwort erraten muss und in "3 Versuche, dann CAPTCHA"-Sperren o.ä. läuft ist auch klar.

Wenn also nicht das Passwort aus irgendeinem Grund besonders leicht auszutesten ist (wodurch auch sichere PWs geknackt werden) sehe ich nicht das unerwartete.

[o2] DON666 am 23.06. 15:01

+1 -1

Ist grad irgendeine Art von "Jubiläum" im Zusammenhang mit Kim Schmitz? Hatte jahrelang nix mehr von dem gehört, und jetzt ständig irgendwas zu Mega, dann haben Stayi und andere Twitcher den aktuell grad wieder thematisiert etc.

Hab ich irgendwas verpasst, oder hilft der lediglich beim Zuschütten des Sommerlochs?

[re:1] Saldavon am 23.06. 15:27

+4 -

@DON666: Zitat: "dann haben Stayi und andere..." Wer?

[re:1] DON666 am 23.06. 16:17

+1 -3

@Saldavon: Schon mal von Suchmaschinen in diesem "Internet" gehört? Bzw. innerhalb von Twitch? Hab das ja sogar geschrieben.

Egal, darum geht's ja gar nicht, sondern um Kim Schmitz.

[re:1] laforma am 24.06. 08:25

+ -

@DON666: er wollte damit zum ausdruck bringen, dass dieser "stayi" keine hohe relevanz hat wenn man erst nach ihm googlen muss...

[re:2] 0711 am 23.06. 21:03

+1 -

@DON666: sofern ichs richtig mitbekommen, irgendwer ist gestorben, zwei seiner ehemaligen partner/mitstreiter/whatever haben irgendeinen deal mit der neuseeländischen justiz gemacht damit sie nicht an die usa ausgeliefert werden. Da nach jahren des quasi stillstands in dem rechtsstreit bewegung ist könnte das aktuell ein grund sein....aber keine ahnung ob das der hintergrund ist.

[re:1] DON666 am 23.06. 21:05

+ -

@0711: Ah, danke, das könnte es tatsächlich sein!

[o3] Steiner2 am 24.06. 09:22

+ -3

Quelle? Wer sind denn "die Sicherheitsexperten"?

[re:1] beeelion am 24.06. 10:58

+2 -

@Steiner2: This research was conducted by Matilda Backendal, Miro Haller, and Prof. Dr. Kenny Paterson from the Applied Crypto Group at ETH Zurich.

https://mega-awry.io/

[o4] Rosinante am 30.06. 13:49

+ -

Ich habe meine eigene Cloud: Externe Festplatten als redudantes System. Werden nur aktiviert durch Backups und deaktivierter Netzverbindung.