Original-URL des Artikels: http://www.golem.de/news/mega-massive-kritik-an-der-verschluesselung-1301-97096.html    Veröffentlicht: 23.01.2013 16:02

Mega

Massive Kritik an der Verschlüsselung

Nach dem Start von Kim Dotcoms Sharehosting-Angebot Mega wird die verwendete Verschlüsselung von mehreren Seiten kritisiert. Dotcom gelobt Besserung und lädt Hacker ein, das System zu knacken.

Die Aufmerksamkeit, die der Start von Mega auf sich zieht, die umstrittene Person Kim Dotcom, seine Versprechungen und damit geschürten Erwartungen haben naturgemäß eine genaue Untersuchung des Sharehosters zur Folge. Offensichtlich sind noch einige Fragen offen, die vor allem die Datensicherheit der Anwender betreffen. Experten kritisieren gleich mehrere Schwachstellen in der Verschlüsselung. Vor allem bemängeln sie, dass bei verlorenen Passwörtern sämtliche Daten ebenfalls verloren gehen würden.

Auch die Deduplizierung mit verschlüsselten Dateien und die Eignung Javascripts für sichere Schlüssel wurden in Zweifel gezogen. An einigen Stellen verspricht Kim Dotcom Verbesserungen. Hacker sollen versuchen, seine Verschlüsselung zu knacken - gegen Preisgeld.

Als erste griff die Webseite Arstechnica das Thema auf und informierte über mehrere Schwächen bei der von Mega eingesetzten Verschlüsselung. Kim Dotcom hat bereits auf die Vorwürfe geantwortet und die meisten im Mega-Blog als überzogen bezeichnet.

Verlorenes Passwort, verlorene Daten

Die auf den Mega-Servern gelagerten Daten werden nach AES-128 verschlüsselt. Dafür wird ein Benutzerschlüssel benötigt, der bei der Anmeldung erstellt und mit einem beliebigen Passwort des Benutzers versehen wird. Geht er verloren, haben Benutzer auch keinen Zugriff mehr auf Mega und auch nicht auf ihre verschlüsselten Daten.

Dem will Mega zumindest teilweise entgegenwirken: Künftig soll es zumindest möglich sein, das Passwort zu ändern. Damit sollen alle auf dem Server liegenden Schlüssel ebenfalls aktualisiert werden. Auch das Zurücksetzen des Passworts soll künftig möglich sein, allerdings werden sich Daten dann nur entschlüsseln lassen, wenn der Anwender die Schlüssel auf seinem Rechner gesichert hat. Alternativ soll dies über Freunde möglich sein, denen Benutzer Zugriff auf ihre Dateien gewährt haben. Ohne Passwort seien die Daten aber weg, heißt es im Blog. Zumindest hätten Anwender aber dann Zugriff auf die immer noch verschlüsselten Daten.

Wer seine lokale Festplatte verschlüsselt und das Passwort verliert, steht vor dem gleichen Problem.

Mangelnde Sicherheit bei der Schlüsselerstellung

Für den Zugang zu Mega wird ausschließlich ein Browser genutzt. Die einmalige Erstellung des Master-Schlüssels nutzt die Javascript-Funktion Math.random. Um möglichst zufällige Zahlen zu generieren, werden beispielsweise Eingaben per Maus und Tastatur einbezogen. Diese sollen allerdings in dem Mega-Script fast nicht verwendet werden, weil das Generieren des Schlüssels bereits abgeschlossen ist, wenn der Anwender dazu aufgefordert wird, die Maus zu bewegen. Ohne solche Eingaben sei der erstellte Schlüssel jedoch leichter zu knacken, so die Kritiker.

Auch hier will Mega nachbessern. Der Nutzer soll vor Generierung des Schlüssels aufgefordert werden, die Maus zu bewegen.

Tatsächlich steht die Maus kaum still, solange sich die Hand des Anwenders darauf befindet. Selbst kleinste Bewegungen werden bei der Erstellung eines Schlüssels berücksichtigt.

Andererseits heißt es in einigen Dokumentation zu der Funktion Math.random, dass sie sich nicht für sicherheitsrelevante Techniken nutzen lasse. Erst mit zusätzlichen Funktionen werde die Schlüsselerstellung sicherer.

Schwache Verschlüsselung in Megas SSL-Server

Zwar liege die Hauptseite der Mega-Webseite auf einem Server, der Inhalte über SSL mit 2.048 Bit RSA ausliefere, schreibt der Hacker Marcan in seinem Blog Failoverflow. Weitere Inhalte würden aber über Javascript von zusätzlichen Servern geholt, die die schwächere, aber bislang noch nicht geknackte 1.024-Bit-Verschlüsselung verwendeten. Mega hashe dabei die Inhalte, um zusätzliche Sicherheit zu schaffen.

Damit soll laut Mega ein hoher Sicherheitsstandard geschaffen werden, unabhängig davon, wo sich die zusätzlichen Server geografisch befinden. Außerdem soll damit die CPU der zusätzlichen Server nicht übermäßig beansprucht werden.

Marcan hat nach eigener Aussage jedoch bereits eine andere Schwachstelle in dieser Konstruktion gefunden. Das Hashing geschieht mit CBC-MAC mit einem im Skript festgelegten Schlüssel. Wer Zugriff auf einen Serverschlüssel hat oder einen der Server wie vorgesehen selbst betriebt, kann sich als Man-in-the-Middle in den Datenverkehr einklinken, Daten manipulieren und sogar die persönlichen Schlüssel der Benutzer abgreifen, ohne dass es bemerkt wird. Auf seiner Webseite liefert Marcan auch gleich ein Proof-of-Concept. Sein Vorschlag besteht in der Verwendung von SHA1. Selbst MD5 würde in einem solchen Fall besser funktionieren, schreibt Marcan.

Auch darauf weist Mega in seiner Blog-Antwort hin: "Unsere FAQs bestätigen das. Wer uns nicht vertraut, soll sich nicht bei uns einloggen. Alternativ können Anwender auf Clients von Drittanbietern zurückgreifen und unser Angebot sicher nutzen."

Deduplizierung verhindert Verschlüsselung

In Megas API-Beschreibung ist von Deduplizierung redundanter Daten zu lesen. Das reduziert den Speicherbedarf. Allerdings sind verschlüsselte Dateien immer einzigartig. Arstechnica bemängelt, dass blockweise Deduplizierung impliziere, dass Daten wiedererkennbar sein müssten. Damit könnte Mega erkennen, dass zwei Anwender die gleiche Datei gespeichert hätten. Sollte jemand die Datei bei einem Benutzer etwa als illegalen Film entlarven, wäre es ein Leichtes, weitere Anwender zu identifizieren, die dieselbe Datei gespeichert hätten, moniert Arstechnica. Dabei berufen sie sich auf einen Thread in den Hacker News.

Auch das bestätigt Mega zumindest teilweise im eigenen Blog. Zwar setze der Sharehoster Deduplizierung ein, allerdings werde sie erst nach der Verschlüsselung genutzt, etwa wenn ein Anwender dieselbe Datei zweimal hochlade. Dort heißt es auch, dass Dateien, die zwischen Ordnern und Benutzerkonten mit dem Mega-Dateimanager oder über das API kopiert würden, ebenfalls auf nur eine physisch vorhandene Datei hinwiesen. Lediglich wenn zwei verschiedene Anwender die gleiche Datei hochlüden, könne aufgrund der Verschlüsselung keine Deduplizierung durchgeführt werden.

Einige Kritikpunkte an Mega haben sich also bei genauerer Betrachtung bestätigt, etwa die inkonsequente Umsetzung von Javascript-Funktionen bei der Erstellung eines Schlüssels und die mangelnde Sicherheit der Mega-Server. Dass Daten nach dem Verlust eines Passworts nicht mehr zugänglich sind, ist letztendlich aber der Vorteil einer Verschlüsselung. Möglicherweise finden Hacker, die Kim Dotcoms Einladung folgen, seine Server zu testen, weitere Schwachpunkte.  (jt)


Verwandte Artikel:
Adultking: Pornounternehmer will Mega finanziell austrocknen   
(23.01.2013 15:29, http://www.golem.de/news/adultking-pornoindustrie-will-mega-finanziell-austrocknen-1301-97097.html)
Kim Dotcom: Mega zählt am ersten Tag 1 Million registrierte Nutzer   
(21.01.2013 11:05, http://www.golem.de/news/kim-dotcom-mega-zaehlt-am-ersten-tag-1-million-registrierte-nutzer-1301-97031.html)
Imageverlust: IT-Mittelstand gegen Meldepflicht bei IT-Angriffen   
(18.01.2013 15:13, http://www.golem.de/news/imageverlust-it-mittelstand-gegen-meldepflicht-bei-it-angriffen-1301-97007.html)
Rechtsanwalt: Filmindustrie wird es mit Mega schwer haben   
(21.01.2013 17:27, http://www.golem.de/news/rechtsanwalt-filmindustrie-wird-es-mit-mega-schwer-haben-1301-97048.html)
"Das Ende des Urheberrechts": Ein Blick auf das neue Mega   
(19.01.2013 13:24, http://www.golem.de/news/das-ende-des-urheberrechts-ein-blick-auf-das-neue-mega-1301-97016.html)

© 2014 by Golem.de