パスワードを忘れた? アカウント作成
7214161 story
クラウド

オンラインストレージ「MEGA」、セキュリティー面での批判に反論 8

ストーリー by hylom
良くも悪くも話題に 部門より
headless 曰く、

20日にサービスを開始したオンラインストレージ「MEGA」は注目を集め(/.J記事)、最初の24時間で100万件以上のユーザーがサインアップしたそうだ。当初はアクセスが集中してサーバーが応答しなくなることもあったが、現在は安定して利用できるようになっている。その一方で、セキュリティーに関する問題点が複数指摘されているが、これに対する反論がMEGAのブログに掲載されている(MEGAのブログ記事TorrentFreakの記事本家/.)。

MEGAでは暗号化に使用するキーをサーバー側に保存しており、マスターキーはユーザーのパスワードで暗号化されている。そのため、パスワードを第三者に知られるとアップロード済みの全ファイルにアクセスが可能となる一方、パスワードを忘れると事前に共有キーなどをエクスポートしていない限り全ファイルが読み取れなくなってしまう。すでに「MegaCracker」というクラックツールが公開されており、単純なパスワードを設定している場合は簡単にクラックできてしまうが、現在のところパスワードを変更することもできない。これに対し、MEGAでは今後パスワードの変更機能を追加する予定だとしている。

また、Webブラウザーベースで暗号化を行うため、SSLが破られればMEGAのセキュリティーも破られるとの指摘もある。特に、MEGAのSSLサーバーでは1024ビットの暗号化を使用しており、暗号強度が不十分だという。これに対してMEGA側は、2048ビットの暗号化を使用するサーバーから送られるJavaScriptコードで、1024ビットの暗号化を使用するサーバーから送られるコードをチェックするので問題ないと主張している。SSLを破ることができるなら、MEGAよりも面白いものを破ることができるとも述べている。

ほかにもさまざまなセキュリティー面での問題点が指摘されているが、キム・ドットコム氏はセキュリティーについての議論を歓迎すると述べており、賞金を出す計画もあるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年01月26日 1時02分 (#2313102)

    パスワードを忘れると事前に共有キーなどをエクスポートしていない限り全ファイルが読み取れなくなってしまう。

    復元できたらできたで嘘つき呼ばわりするんだろ。Dropboxみたいに [srad.jp]。
    # これが「セキュリティーの問題」なのか? 逆だろ?

    また、Webブラウザーベースで暗号化を行うため、SSLが破られればMEGAのセキュリティーも破られる

    P=NPだったらRSAも楕円暗号もあっさり破られちゃうよね。危険だ!

    • by Anonymous Coward

      まず暗号を指摘する人って大抵は自称セキュリティマニアだよね

  • by Anonymous Coward on 2013年01月25日 19時30分 (#2312919)

    わざとセキュリティの甘いところを作り、クラッキングツールを作らせる。
    その上で、クラッキングされた結果、最新の映画の動画データが流出しても違法動画配信にはならないと言う

    みたいな戦略だったりして。

    • by Anonymous Coward

      アップロードされたのが違法動画ならアップロードの時点で駄目だし、
      有料動画を権利者自身がMEGAで配信した場合があったとして、それが漏れたらMEGAに100%責任があるでしょ。

      • by Anonymous Coward on 2013年01月25日 20時14分 (#2312946)

        パスワードをかけたプライベートストレージでも遠隔サーバにアップロードしたら違法になる可能性があるかどうかは適用される国の法律によるかと。
        日本では違法の可能性が指摘されていますが当然合法の国もある。

        また犯罪の舞台になったからと言って、責任を負うかどうかは微妙。例えばまっとうなサーバがクラッキングされてデータが抜かれたとき、サーバ管理者に100%責任があると言う事で賠償責任を負わせると言うのは無理がある。あくまでもクラッキングした犯人が悪い。
        今回の場合、故意に、あるいは重大な過失があってクラッキングを防止する措置をとっていなかったと認定されないと、訴追は難しい。少なくとも訴える側が過失があったことを証明しなければならないので追求する手間は格段に増えるだろう。

        親コメント
      • by Anonymous Coward

        > 漏れたらMEGAに100%責任
        どこのルールだよそれ

  • by Anonymous Coward on 2013年01月25日 22時38分 (#2313035)

    さすがドットコム、マーケティングも最先端ですね。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...