MEGA、セキュリティー面での批判に反論
タレコミ by headless
headless 曰く、
20日にサービスを開始したオンラインストレージ「MEGA」は注目を集め(/.J記事)、最初の24時間で100万件以上のユーザーがサインアップしたそうだ。当初はアクセスが集中してサーバーが応答しなくなることもあったが、現在は安定して利用できるようになっている。その一方で、セキュリティーに関する問題点が複数指摘されているが、これに対する反論がMEGAのブログに掲載されている(MEGAのブログ記事、TorrentFreakの記事、本家/.)。
MEGAでは暗号化に使用するキーをサーバー側に保存しており、マスターキーはユーザーのパスワードで暗号化されている。そのため、パスワードを第三者に知られるとアップロード済みの全ファイルにアクセスが可能となる一方、パスワードを忘れると事前に共有キーなどをエクスポートしていない限り全ファイルが読み取れなくなってしまう。すでに「MegaCracker」というクラックツールが公開されており、単純なパスワードを設定している場合は簡単にクラックできてしまうが、現在のところパスワードを変更することもできない。これに対し、MEGAでは今後パスワードの変更機能を追加する予定だとしている。
また、Webブラウザーベースで暗号化を行うため、SSLが破られればMEGAのセキュリティーも破られるとの指摘もある。特に、MEGAのSSLサーバーでは1024ビットの暗号化を使用しており、暗号強度が不十分だという。これに対してMEGA側は、2048ビットの暗号化を使用するサーバーから送られるJavaScriptコードで、1024ビットの暗号化を使用するサーバーから送られるコードをチェックするので問題ないと主張している。SSLを破ることができるなら、MEGAよりも面白いものを破ることができるとも述べている。
ほかにもさまざまなセキュリティー面での問題点が指摘されているが、キム・ドットコム氏はセキュリティーについての議論を歓迎すると述べており、賞金を出す計画もあるとのことだ。
MEGA、セキュリティー面での批判に反論 More ログイン