1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Kim Dotcom: Mega zählt am ersten…

Wo liegt der Key?

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Wo liegt der Key?

    Autor pythoneer 21.01.13 - 13:07

    Ich habe das noch nicht so recht verstanden. Beim ersten einloggn wird lokal ein private-public key Paar erstellt. Wo liegt was und für was wird es eingesetzt. Mich wundert irgendwie die Aussage, dass ICH Herr über die Keys bin. Da ich sie beim erstellen nicht als Download angeboten bekommen habe, frage ich mich, wo die nun liegen? Entweder, sie werden "für mich" auf dem Server gespeichert, dann hab ich davon relativ wenig als "Herr". Wenn sie aber lokal – in meinem Browser? – gespeichert sind, dann kann ich das Angebot doch nur in eben jenem Gerät "Browser" verwenden.

    Ich bin ein wenig verwirrt.

    //EDIT:
    Ich kann es leider nicht testen, die Seite ist gerade down http://www.isup.me/mega.co.nz



    2 mal bearbeitet, zuletzt am 21.01.13 13:09 durch pythoneer.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Wo liegt der Key?

    Autor CodeMagnus 21.01.13 - 13:26

    Absolut berechtigte Frage! Ich hätte da noch ein paar Fragen auf Lager... aber ich will den armen Kim jetzt nicht schon am zweiten Tag in die Pfanne hauen.

    Down ist die Seite nur "halb". Kannst es mehr oder weniger testen, wenn Du SSL nutzt:
    > https://mega.co.nz/

    Am besten mit Chrome.

    Ich fürchte, das ist alles nicht so PRIVATE, wie es uns Kim vormachen will. Die/der Schlüssel werden/wird auf den Servern von Mega liegen. Man schaue nur mal unter "My account" > "Session History"... Es werden ALLE Zugriffe geloggt. Mit IP-Historie Uhrzeiten, Orten ("Country") und Browser-Typen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Wo liegt der Key?

    Autor IpToux 21.01.13 - 13:38

    Wenn Du im Dateimanager bist und ganz rechts auf das URL Icon klickst öffnet sich ein Fenster mit dem Link zur Datei. An diesem Link kann man seinen Schlüssel anhängen oder nicht (als auswahl option) denke mir das dies der Schlüssel sein wird, denn ohne diesem Schlüssel kann man die Datei nicht Downloaden.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Wo liegt der Key?

    Autor elroco 21.01.13 - 13:39

    Geht mir ähnlich mit der Verwirrung. Zwar durfte ich meine Maus und Tastatur 'randomly' bewegen respective betippen, um die Keys zu generieren, aber bekommen hab ich auch nix.
    Der 'Key, der dann zum downloaden nötig ist, ist auch eine [a-zA-Z0-9] Passphrase, welche standardmäßig in der URL verbaut ist, wenn man beides separat halten möchte ists 'umständlich', weil man aus der URL die beiden Teile rauskopieren muss. Dieser 'Key' ist bei jeder Freigabe/Datei verschieden, was das ganze noch verwirrender macht.
    Scheinbar bin ich mit meiner altmodischen Schlüsselpaar-Denke nur outdated.


    Hatte mich vorhin eingeloggt als es noch ging, und meine Session ist auch noch aktiv. Scheint so, als wenn nur das Login kurz überlastet/gedrosselt ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Wo liegt der Key?

    Autor azeu 21.01.13 - 13:48

    hab's selber zwar nicht ausprobiert, aber wenn der Key lokal liegen soll, dann kann er eigentlich nur im LocalStorage liegen.

    Unter Chrome auf "rechte Maustaste" klicken und auf "Element untersuchen" (ganz unten). Dann öffnen sich die Developer Tools. Dort gibt es einen Punkt Ressourcen - zweiter Punkt von links - und unter diesem gibt es unten links dann die "Local Storage", "Web SQL" etc.

    Die Storages werden nach Domains getrennt. Es sollte dort also Einträge geben die mit mega was zu tun haben.

    Der Key kann eigentlich nur in der "Local Storage" liegen oder evtl. in der "Web SQL". "Session Storage" fällt weg, da die Daten dort nicht dauerhaft gespeichert werden - wie der Name schon andeutet :)

    Gruss an die NS of America

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Wo liegt der Key?

    Autor LH 21.01.13 - 13:55

    azeu schrieb:
    --------------------------------------------------------------------------------
    > hab's selber zwar nicht ausprobiert, aber wenn der Key lokal liegen soll,
    > dann kann er eigentlich nur im LocalStorage liegen.

    Mit dieser Vermutung scheinst du recht zu haben, dort gibt es einen Eintrag "privk" der mir sehr passend aussieht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Wo liegt der Key?

    Autor elroco 21.01.13 - 13:58

    azeu schrieb:
    --------------------------------------------------------------------------------
    > Unter Chrome auf "rechte Maustaste" klicken und auf "Element untersuchen"
    > (ganz unten). Dann öffnen sich die Developer Tools. Dort gibt es einen
    > Punkt Ressourcen - zweiter Punkt von links - und unter diesem gibt es unten
    > links dann die "Local Storage", "Web SQL" etc.

    This. Beide Schlüssel liegen im Local Storage in der ersten Zeile unter 'attr'. Das erklärt auch die ganze Chrome-Fixierung.
    Danke schön, azeu.

    Allerdings werde ich nachher einmal testen, was passiert, wenn ich mich woanders bei mega anmelden will. Denn schließlich dürfte der 'privk' meinen local storage ja nie verlassen...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Wo liegt der Key?

    Autor azeu 21.01.13 - 14:05

    Der Local Storage ist aber HTML5, und nicht speziell Chrome.

    Was mich auch stutzig macht ist, dass Chrome die Daten der Local Storage mit dem Google Konto synchronisieren kann, wenn man das bei der Programmierung berücksichtigt. Dann würde der private Key quasi bei Google landen... Gut, Vorteil, Geräteunabhängig :)))))

    Gruss an die NS of America

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Wo liegt der Key?

    Autor LH 21.01.13 - 14:07

    elroco schrieb:
    --------------------------------------------------------------------------------
    > Allerdings werde ich nachher einmal testen, was passiert, wenn ich mich
    > woanders bei mega anmelden will. Denn schließlich dürfte der 'privk' meinen
    > local storage ja nie verlassen...

    Gerade ausgetestet, bei mir wird am 2. PC der Key eingetragen. Allerdings gibt es auch keine Fehlermeldung. Das ist wohl einfach noch nicht fertig.
    Ob der Upload oder Download gelingt kann ich nicht testen, die Dateiserver scheinen gerade down zu sein, auf denen meine Testdateien liegen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Wo liegt der Key?

    Autor kaemmi 21.01.13 - 14:15

    zum nachlesen https://mega.co.nz/#developers Punkt 1.4

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Wo liegt der Key?

    Autor SJ 21.01.13 - 14:15

    Upload geht hier z.Z. mit 18KB/S

    Privk habe ich nur im Session Storage. Im Local Storage habe ich was ähnliches.

    Key für den Eintrag ist sowas ähnliche: AAAABBBBBCCCCCEEEEEFFFFFF und als Dateneintrag dazu: {iv:"aaa",salt:"xxx",ct:"eine ganz ganz ganze langee Zeichenkett"}

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Wo liegt der Key?

    Autor LH 21.01.13 - 14:21

    kaemmi schrieb:
    --------------------------------------------------------------------------------
    > zum nachlesen mega.co.nz#developers Punkt 1.4

    Kenne ich bereits, aber zum einen erklärt es nicht alles, zum anderen geht es hier darum das tatsächliche Verhalten zu sehen. Schreiben kann man viel.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Wo liegt der Key?

    Autor LH 21.01.13 - 14:39

    Nach einigen oberflächlichen Analysen ergibt das ganze noch immer keinen Sinn für mich.

    Ein System ohne den AES Key kann Dateien hochladen. Herunterladen kann ich sie allgemein nicht.
    Der geheime Key pro Datei ist jedoch auch dem 2. System bekannt, er muss also Serverseitig gespeichert sein.
    Das passt auch zur Angabe von Mega, die von einer symetrischen Verschlüsselung pro Datei sprechen. Diese Keys sollen mittels eines symetrischen Keys passierend auf dem Password in einer Passwordliste gespeichert sein. Das glaube ich inzwischen auch.

    Nur: Damit gibt es keine erhöhte Sicherheit, da dann eben doch alles Serverseitig passiert. Der Anteil auf Clientseite scheint reiner Fake zu sein, und dient nur zur Beruhigung. Angeblich werden die Dateinamen und co. Clientseitig entschlüsselt. Allerdings wohl auch rein auf dem Passwort basierend, den der AES Key war nicht bekannt.

    Einzig das Mega auf diesem Weg seine Daten auf externen Servern speichern kann bringt einen Vorteil, das drückt den Preis. Für dieses Szenario ist die Verschlüsselung wohl ok. Allerdings eben nur gegen die Datenhoster, Mega kann eben am Ende doch alles entschlüsseln und lesen.



    1 mal bearbeitet, zuletzt am 21.01.13 14:45 durch LH.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. pssssst :)

    Autor azeu 21.01.13 - 14:44

    Eine rein clientseitige Verschlüsselung hätte den großen Nachteil, dass man relativ leicht den eigenen Schlüssel verlieren kann (Softwareproblem, Festplattencrash etc.). Damit wären sämtliche hochgeladenen Dateien für den Besitzer unbrauchbar. Für MEGA ein MEGA-Fail. Deswegen wird doch alles über den Server betrieben :)

    Gruss an die NS of America

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: pssssst :)

    Autor LH 21.01.13 - 14:46

    azeu schrieb:
    --------------------------------------------------------------------------------
    > Eine rein clientseitige Verschlüsselung hätte den großen Nachteil, dass man
    > relativ leicht den eigenen Schlüssel verlieren kann (Softwareproblem,
    > Festplattencrash etc.). Damit wären sämtliche hochgeladenen Dateien für den
    > Besitzer unbrauchbar. Für MEGA ein MEGA-Fail. Deswegen wird doch alles über
    > den Server betrieben :)

    Das ist sehr wahrscheinlich auch der Grund für das alles. Der AES Key ist wohl nur vorgeschoben, damit man darüber in den Medien berichten kann. Eine Anwendung dieses Keys habe ich noch nicht erkennen können. Zumindest nicht in Bezug auf die Dateien.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: pssssst :)

    Autor deefens 21.01.13 - 14:49

    LH schrieb:
    --------------------------------------------------------------------------------

    > Das ist sehr wahrscheinlich auch der Grund für das alles. Der AES Key ist
    > wohl nur vorgeschoben, damit man darüber in den Medien berichten kann. Eine
    > Anwendung dieses Keys habe ich noch nicht erkennen können. Zumindest nicht
    > in Bezug auf die Dateien.

    Das dürfte sich doch sehr einfach testen lassen: schmeiss einfach mal eine Riesendatei in den Mega-Account, wenn tatsächlich der Client verschlüsselt müsste die Datei ja zunächst mit spürbarer CPU-Belastung codiert werden. Bei 2048 bit sollte das auch relativ lange dauern. Und der Upload dürfte ja erst danach beginnen.



    1 mal bearbeitet, zuletzt am 21.01.13 14:50 durch deefens.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: pssssst :)

    Autor LH 21.01.13 - 14:58

    deefens schrieb:
    --------------------------------------------------------------------------------
    > Das dürfte sich doch sehr einfach testen lassen: schmeiss einfach mal eine
    > Riesendatei in den Mega-Account, wenn tatsächlich der Client verschlüsselt
    > müsste die Datei ja zunächst mit spürbarer CPU-Belastung codiert werden.
    > Bei 2048 bit sollte das auch relativ lange dauern. Und der Upload dürfte ja
    > erst danach beginnen.

    Da der AES Key nicht bekannt ist, kann er nicht verwendet werden. Uploads gelinden dennoch. Entweder ist das ein großer Bug, oder eben es zeigt den reinen Fake-Status.
    Natürlich kann man das noch genauer untersuchen, allerdings ist mir das Mega dann doch nicht wert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Re: pssssst :)

    Autor SJ 21.01.13 - 15:26

    Aus dem Help Bereich:

    "Unfortunately, your MEGA password is not just a password - it is the master encryption key to all of your data. If you lose it, you lose access to all of your files that are not in a shared folder and that you have no previously exported file or folder key for."

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: pssssst :)

    Autor Geistesgegenwart 21.01.13 - 15:31

    LH schrieb:
    --------------------------------------------------------------------------------
    > Da der AES Key nicht bekannt ist, kann er nicht verwendet werden. Uploads
    > gelinden dennoch. Entweder ist das ein großer Bug, oder eben es zeigt den
    > reinen Fake-Status.

    Uploads gehen natürlich immer für jeden auch ohne private key, der *PUBLIC* Key wird nämlich auf MEGA bestimmt gespeichert. Das ist ja auch bei asymetrischer Verschlüsselung nicht schlimm, jeder darf dein PUBLIC key ja einsehen (deswegen nennt man ihn so), und damit darf auch jeder Dateien mit deinem Key *verschlüsseln* (=Uploaden). Nur zum Download wird der private key benötigt. Ich seh da also kein Sicherheitsproblem.

    Darüber hinaus: MEGA (-Client, also bei dir im Borwser) dürfte die Dateien nicht asymetrisch sondern symetrisch verschlüsseln mit AES, und zwar jede Datei mit einem eigenen, zufällig generierten Schlüssel. Nur dieser "Dateischlüssel" wird dann mit asymetrischer Verschlüsselung verschlüsselt, und ebenfalls (verschlüsselt!) bei MEGA (serverseitig) abgelegt. Das ist nichts neues und wird sehr oft in Kryptosystemen so gemacht (u.a. auch bei SSH) da "reine" asymetrische Verschlüsselung zu rechenintensiv ist gegenüber z.B. AES.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  20. Re: pssssst :)

    Autor LH 21.01.13 - 15:42

    Geistesgegenwart schrieb:
    --------------------------------------------------------------------------------
    > Uploads gehen natürlich immer für jeden auch ohne private key, der *PUBLIC*
    > Key wird nämlich auf MEGA bestimmt gespeichert. Das ist ja auch bei
    > asymetrischer Verschlüsselung nicht schlimm, jeder darf dein PUBLIC key ja
    > einsehen (deswegen nennt man ihn so), und damit darf auch jeder Dateien mit
    > deinem Key *verschlüsseln* (=Uploaden). Nur zum Download wird der private
    > key benötigt. Ich seh da also kein Sicherheitsproblem.

    Das wäre möglich, allerdings würde das der Darstellung von Megaupload widersprechen, zumindest der von Kim. Die Entwickler stellen es ja sowieso bereits anders dar.

    > Darüber hinaus: MEGA (-Client, also bei dir im Borwser) dürfte die Dateien
    > nicht asymetrisch sondern symetrisch verschlüsseln mit AES, und zwar jede
    > Datei mit einem eigenen, zufällig generierten Schlüssel. Nur dieser
    > "Dateischlüssel" wird dann mit asymetrischer Verschlüsselung verschlüsselt,
    > und ebenfalls (verschlüsselt!) bei MEGA (serverseitig) abgelegt. Das ist
    > nichts neues und wird sehr oft in Kryptosystemen so gemacht (u.a. auch bei
    > SSH) da "reine" asymetrische Verschlüsselung zu rechenintensiv ist
    > gegenüber z.B. AES.

    Laut der Entwicklerseite ist es eine symetrische Verschlüsselung der zentralen DB pro User. Das geben sie ja selbst an, aber auch das ist nicht das, was ursprünglich versprochen wurde. Stimmt das, hätte Mega sehr wohl alle Informationen vorliegen, die benötigt würden.
    Bleibt die Frage, wofür die asymetrischen Schlüssel benötigt werden, wenn die Dateien symetrisch auf dem Server verschlüssel liegen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Sofia: Der fliegende Blick durch den Staub
Sofia
Der fliegende Blick durch den Staub
  1. Bioelektronik Pilze sind die besten Zellschnittstellen
  2. Teilchenbeschleuniger China will Higgs-Fabrik bauen
  3. Wissenschaft Hören wie die Fliegen

Formel E: Motorsport zum Zuhören
Formel E
Motorsport zum Zuhören

Alienware Alpha ausprobiert: Fast lautlose Steam-Machine mit eigenem Windows-UI
Alienware Alpha ausprobiert
Fast lautlose Steam-Machine mit eigenem Windows-UI
  1. Deutschland E-Sport ist mehr als eine Randerscheinung
  2. Crytek Ryse für PC mit 4K-Videos belegt über 120 GByte
  3. Wirtschaftssimulation Golem Labs entwickelt die Gilde 3

  1. Verbraucherzentrale: Auf Schreiben wegen Rundfunkbeitrag reagieren
    Verbraucherzentrale
    Auf Schreiben wegen Rundfunkbeitrag reagieren

    Der Beitragsservice von ARD und ZDF wird alle Bürger anschreiben. Wer nicht reagiert, wird zwangsangemeldet. Verbraucherschützer raten, zu reagieren. Doppelt gezahlte Rundfunkbeiträge können nur noch bis 31. Dezember 2014 zurückgeholt werden.

  2. Filmstreaming: Erste Preise für Netflix Deutschland sichtbar
    Filmstreaming
    Erste Preise für Netflix Deutschland sichtbar

    Erste Netflix-Nutzer in Deutschland mit US-Account können auf ihr Abo nun ohne VPN zugreifen. Der Preis ist bereits sichtbar, Netflix will die Angaben trotzdem erst am 16. September öffentlich machen.

  3. Alone in the Dark: Atari setzt auf doppelten Horror
    Alone in the Dark
    Atari setzt auf doppelten Horror

    Noch vor Ende 2014 will Atari zwei Survival-Horror-Spiele mit bekanntem Namen veröffentlichen. Alone in the Dark und Haunted House entstehen bei kleinen Entwicklerteams und erscheinen für Windows-PC.


  1. 20:28

  2. 17:25

  3. 17:02

  4. 16:56

  5. 16:20

  6. 15:51

  7. 15:36

  8. 15:35