Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Kim Dotcom: Mega zählt am ersten…

Wo liegt der Key?

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Wo liegt der Key?

    Autor: pythoneer 21.01.13 - 13:07

    Ich habe das noch nicht so recht verstanden. Beim ersten einloggn wird lokal ein private-public key Paar erstellt. Wo liegt was und für was wird es eingesetzt. Mich wundert irgendwie die Aussage, dass ICH Herr über die Keys bin. Da ich sie beim erstellen nicht als Download angeboten bekommen habe, frage ich mich, wo die nun liegen? Entweder, sie werden "für mich" auf dem Server gespeichert, dann hab ich davon relativ wenig als "Herr". Wenn sie aber lokal – in meinem Browser? – gespeichert sind, dann kann ich das Angebot doch nur in eben jenem Gerät "Browser" verwenden.

    Ich bin ein wenig verwirrt.

    //EDIT:
    Ich kann es leider nicht testen, die Seite ist gerade down http://www.isup.me/mega.co.nz



    2 mal bearbeitet, zuletzt am 21.01.13 13:09 durch pythoneer.

  2. Re: Wo liegt der Key?

    Autor: CodeMagnus 21.01.13 - 13:26

    Absolut berechtigte Frage! Ich hätte da noch ein paar Fragen auf Lager... aber ich will den armen Kim jetzt nicht schon am zweiten Tag in die Pfanne hauen.

    Down ist die Seite nur "halb". Kannst es mehr oder weniger testen, wenn Du SSL nutzt:
    > https://mega.co.nz/

    Am besten mit Chrome.

    Ich fürchte, das ist alles nicht so PRIVATE, wie es uns Kim vormachen will. Die/der Schlüssel werden/wird auf den Servern von Mega liegen. Man schaue nur mal unter "My account" > "Session History"... Es werden ALLE Zugriffe geloggt. Mit IP-Historie Uhrzeiten, Orten ("Country") und Browser-Typen.

  3. Re: Wo liegt der Key?

    Autor: IpToux 21.01.13 - 13:38

    Wenn Du im Dateimanager bist und ganz rechts auf das URL Icon klickst öffnet sich ein Fenster mit dem Link zur Datei. An diesem Link kann man seinen Schlüssel anhängen oder nicht (als auswahl option) denke mir das dies der Schlüssel sein wird, denn ohne diesem Schlüssel kann man die Datei nicht Downloaden.

  4. Re: Wo liegt der Key?

    Autor: elroco 21.01.13 - 13:39

    Geht mir ähnlich mit der Verwirrung. Zwar durfte ich meine Maus und Tastatur 'randomly' bewegen respective betippen, um die Keys zu generieren, aber bekommen hab ich auch nix.
    Der 'Key, der dann zum downloaden nötig ist, ist auch eine [a-zA-Z0-9] Passphrase, welche standardmäßig in der URL verbaut ist, wenn man beides separat halten möchte ists 'umständlich', weil man aus der URL die beiden Teile rauskopieren muss. Dieser 'Key' ist bei jeder Freigabe/Datei verschieden, was das ganze noch verwirrender macht.
    Scheinbar bin ich mit meiner altmodischen Schlüsselpaar-Denke nur outdated.


    Hatte mich vorhin eingeloggt als es noch ging, und meine Session ist auch noch aktiv. Scheint so, als wenn nur das Login kurz überlastet/gedrosselt ist.

  5. Re: Wo liegt der Key?

    Autor: azeu 21.01.13 - 13:48

    hab's selber zwar nicht ausprobiert, aber wenn der Key lokal liegen soll, dann kann er eigentlich nur im LocalStorage liegen.

    Unter Chrome auf "rechte Maustaste" klicken und auf "Element untersuchen" (ganz unten). Dann öffnen sich die Developer Tools. Dort gibt es einen Punkt Ressourcen - zweiter Punkt von links - und unter diesem gibt es unten links dann die "Local Storage", "Web SQL" etc.

    Die Storages werden nach Domains getrennt. Es sollte dort also Einträge geben die mit mega was zu tun haben.

    Der Key kann eigentlich nur in der "Local Storage" liegen oder evtl. in der "Web SQL". "Session Storage" fällt weg, da die Daten dort nicht dauerhaft gespeichert werden - wie der Name schon andeutet :)

    42

  6. Re: Wo liegt der Key?

    Autor: LH 21.01.13 - 13:55

    azeu schrieb:
    --------------------------------------------------------------------------------
    > hab's selber zwar nicht ausprobiert, aber wenn der Key lokal liegen soll,
    > dann kann er eigentlich nur im LocalStorage liegen.

    Mit dieser Vermutung scheinst du recht zu haben, dort gibt es einen Eintrag "privk" der mir sehr passend aussieht.

  7. Re: Wo liegt der Key?

    Autor: elroco 21.01.13 - 13:58

    azeu schrieb:
    --------------------------------------------------------------------------------
    > Unter Chrome auf "rechte Maustaste" klicken und auf "Element untersuchen"
    > (ganz unten). Dann öffnen sich die Developer Tools. Dort gibt es einen
    > Punkt Ressourcen - zweiter Punkt von links - und unter diesem gibt es unten
    > links dann die "Local Storage", "Web SQL" etc.

    This. Beide Schlüssel liegen im Local Storage in der ersten Zeile unter 'attr'. Das erklärt auch die ganze Chrome-Fixierung.
    Danke schön, azeu.

    Allerdings werde ich nachher einmal testen, was passiert, wenn ich mich woanders bei mega anmelden will. Denn schließlich dürfte der 'privk' meinen local storage ja nie verlassen...

  8. Re: Wo liegt der Key?

    Autor: azeu 21.01.13 - 14:05

    Der Local Storage ist aber HTML5, und nicht speziell Chrome.

    Was mich auch stutzig macht ist, dass Chrome die Daten der Local Storage mit dem Google Konto synchronisieren kann, wenn man das bei der Programmierung berücksichtigt. Dann würde der private Key quasi bei Google landen... Gut, Vorteil, Geräteunabhängig :)))))

    42

  9. Re: Wo liegt der Key?

    Autor: LH 21.01.13 - 14:07

    elroco schrieb:
    --------------------------------------------------------------------------------
    > Allerdings werde ich nachher einmal testen, was passiert, wenn ich mich
    > woanders bei mega anmelden will. Denn schließlich dürfte der 'privk' meinen
    > local storage ja nie verlassen...

    Gerade ausgetestet, bei mir wird am 2. PC der Key eingetragen. Allerdings gibt es auch keine Fehlermeldung. Das ist wohl einfach noch nicht fertig.
    Ob der Upload oder Download gelingt kann ich nicht testen, die Dateiserver scheinen gerade down zu sein, auf denen meine Testdateien liegen.

  10. Re: Wo liegt der Key?

    Autor: kaemmi 21.01.13 - 14:15

    zum nachlesen https://mega.co.nz/#developers Punkt 1.4

  11. Re: Wo liegt der Key?

    Autor: SJ 21.01.13 - 14:15

    Upload geht hier z.Z. mit 18KB/S

    Privk habe ich nur im Session Storage. Im Local Storage habe ich was ähnliches.

    Key für den Eintrag ist sowas ähnliche: AAAABBBBBCCCCCEEEEEFFFFFF und als Dateneintrag dazu: {iv:"aaa",salt:"xxx",ct:"eine ganz ganz ganze langee Zeichenkett"}

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  12. Re: Wo liegt der Key?

    Autor: LH 21.01.13 - 14:21

    kaemmi schrieb:
    --------------------------------------------------------------------------------
    > zum nachlesen mega.co.nz#developers Punkt 1.4

    Kenne ich bereits, aber zum einen erklärt es nicht alles, zum anderen geht es hier darum das tatsächliche Verhalten zu sehen. Schreiben kann man viel.

  13. Re: Wo liegt der Key?

    Autor: LH 21.01.13 - 14:39

    Nach einigen oberflächlichen Analysen ergibt das ganze noch immer keinen Sinn für mich.

    Ein System ohne den AES Key kann Dateien hochladen. Herunterladen kann ich sie allgemein nicht.
    Der geheime Key pro Datei ist jedoch auch dem 2. System bekannt, er muss also Serverseitig gespeichert sein.
    Das passt auch zur Angabe von Mega, die von einer symetrischen Verschlüsselung pro Datei sprechen. Diese Keys sollen mittels eines symetrischen Keys passierend auf dem Password in einer Passwordliste gespeichert sein. Das glaube ich inzwischen auch.

    Nur: Damit gibt es keine erhöhte Sicherheit, da dann eben doch alles Serverseitig passiert. Der Anteil auf Clientseite scheint reiner Fake zu sein, und dient nur zur Beruhigung. Angeblich werden die Dateinamen und co. Clientseitig entschlüsselt. Allerdings wohl auch rein auf dem Passwort basierend, den der AES Key war nicht bekannt.

    Einzig das Mega auf diesem Weg seine Daten auf externen Servern speichern kann bringt einen Vorteil, das drückt den Preis. Für dieses Szenario ist die Verschlüsselung wohl ok. Allerdings eben nur gegen die Datenhoster, Mega kann eben am Ende doch alles entschlüsseln und lesen.



    1 mal bearbeitet, zuletzt am 21.01.13 14:45 durch LH.

  14. pssssst :)

    Autor: azeu 21.01.13 - 14:44

    Eine rein clientseitige Verschlüsselung hätte den großen Nachteil, dass man relativ leicht den eigenen Schlüssel verlieren kann (Softwareproblem, Festplattencrash etc.). Damit wären sämtliche hochgeladenen Dateien für den Besitzer unbrauchbar. Für MEGA ein MEGA-Fail. Deswegen wird doch alles über den Server betrieben :)

    42

  15. Re: pssssst :)

    Autor: LH 21.01.13 - 14:46

    azeu schrieb:
    --------------------------------------------------------------------------------
    > Eine rein clientseitige Verschlüsselung hätte den großen Nachteil, dass man
    > relativ leicht den eigenen Schlüssel verlieren kann (Softwareproblem,
    > Festplattencrash etc.). Damit wären sämtliche hochgeladenen Dateien für den
    > Besitzer unbrauchbar. Für MEGA ein MEGA-Fail. Deswegen wird doch alles über
    > den Server betrieben :)

    Das ist sehr wahrscheinlich auch der Grund für das alles. Der AES Key ist wohl nur vorgeschoben, damit man darüber in den Medien berichten kann. Eine Anwendung dieses Keys habe ich noch nicht erkennen können. Zumindest nicht in Bezug auf die Dateien.

  16. Re: pssssst :)

    Autor: deefens 21.01.13 - 14:49

    LH schrieb:
    --------------------------------------------------------------------------------

    > Das ist sehr wahrscheinlich auch der Grund für das alles. Der AES Key ist
    > wohl nur vorgeschoben, damit man darüber in den Medien berichten kann. Eine
    > Anwendung dieses Keys habe ich noch nicht erkennen können. Zumindest nicht
    > in Bezug auf die Dateien.

    Das dürfte sich doch sehr einfach testen lassen: schmeiss einfach mal eine Riesendatei in den Mega-Account, wenn tatsächlich der Client verschlüsselt müsste die Datei ja zunächst mit spürbarer CPU-Belastung codiert werden. Bei 2048 bit sollte das auch relativ lange dauern. Und der Upload dürfte ja erst danach beginnen.



    1 mal bearbeitet, zuletzt am 21.01.13 14:50 durch deefens.

  17. Re: pssssst :)

    Autor: LH 21.01.13 - 14:58

    deefens schrieb:
    --------------------------------------------------------------------------------
    > Das dürfte sich doch sehr einfach testen lassen: schmeiss einfach mal eine
    > Riesendatei in den Mega-Account, wenn tatsächlich der Client verschlüsselt
    > müsste die Datei ja zunächst mit spürbarer CPU-Belastung codiert werden.
    > Bei 2048 bit sollte das auch relativ lange dauern. Und der Upload dürfte ja
    > erst danach beginnen.

    Da der AES Key nicht bekannt ist, kann er nicht verwendet werden. Uploads gelinden dennoch. Entweder ist das ein großer Bug, oder eben es zeigt den reinen Fake-Status.
    Natürlich kann man das noch genauer untersuchen, allerdings ist mir das Mega dann doch nicht wert.

  18. Re: pssssst :)

    Autor: SJ 21.01.13 - 15:26

    Aus dem Help Bereich:

    "Unfortunately, your MEGA password is not just a password - it is the master encryption key to all of your data. If you lose it, you lose access to all of your files that are not in a shared folder and that you have no previously exported file or folder key for."

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  19. Re: pssssst :)

    Autor: Geistesgegenwart 21.01.13 - 15:31

    LH schrieb:
    --------------------------------------------------------------------------------
    > Da der AES Key nicht bekannt ist, kann er nicht verwendet werden. Uploads
    > gelinden dennoch. Entweder ist das ein großer Bug, oder eben es zeigt den
    > reinen Fake-Status.

    Uploads gehen natürlich immer für jeden auch ohne private key, der *PUBLIC* Key wird nämlich auf MEGA bestimmt gespeichert. Das ist ja auch bei asymetrischer Verschlüsselung nicht schlimm, jeder darf dein PUBLIC key ja einsehen (deswegen nennt man ihn so), und damit darf auch jeder Dateien mit deinem Key *verschlüsseln* (=Uploaden). Nur zum Download wird der private key benötigt. Ich seh da also kein Sicherheitsproblem.

    Darüber hinaus: MEGA (-Client, also bei dir im Borwser) dürfte die Dateien nicht asymetrisch sondern symetrisch verschlüsseln mit AES, und zwar jede Datei mit einem eigenen, zufällig generierten Schlüssel. Nur dieser "Dateischlüssel" wird dann mit asymetrischer Verschlüsselung verschlüsselt, und ebenfalls (verschlüsselt!) bei MEGA (serverseitig) abgelegt. Das ist nichts neues und wird sehr oft in Kryptosystemen so gemacht (u.a. auch bei SSH) da "reine" asymetrische Verschlüsselung zu rechenintensiv ist gegenüber z.B. AES.

  20. Re: pssssst :)

    Autor: LH 21.01.13 - 15:42

    Geistesgegenwart schrieb:
    --------------------------------------------------------------------------------
    > Uploads gehen natürlich immer für jeden auch ohne private key, der *PUBLIC*
    > Key wird nämlich auf MEGA bestimmt gespeichert. Das ist ja auch bei
    > asymetrischer Verschlüsselung nicht schlimm, jeder darf dein PUBLIC key ja
    > einsehen (deswegen nennt man ihn so), und damit darf auch jeder Dateien mit
    > deinem Key *verschlüsseln* (=Uploaden). Nur zum Download wird der private
    > key benötigt. Ich seh da also kein Sicherheitsproblem.

    Das wäre möglich, allerdings würde das der Darstellung von Megaupload widersprechen, zumindest der von Kim. Die Entwickler stellen es ja sowieso bereits anders dar.

    > Darüber hinaus: MEGA (-Client, also bei dir im Borwser) dürfte die Dateien
    > nicht asymetrisch sondern symetrisch verschlüsseln mit AES, und zwar jede
    > Datei mit einem eigenen, zufällig generierten Schlüssel. Nur dieser
    > "Dateischlüssel" wird dann mit asymetrischer Verschlüsselung verschlüsselt,
    > und ebenfalls (verschlüsselt!) bei MEGA (serverseitig) abgelegt. Das ist
    > nichts neues und wird sehr oft in Kryptosystemen so gemacht (u.a. auch bei
    > SSH) da "reine" asymetrische Verschlüsselung zu rechenintensiv ist
    > gegenüber z.B. AES.

    Laut der Entwicklerseite ist es eine symetrische Verschlüsselung der zentralen DB pro User. Das geben sie ja selbst an, aber auch das ist nicht das, was ursprünglich versprochen wurde. Stimmt das, hätte Mega sehr wohl alle Informationen vorliegen, die benötigt würden.
    Bleibt die Frage, wofür die asymetrischen Schlüssel benötigt werden, wenn die Dateien symetrisch auf dem Server verschlüssel liegen.

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. GEUTEBRÜCK, Windhagen
  2. über Ratbacher GmbH, Kirchheim unter Teck
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. T-Systems International GmbH, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 319,00€
  2. 59,99€ (Vorbesteller-Preisgarantie)
  3. 34,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

  1. Nintendo: Super Mario Run für iOS läuft nur mit Onlineverbindung
    Nintendo
    Super Mario Run für iOS läuft nur mit Onlineverbindung

    Bei langen Flugzeugreisen oder im Ausland läuft Super Mario Run nur mit Hindernissen: Nintendo hat wenige Tage vor der Veröffentlichung des Games für iOS bekanntgegeben, dass das Spiel immer eine aktive Onlineverbindung zu den Servern des Herstellers benötigt.

  2. USA: Samsung will Note 7 in Backsteine verwandeln
    USA
    Samsung will Note 7 in Backsteine verwandeln

    Wer sein Galaxy Note 7 immer noch nicht zurückgegeben hat, soll in den USA mit einer drastischen Maßnahme dazu gewungen werden: Samsung will das Laden des Akkus komplett unterbinden. Ein Netzbetreiber will dabei aber nicht mitmachen.

  3. Hackerangriffe: Obama will Einfluss Russlands auf US-Wahl untersuchen lassen
    Hackerangriffe
    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

    Hat Russland die US-Präsidentschaftswahl gehackt? Präsident Obama will untersuchen, ob fremde Nachrichtendienste zur Wahl von Donald Trump beigetragen haben. Der kommuniziert derweil weiter unverschlüsselt.


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13