1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Kim Dotcom: Mega zählt am ersten…

Wo liegt der Key?

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Wo liegt der Key?

    Autor: pythoneer 21.01.13 - 13:07

    Ich habe das noch nicht so recht verstanden. Beim ersten einloggn wird lokal ein private-public key Paar erstellt. Wo liegt was und für was wird es eingesetzt. Mich wundert irgendwie die Aussage, dass ICH Herr über die Keys bin. Da ich sie beim erstellen nicht als Download angeboten bekommen habe, frage ich mich, wo die nun liegen? Entweder, sie werden "für mich" auf dem Server gespeichert, dann hab ich davon relativ wenig als "Herr". Wenn sie aber lokal – in meinem Browser? – gespeichert sind, dann kann ich das Angebot doch nur in eben jenem Gerät "Browser" verwenden.

    Ich bin ein wenig verwirrt.

    //EDIT:
    Ich kann es leider nicht testen, die Seite ist gerade down http://www.isup.me/mega.co.nz



    2 mal bearbeitet, zuletzt am 21.01.13 13:09 durch pythoneer.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Wo liegt der Key?

    Autor: CodeMagnus 21.01.13 - 13:26

    Absolut berechtigte Frage! Ich hätte da noch ein paar Fragen auf Lager... aber ich will den armen Kim jetzt nicht schon am zweiten Tag in die Pfanne hauen.

    Down ist die Seite nur "halb". Kannst es mehr oder weniger testen, wenn Du SSL nutzt:
    > https://mega.co.nz/

    Am besten mit Chrome.

    Ich fürchte, das ist alles nicht so PRIVATE, wie es uns Kim vormachen will. Die/der Schlüssel werden/wird auf den Servern von Mega liegen. Man schaue nur mal unter "My account" > "Session History"... Es werden ALLE Zugriffe geloggt. Mit IP-Historie Uhrzeiten, Orten ("Country") und Browser-Typen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Wo liegt der Key?

    Autor: IpToux 21.01.13 - 13:38

    Wenn Du im Dateimanager bist und ganz rechts auf das URL Icon klickst öffnet sich ein Fenster mit dem Link zur Datei. An diesem Link kann man seinen Schlüssel anhängen oder nicht (als auswahl option) denke mir das dies der Schlüssel sein wird, denn ohne diesem Schlüssel kann man die Datei nicht Downloaden.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Wo liegt der Key?

    Autor: elroco 21.01.13 - 13:39

    Geht mir ähnlich mit der Verwirrung. Zwar durfte ich meine Maus und Tastatur 'randomly' bewegen respective betippen, um die Keys zu generieren, aber bekommen hab ich auch nix.
    Der 'Key, der dann zum downloaden nötig ist, ist auch eine [a-zA-Z0-9] Passphrase, welche standardmäßig in der URL verbaut ist, wenn man beides separat halten möchte ists 'umständlich', weil man aus der URL die beiden Teile rauskopieren muss. Dieser 'Key' ist bei jeder Freigabe/Datei verschieden, was das ganze noch verwirrender macht.
    Scheinbar bin ich mit meiner altmodischen Schlüsselpaar-Denke nur outdated.


    Hatte mich vorhin eingeloggt als es noch ging, und meine Session ist auch noch aktiv. Scheint so, als wenn nur das Login kurz überlastet/gedrosselt ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Wo liegt der Key?

    Autor: azeu 21.01.13 - 13:48

    hab's selber zwar nicht ausprobiert, aber wenn der Key lokal liegen soll, dann kann er eigentlich nur im LocalStorage liegen.

    Unter Chrome auf "rechte Maustaste" klicken und auf "Element untersuchen" (ganz unten). Dann öffnen sich die Developer Tools. Dort gibt es einen Punkt Ressourcen - zweiter Punkt von links - und unter diesem gibt es unten links dann die "Local Storage", "Web SQL" etc.

    Die Storages werden nach Domains getrennt. Es sollte dort also Einträge geben die mit mega was zu tun haben.

    Der Key kann eigentlich nur in der "Local Storage" liegen oder evtl. in der "Web SQL". "Session Storage" fällt weg, da die Daten dort nicht dauerhaft gespeichert werden - wie der Name schon andeutet :)

    Gruss an die NS of America

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Wo liegt der Key?

    Autor: LH 21.01.13 - 13:55

    azeu schrieb:
    --------------------------------------------------------------------------------
    > hab's selber zwar nicht ausprobiert, aber wenn der Key lokal liegen soll,
    > dann kann er eigentlich nur im LocalStorage liegen.

    Mit dieser Vermutung scheinst du recht zu haben, dort gibt es einen Eintrag "privk" der mir sehr passend aussieht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Wo liegt der Key?

    Autor: elroco 21.01.13 - 13:58

    azeu schrieb:
    --------------------------------------------------------------------------------
    > Unter Chrome auf "rechte Maustaste" klicken und auf "Element untersuchen"
    > (ganz unten). Dann öffnen sich die Developer Tools. Dort gibt es einen
    > Punkt Ressourcen - zweiter Punkt von links - und unter diesem gibt es unten
    > links dann die "Local Storage", "Web SQL" etc.

    This. Beide Schlüssel liegen im Local Storage in der ersten Zeile unter 'attr'. Das erklärt auch die ganze Chrome-Fixierung.
    Danke schön, azeu.

    Allerdings werde ich nachher einmal testen, was passiert, wenn ich mich woanders bei mega anmelden will. Denn schließlich dürfte der 'privk' meinen local storage ja nie verlassen...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Wo liegt der Key?

    Autor: azeu 21.01.13 - 14:05

    Der Local Storage ist aber HTML5, und nicht speziell Chrome.

    Was mich auch stutzig macht ist, dass Chrome die Daten der Local Storage mit dem Google Konto synchronisieren kann, wenn man das bei der Programmierung berücksichtigt. Dann würde der private Key quasi bei Google landen... Gut, Vorteil, Geräteunabhängig :)))))

    Gruss an die NS of America

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Wo liegt der Key?

    Autor: LH 21.01.13 - 14:07

    elroco schrieb:
    --------------------------------------------------------------------------------
    > Allerdings werde ich nachher einmal testen, was passiert, wenn ich mich
    > woanders bei mega anmelden will. Denn schließlich dürfte der 'privk' meinen
    > local storage ja nie verlassen...

    Gerade ausgetestet, bei mir wird am 2. PC der Key eingetragen. Allerdings gibt es auch keine Fehlermeldung. Das ist wohl einfach noch nicht fertig.
    Ob der Upload oder Download gelingt kann ich nicht testen, die Dateiserver scheinen gerade down zu sein, auf denen meine Testdateien liegen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Wo liegt der Key?

    Autor: kaemmi 21.01.13 - 14:15

    zum nachlesen https://mega.co.nz/#developers Punkt 1.4

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Wo liegt der Key?

    Autor: SJ 21.01.13 - 14:15

    Upload geht hier z.Z. mit 18KB/S

    Privk habe ich nur im Session Storage. Im Local Storage habe ich was ähnliches.

    Key für den Eintrag ist sowas ähnliche: AAAABBBBBCCCCCEEEEEFFFFFF und als Dateneintrag dazu: {iv:"aaa",salt:"xxx",ct:"eine ganz ganz ganze langee Zeichenkett"}

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Wo liegt der Key?

    Autor: LH 21.01.13 - 14:21

    kaemmi schrieb:
    --------------------------------------------------------------------------------
    > zum nachlesen mega.co.nz#developers Punkt 1.4

    Kenne ich bereits, aber zum einen erklärt es nicht alles, zum anderen geht es hier darum das tatsächliche Verhalten zu sehen. Schreiben kann man viel.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Wo liegt der Key?

    Autor: LH 21.01.13 - 14:39

    Nach einigen oberflächlichen Analysen ergibt das ganze noch immer keinen Sinn für mich.

    Ein System ohne den AES Key kann Dateien hochladen. Herunterladen kann ich sie allgemein nicht.
    Der geheime Key pro Datei ist jedoch auch dem 2. System bekannt, er muss also Serverseitig gespeichert sein.
    Das passt auch zur Angabe von Mega, die von einer symetrischen Verschlüsselung pro Datei sprechen. Diese Keys sollen mittels eines symetrischen Keys passierend auf dem Password in einer Passwordliste gespeichert sein. Das glaube ich inzwischen auch.

    Nur: Damit gibt es keine erhöhte Sicherheit, da dann eben doch alles Serverseitig passiert. Der Anteil auf Clientseite scheint reiner Fake zu sein, und dient nur zur Beruhigung. Angeblich werden die Dateinamen und co. Clientseitig entschlüsselt. Allerdings wohl auch rein auf dem Passwort basierend, den der AES Key war nicht bekannt.

    Einzig das Mega auf diesem Weg seine Daten auf externen Servern speichern kann bringt einen Vorteil, das drückt den Preis. Für dieses Szenario ist die Verschlüsselung wohl ok. Allerdings eben nur gegen die Datenhoster, Mega kann eben am Ende doch alles entschlüsseln und lesen.



    1 mal bearbeitet, zuletzt am 21.01.13 14:45 durch LH.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. pssssst :)

    Autor: azeu 21.01.13 - 14:44

    Eine rein clientseitige Verschlüsselung hätte den großen Nachteil, dass man relativ leicht den eigenen Schlüssel verlieren kann (Softwareproblem, Festplattencrash etc.). Damit wären sämtliche hochgeladenen Dateien für den Besitzer unbrauchbar. Für MEGA ein MEGA-Fail. Deswegen wird doch alles über den Server betrieben :)

    Gruss an die NS of America

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: pssssst :)

    Autor: LH 21.01.13 - 14:46

    azeu schrieb:
    --------------------------------------------------------------------------------
    > Eine rein clientseitige Verschlüsselung hätte den großen Nachteil, dass man
    > relativ leicht den eigenen Schlüssel verlieren kann (Softwareproblem,
    > Festplattencrash etc.). Damit wären sämtliche hochgeladenen Dateien für den
    > Besitzer unbrauchbar. Für MEGA ein MEGA-Fail. Deswegen wird doch alles über
    > den Server betrieben :)

    Das ist sehr wahrscheinlich auch der Grund für das alles. Der AES Key ist wohl nur vorgeschoben, damit man darüber in den Medien berichten kann. Eine Anwendung dieses Keys habe ich noch nicht erkennen können. Zumindest nicht in Bezug auf die Dateien.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: pssssst :)

    Autor: deefens 21.01.13 - 14:49

    LH schrieb:
    --------------------------------------------------------------------------------

    > Das ist sehr wahrscheinlich auch der Grund für das alles. Der AES Key ist
    > wohl nur vorgeschoben, damit man darüber in den Medien berichten kann. Eine
    > Anwendung dieses Keys habe ich noch nicht erkennen können. Zumindest nicht
    > in Bezug auf die Dateien.

    Das dürfte sich doch sehr einfach testen lassen: schmeiss einfach mal eine Riesendatei in den Mega-Account, wenn tatsächlich der Client verschlüsselt müsste die Datei ja zunächst mit spürbarer CPU-Belastung codiert werden. Bei 2048 bit sollte das auch relativ lange dauern. Und der Upload dürfte ja erst danach beginnen.



    1 mal bearbeitet, zuletzt am 21.01.13 14:50 durch deefens.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: pssssst :)

    Autor: LH 21.01.13 - 14:58

    deefens schrieb:
    --------------------------------------------------------------------------------
    > Das dürfte sich doch sehr einfach testen lassen: schmeiss einfach mal eine
    > Riesendatei in den Mega-Account, wenn tatsächlich der Client verschlüsselt
    > müsste die Datei ja zunächst mit spürbarer CPU-Belastung codiert werden.
    > Bei 2048 bit sollte das auch relativ lange dauern. Und der Upload dürfte ja
    > erst danach beginnen.

    Da der AES Key nicht bekannt ist, kann er nicht verwendet werden. Uploads gelinden dennoch. Entweder ist das ein großer Bug, oder eben es zeigt den reinen Fake-Status.
    Natürlich kann man das noch genauer untersuchen, allerdings ist mir das Mega dann doch nicht wert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Re: pssssst :)

    Autor: SJ 21.01.13 - 15:26

    Aus dem Help Bereich:

    "Unfortunately, your MEGA password is not just a password - it is the master encryption key to all of your data. If you lose it, you lose access to all of your files that are not in a shared folder and that you have no previously exported file or folder key for."

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: pssssst :)

    Autor: Geistesgegenwart 21.01.13 - 15:31

    LH schrieb:
    --------------------------------------------------------------------------------
    > Da der AES Key nicht bekannt ist, kann er nicht verwendet werden. Uploads
    > gelinden dennoch. Entweder ist das ein großer Bug, oder eben es zeigt den
    > reinen Fake-Status.

    Uploads gehen natürlich immer für jeden auch ohne private key, der *PUBLIC* Key wird nämlich auf MEGA bestimmt gespeichert. Das ist ja auch bei asymetrischer Verschlüsselung nicht schlimm, jeder darf dein PUBLIC key ja einsehen (deswegen nennt man ihn so), und damit darf auch jeder Dateien mit deinem Key *verschlüsseln* (=Uploaden). Nur zum Download wird der private key benötigt. Ich seh da also kein Sicherheitsproblem.

    Darüber hinaus: MEGA (-Client, also bei dir im Borwser) dürfte die Dateien nicht asymetrisch sondern symetrisch verschlüsseln mit AES, und zwar jede Datei mit einem eigenen, zufällig generierten Schlüssel. Nur dieser "Dateischlüssel" wird dann mit asymetrischer Verschlüsselung verschlüsselt, und ebenfalls (verschlüsselt!) bei MEGA (serverseitig) abgelegt. Das ist nichts neues und wird sehr oft in Kryptosystemen so gemacht (u.a. auch bei SSH) da "reine" asymetrische Verschlüsselung zu rechenintensiv ist gegenüber z.B. AES.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  20. Re: pssssst :)

    Autor: LH 21.01.13 - 15:42

    Geistesgegenwart schrieb:
    --------------------------------------------------------------------------------
    > Uploads gehen natürlich immer für jeden auch ohne private key, der *PUBLIC*
    > Key wird nämlich auf MEGA bestimmt gespeichert. Das ist ja auch bei
    > asymetrischer Verschlüsselung nicht schlimm, jeder darf dein PUBLIC key ja
    > einsehen (deswegen nennt man ihn so), und damit darf auch jeder Dateien mit
    > deinem Key *verschlüsseln* (=Uploaden). Nur zum Download wird der private
    > key benötigt. Ich seh da also kein Sicherheitsproblem.

    Das wäre möglich, allerdings würde das der Darstellung von Megaupload widersprechen, zumindest der von Kim. Die Entwickler stellen es ja sowieso bereits anders dar.

    > Darüber hinaus: MEGA (-Client, also bei dir im Borwser) dürfte die Dateien
    > nicht asymetrisch sondern symetrisch verschlüsseln mit AES, und zwar jede
    > Datei mit einem eigenen, zufällig generierten Schlüssel. Nur dieser
    > "Dateischlüssel" wird dann mit asymetrischer Verschlüsselung verschlüsselt,
    > und ebenfalls (verschlüsselt!) bei MEGA (serverseitig) abgelegt. Das ist
    > nichts neues und wird sehr oft in Kryptosystemen so gemacht (u.a. auch bei
    > SSH) da "reine" asymetrische Verschlüsselung zu rechenintensiv ist
    > gegenüber z.B. AES.

    Laut der Entwicklerseite ist es eine symetrische Verschlüsselung der zentralen DB pro User. Das geben sie ja selbst an, aber auch das ist nicht das, was ursprünglich versprochen wurde. Stimmt das, hätte Mega sehr wohl alle Informationen vorliegen, die benötigt würden.
    Bleibt die Frage, wofür die asymetrischen Schlüssel benötigt werden, wenn die Dateien symetrisch auf dem Server verschlüssel liegen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Test Far Cry 4: Action und Abenteuer auf hohem Niveau
Test Far Cry 4
Action und Abenteuer auf hohem Niveau

Yoga Tablet 2 Pro im Test: Das Tablet mit dem eingebauten Kino
Yoga Tablet 2 Pro im Test
Das Tablet mit dem eingebauten Kino
  1. Lenovos Yoga Tablet 2 im Test Das Tablet mit dem Aufhänger
  2. Motorola Lenovo übernimmt Googles Smartphone-Sparte
  3. Yoga Tablet 2 Pro Lenovos 13-Zoll-Tablet mit Projektor und Subwoofer

Yoga 3 Pro Convertible im Test: Flach, leicht, hochauflösend, kurzatmig
Yoga 3 Pro Convertible im Test
Flach, leicht, hochauflösend, kurzatmig
  1. HP Omen 15 Beleuchtetes Gaming-Ultrabook mit ungewöhnlicher Kühlung
  2. Weniger Consumer-Notebooks Toshiba baut 900 Arbeitsplätze in der PC-Sparte ab
  3. Asus Zenbook UX305 Das flachste Ultrabook mit QHD-Display

  1. Ausländische Geheimdienste: BSI misstraut Vodafone
    Ausländische Geheimdienste
    BSI misstraut Vodafone

    Das BSI hat Zweifel daran, ob der britische Vodafone-Konzern nicht Kundendaten aus Deutschland an ausländische Geheimdienste weitergibt. Eine Selbstauskunft Vodafones sei nicht eindeutig gewesen.

  2. Stylebop.com: Onlinehändler kündigt Beschäftigte nach Verdi-Aktion
    Stylebop.com
    Onlinehändler kündigt Beschäftigte nach Verdi-Aktion

    Am selben Tag als Verdi-Vertreter vor der Münchner Niederlassung von Stylebop.com Flugblätter verteilten, wurden bei dem Onlinehändler zwei Beschäftigte entlassen. "Offenkundig wusste die Geschäftsleitung, dass wir Verdi-Mitglieder sind", so einer der Betroffenen.

  3. Benchmark-Beta: DirectX 12 und Mantle gleich schnell in 3DMark
    Benchmark-Beta
    DirectX 12 und Mantle gleich schnell in 3DMark

    Auf einer AMD-Veranstaltung hat Futuremark erste Ergebnisse des kommenden 3DMark vorgelegt. Das Programm testet erstmals DirectX 12 und Mantle im Vergleich, und bisher sind die Schnittstellen gleich schnell. Noch bevor DX12 erscheint, wird man Mantle auf andere Weise sehr bald selbst testen können.


  1. 20:59

  2. 18:58

  3. 18:46

  4. 18:24

  5. 17:29

  6. 17:19

  7. 17:17

  8. 16:51