Duda sobre Mega.co.nz

Te recomiendo que te leas este artículo: http://www.genbeta.com/seguridad/asi-es ... o-dice-ser

Salu2.

litos001 escribió:Te recomiendo que te leas este artículo: http://www.genbeta.com/seguridad/asi-es ... o-dice-ser

Salu2.

Artículo interesante pero deja el punto en cuestión en el aire, puesto que asumente que sería probablemente un error de los TOS, o otras supocisiones que de nada me sirve.
Gracias por la respuesta, pero dado que llevaba desconectado del mundo 4 días, pensaba que alguien sabría algo más del tema.

Aunque quisquilloso, suena interesante. No sé cómo se hará en realidad, pero por pensar, en 2 min se me ha ocurrido una posible manera. Por ejemplo: Mega comprueba que el archivo que subes es exactamente igual a otro que ya hay subido, por ejemplo, mientras está en proceso de carga, aún sin cifrar. Una vez cargado se cifra. Si resulta que hay otro archivo igual en la red de Mega, a este se le asigna una "doble contraseña" (o triple, cuádruple...), de manera que se pueda acceder a el con 2 (ó 3, ó 4...) passwords diferentes. Entonces, podrían estar accediendo a tus archivos?, podría ser. Pero si ha sido comprobados y vienen a ser los mismos exactamente bit a bit, que más da.

Repito, que por supuesto, esto es un sistema que he pensado rápidamente, para ilustrar que no sería difícil desde me punto de vista, que se hiciera algo así.

Saludos!

pffm12 escribió:Aunque quisquilloso, suena interesante. No sé cómo se hará en realidad, pero por pensar, en 2 min se me ha ocurrido una posible manera. Por ejemplo: Mega comprueba que el archivo que subes es exactamente igual a otro que ya hay subido, por ejemplo, mientras está en proceso de carga, aún sin cifrar. Una vez cargado se cifra. Si resulta que hay otro archivo igual en la red de Mega, a este se le asigna una "doble contraseña" (o triple, cuádruple...), de manera que se pueda acceder a el con 2 (ó 3, ó 4...) passwords diferentes. Entonces, podrían estar accediendo a tus archivos?, podría ser. Pero si ha sido comprobados y vienen a ser los mismos exactamente bit a bit, que más da.

Repito, que por supuesto, esto es un sistema que he pensado rápidamente, para ilustrar que no sería difícil desde me punto de vista, que se hiciera algo así.

Saludos!

Comprendo tu punto, pero mega básicamente dice que si hay dos archivos iguales, solo se conservará uno (supongo que el antiguo que ya está ahí), ergo ese archivo no es "solo tuyo" y no está "cifrado con tu clave". Vamos, que de seguridad nanai.

Además según el artículo de Genbeta, en la documentación de la API de Mega, dice que se sigue este proceso:

Se genera una clave simétrica aleatoria de 128 bits para el archivo.
Se cifra el archivo con esa clave.
Se genera otra clave para enviar el archivo. La documentación no especifica de dónde sale la clave, aunque probablemente se use el intercambio de claves Diffie-Hellman con tu par de clave pública/privada y un secreto compartido.
Se envía el archivo cifrado a Mega, junto con la clave de cifrado del archivo, todo ello protegido con la clave que habíamos generado antes.
Mega guarda el archivo cifrado (sin descifrar sus contenidos) por un lado. Por otro, guarda la clave del archivo cifrada con tu clave maestra.

Con lo cual se deduce que el archivo ya se sube cifrado con tu clave

Pues de ser cierta la cláusula (y no un error como suponen en Genbeta) sería un fallo enorme por parte de Mega, las compañías sólo tendrían que encontrar un archivo "malo" para borrar todas sus copias de tajada. Y obviamente si la gente pretende compartir sus archivos, va a publicar las claves. Por lo que no importaría que Mega no la supiera, las compañías podrían encontrarlas por la red.

pffm12 escribió:Aunque quisquilloso, suena interesante. No sé cómo se hará en realidad, pero por pensar, en 2 min se me ha ocurrido una posible manera. Por ejemplo: Mega comprueba que el archivo que subes es exactamente igual a otro que ya hay subido, por ejemplo, mientras está en proceso de carga, aún sin cifrar. Una vez cargado se cifra. Si resulta que hay otro archivo igual en la red de Mega, a este se le asigna una "doble contraseña" (o triple, cuádruple...), de manera que se pueda acceder a el con 2 (ó 3, ó 4...) passwords diferentes. Entonces, podrían estar accediendo a tus archivos?, podría ser. Pero si ha sido comprobados y vienen a ser los mismos exactamente bit a bit, que más da.

Repito, que por supuesto, esto es un sistema que he pensado rápidamente, para ilustrar que no sería difícil desde me punto de vista, que se hiciera algo así.

Saludos!

No hay que confundir el cifrado con proteger con contraseña. Lo segundo es algo que no sirve nada, si proteges algo con contraseña es sólo cuestión de crear un programa que ignore la protección. Por ejemplo un PDF lo puedes proteger con contraseña para evitar que se usen ciertas funciones, pero hay montones de lectores de PDF que ignoran esa protección, así como aplicaciones que eliminan la protección pues sólo es cuestión de borrar una linea de código.

En cambio el cifrado (dicho mal y rápido) es un algoritmo que remplaza los caracteres por otros en un "orden" que se genera a partir de tu contraseña, es decir, se necesita tu contraseña para poder volver a ordenarlos a su estado original, no podrías tener un cifrado que se puede abrir con varias contraseñas, pues de existir sería excesivamente fácil de romper, y peor aún, si supones que a un archivo cifrado en cualquier momento se le pueden añadir nuevas contraseñas, pues... ya ni podría llamarse cifrado, sería un juguete que ya viene roto de fabrica.

dnL7up escribió:Pues de ser cierta la cláusula (y no un error como suponen en Genbeta) sería un fallo enorme por parte de Mega, las compañías sólo tendrían que encontrar un archivo "malo" para borrar todas sus copias de tajada. Y obviamente si la gente pretende compartir sus archivos, va a publicar las claves. Por lo que no importaría que Mega no la supiera, las compañías podrían encontrarlas por la red.

pffm12 escribió:Aunque quisquilloso, suena interesante. No sé cómo se hará en realidad, pero por pensar, en 2 min se me ha ocurrido una posible manera. Por ejemplo: Mega comprueba que el archivo que subes es exactamente igual a otro que ya hay subido, por ejemplo, mientras está en proceso de carga, aún sin cifrar. Una vez cargado se cifra. Si resulta que hay otro archivo igual en la red de Mega, a este se le asigna una "doble contraseña" (o triple, cuádruple...), de manera que se pueda acceder a el con 2 (ó 3, ó 4...) passwords diferentes. Entonces, podrían estar accediendo a tus archivos?, podría ser. Pero si ha sido comprobados y vienen a ser los mismos exactamente bit a bit, que más da.

Repito, que por supuesto, esto es un sistema que he pensado rápidamente, para ilustrar que no sería difícil desde me punto de vista, que se hiciera algo así.

Saludos!

No hay que confundir el cifrado con proteger con contraseña. Lo segundo es algo que no sirve nada, si proteges algo con contraseña es sólo cuestión de crear un programa que ignore la protección. Por ejemplo un PDF lo puedes proteger con contraseña para evitar que se usen ciertas funciones, pero hay montones de lectores de PDF que ignoran esa protección, así como aplicaciones que eliminan la protección pues sólo es cuestión de borrar una linea de código.

En cambio el cifrado (dicho mal y rápido) es un algoritmo que remplaza los caracteres por otros en un "orden" que se genera a partir de tu contraseña, es decir, se necesita tu contraseña para poder volver a ordenarlos a su estado original, no podrías tener un cifrado que se puede abrir con varias contraseñas, pues de existir sería excesivamente fácil de romper, y peor aún, si supones que a un archivo cifrado en cualquier momento se le pueden añadir nuevas contraseñas, pues... ya ni podría llamarse cifrado, sería un juguete que ya viene roto de fabrica.

Umm... Lo siento entonces por una respuesta tan descabellada. Ya me parecía a mi que no podía ser tan fácil. Gracias por la explicación, clara y útil.

En cambio el cifrado (dicho mal y rápido) es un algoritmo que remplaza los caracteres por otros en un "orden" que se genera a partir de tu contraseña, es decir, se necesita tu contraseña para poder volver a ordenarlos a su estado original, no podrías tener un cifrado que se puede abrir con varias contraseñas, pues de existir sería excesivamente fácil de romper, y peor aún, si supones que a un archivo cifrado en cualquier momento se le pueden añadir nuevas contraseñas, pues... ya ni podría llamarse cifrado, sería un juguete que ya viene roto de fabrica.

No había pensado en eso, entonces solo hay dos posibles respuestas, que han reciclado los TOS de megaupload y se les ha pasado o que mienten y realmente no cifran los archivos.

No, si yo comprimo o protejo un mismo archivo con diferente contraseña, eso hace que el archivo sea diferente sin importar que el tamaño sea exactamente el mismo y se llamen exactamente igual.

Ya que al hacer una comprobación CRC32 o md5 el resultado seria que son diferentes.

Yo aconsejaria esperar un poco a que pase este proyecto de la fase beta

Pues vamos os complicais la vida, ... lo que hace en mega en realidad no lo sabrermos pero vamos una solucion es asi de simple, cada fichero que se sube, ANTES de cifrarlo se guarda en al base de datos el identificador del fichero y su md5, y cuando alguien sube un fichero ANTES de cifrarlo se comprueba en esa base de datos si hay otro igual comparando el md5, si lo hay se usa ese.

Comprendo tu punto, pero mega básicamente dice que si hay dos archivos iguales, solo se conservará uno (supongo que el antiguo que ya está ahí), ergo ese archivo no es "solo tuyo" y no está "cifrado con tu clave". Vamos, que de seguridad nanai.

Y que te va importar? Si alguien más lo ha subido es que ese fichero es publico o otra gente tiene acceso a el a si que antes de que lo subieras ya ese fichero de secreto no tenia nada... porque alguien ya lo ha subido, tendra dos maneras de acceso si... pero no veo yo para que te deveria molestar eso sabiendo que ese fichero de "secreto" no tenia nada.