Gå til innhold

Mega vil overta der Lavabit ble tvunget til å slippe

VargAamo

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
jkf007

jkf007

Skrevet
Skrevet
Merkelignok så bruker sertifikatene deres RSA-nøkkel.. (som NSA har deltatt i utvikling av)
Men hele RSA standarden er vel åpent tilgjengelig, og det er ikke funnet noen bakdør så langt.

 

Og NSA sier selv at det ikke har bakdører noen steder:

http://gcn.com/articles/2011/02/16/rsa-11-nsa--no-des-backdoor.aspx

 

Men andre tidligere NSA-folk sier andre ting. http://www.itworldcanada.com/news/former-nsa-tech-chief-i-dont-trust-the-cloud/140135

  • Liker 1
Lenke til kommentar
David Brown

David Brown

Skrevet
Skrevet

Og NSA sier selv at det ikke har bakdører noen steder:

http://gcn.com/artic...s-backdoor.aspx

 

Men andre tidligere NSA-folk sier andre ting. http://www.itworldca...he-cloud/140135

 

De sier ingenting som skulle indikere at det fins svakheter i RSA. Og det fins så klart ingen bakdører i RSA, siden RSA er ikke mer enn et par matematiske likningene.

 

Det er fult mulig å lage /implementasjoner/ av RSA med bakdør, eller med andre svakheter (som f.eks. dårlig generering av nøklene).

 

Og det er ikke bevist at det er ingen rask metode for å dele svære tall opp i primtall, som ville gjøre RSA knekkbare, men alle indikasjoner er at det ikke fins en sånt metode.

 

Så du kan stole trygt på RSA - selv om du ikke kan stole blindt på programvare som bruker det.

Lenke til kommentar
fa2001

fa2001

Skrevet
Skrevet (endret)

Mener de at PGP ikke er sikkert nok da? [Rettelse: PGP er alt annet en anonymt -- halve poenget er å kunne bekrefte hvem som har sendt meldingene]

 

De må i hvert fall gi ut en nedlastbar applikasjon, for det finnes et stort sikekrhetshull for alle web-applikasjoner:

Alle som har et gyldig CA (certification authority) sertifikat for SSL kan generere gyldige sertifikater for *alle* domener. F.eks. hvis en spion har en boks hos ISP som kan koble seg mellom Mega sin webserver og brukeren, kan denne åpne en SSL-tilkobling til Mega, dekryptere den, *endre på skriptene som sendes til brukeren*, kryptere igjen med et tilsynelatende gyldig sertifikat. (Det er mulig å oppdage hvis man klikker på avanserte egenskaper, hvis CAen er en annen enn den Mega vanligvis bruker. ) Det er vanskelig å tenke seg at NSA *ikke* har tilgang til et CA private key for et sertifikat som er installert i alle nettlesere

Endret av fa2001
Lenke til kommentar
Spoki0

Spoki0

Skrevet
Skrevet

Og NSA sier selv at det ikke har bakdører noen steder:

http://gcn.com/artic...s-backdoor.aspx

 

Men andre tidligere NSA-folk sier andre ting. http://www.itworldca...he-cloud/140135

 

Som nevnt over, RSA er basert på matematiske operasjoner som det ikke er noen kjent enkel måte å reversere. Den standard RSA algoritmen er fult åpen tilgjengelig, og det er ingen tegn på noen form for smutthull eller bakdør i den.

 

Første linken din gikk på den nå utdaterte DES krypteringen, hvor de selv sier at de ikke ville vært i stand til å lure inn en bakdør.

Den andre gikk på at han ikke stolte på selskapene bak, da disse ikke lappet hull i koden sin, og hadde gitt tilgang til myndighetene. Og dette krever at utviklerne av løsningen implementerer en bakdør slik at NSA eventuelt skulle fått tilgang. Noe jeg tviler sterkt på at Mega noen gang vil gjøre.

Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

Som det har blitt nevnt tidligere, om vi ikke får en OpenSource løsning fra Mega så kan vi ikke verifisere eller stole på det han kommer med siden implenteringen er korrekt.

Derfor klarte man å finne feil i Cryptocat for eksempel, feil som ellers kunne blitt kostbare om det var lukket kildekode.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...