Ich wusste ja, das man Kim Dotcom Teraplauze Schmitz nicht trauen kann, aber, dass die Grundlage des Erfolges seines neuesten Projekts MEGA gleich totaler Schrott ist, das habe ich wahrlich nicht erwartet. Der Cloud-Speicherdienst Mega setzt nämlich auf ein cleveres Konzept, den eigenen Code nachzuladen. Doch die Krypto-Funktionen, die dessen Integrität sicher stellen sollen, sind dazu völlig ungeeignet und lassen sich einfach austricksen, wie das Blog fail0verflow dokumentiert.
Dieser Fauxpas lässt nichts gutes für den Rest der Krypto-Infrastruktur ahnen.
Derartige Anfängerfehler beim Einsatz von Krypto-Funktionen werfen ein schlechtes Licht auf das Versprechen, die Daten der Anwender durch den Einsatz von lokaler Verschlüsselung im Browser zu schützen. [Den ganzen technischen Artikel gibt es hier.]
- http://fail0verflow.com/blog/2013/megafail.html
- http://www.heise.de/security/meldung/Megas-erster-Krypto-Fauxpas-1790137.html
Artikelbild: (C) Kim Schmitz nach seiner Entlassung aus der Untersuchungshaft (Bild: Sandra Mu/Getty Images)