A rapport om, at fildeling peer-to-peer shared service BitTorrent har flere fejl i sin sikkerhedskryptering blev offentliggjort sidste søndag (16th November) af en gruppe forskere i sikkerhed i Hackito web-site forum. I rapporten hedder det, at torrent sandsynligvis kunne give selskabet adgang til brugernes delte filer information.
I en indlæg af deres egne to dage efter, BitTorrent modsagt disse beskyldninger.
Beskyldningerne
Den mest alvorlige problem, siger forskerne selv, er lækagen af kryptografiske hashes mellem brugernes mapper placeret på BitTorrent s GetSync.com fjernserver. Efter reverse-engineered programkoden, deres analyser afsløret "Sandsynlig lækage af alle hashes til getsync.com og adgang for BitTorrent Inc til alle delte data". Hele rapporten kan findes i Hackito Ergo Sum website.
En forsker fra Hackito sagde, at sikkerhedshul kom, som et resultat, en ændring i proceduren mappedeling, efter den første synkronisering udgivelse. "Ændring af deling paradigme, der indførte denne sårbarhed skete efter de første udgivelser. Dette kan være resultatet af NSL (National Security Letters, fra amerikanske regering til virksomheder til at presse dem i at give ud nøgler eller indføre sårbarheder til at kompromittere tidligere sikre systemer) der kunne have været modtaget af BitTorrent Inc og / eller udviklere,"Er angivet i rapporten.
Modsigelsen
I deres counter-indlæg fra tirsdag, BitTorrent sagde, at den centrale eksterne server er der kun for at hjælpe brugerne at oprette forbindelse til hinanden. Det tager ikke del i den krypterede synkronisering proces, de sagde selv.
»Folder hashes er ikke mappen nøgle (hemmelighed). De bruges til at opdage andre jævnaldrende med samme mappe. De hashes kan ikke bruges til at opnå adgang til mappen; det er bare en måde at opdage IP-adresserne på enheder med den samme mappe. Hashes kan heller ikke gættet; det er en 160 bit nummer, hvilket betyder, at det er kryptografisk umuligt at gætte hash af en specifik folder., hedder posten.
Den udveksling af oplysninger mellem mapperne på BitTorrent-brugere er afhængige af krypteret forbindelse til links i GetSync.com, men de omfatter de hashes og den kryptografiske nøgle til de mapper, i henhold til de Hackito forskere selvom.
De links indeholder kun de offentlige nøgler, der er nødvendige for maskiner til at forbinde til hinanden og ikke de hemmelige nøgler til mapper, BitTorrent tilstand tværtimod.
»Links gøre brug af standard kryptering med offentlig nøgle til at muliggøre direkte og sikker nøgle udveksling mellem ligemænd. Selve linket kan ikke bruges til dekryptering af kommunikation, da den kun indeholder de offentlige nøgler for de involverede i udvekslingen maskiner. Efter en direkte forbindelse er etableret, (brugeren kan kontrollere, at ved at sammenligne certifikat fingeraftryk for både fagfæller) Sync vil passere mappe nøgle over en krypteret kanal til den anden peer. Desuden, den offentlige nøgle og mappen hash vises efter # log ind URL, hvilket betyder, at alle moderne browsere ikke engang vil sende denne til serveren. Yderligere funktioner er implementeret for yderligere at sikre nøgleudveksling hjælp links, Herunder (1) kæderne automatisk udløbe inden 3 dage (indstillet som standard) og (2) udtrykkelig godkendelse kræves af den indbydende peer før nogen tast udveksling finder sted (også indstillet som standard).', der bliver sagt i deres indlæg.
BtiTorrent s Korrekturtryk
Ud over disse udtalelser offentliggjort BitTorrent en skrivelse fra en informationssikkerhed selskab - ISEC Partners, hyret af dem til at revidere deres sikkerhed gennemførelsen tidligere på året. Ifølge brevet revisionen dækker gennemførelsen og brugen af kryptografiske hashes, kryptering og randomisering af programmet, mappe anerkendelse og peer udveksling, nøgleudveksling mekanisme og eventuelle kryptografiske hack angreb.
‘BitTorrent Sync anvendes generelt accepteret kryptografiske praksis i udformningen og gennemførelsen af Sync 1.4 fra juli 2014’ brevet siger.
Alt i alt, Vi kan konkludere, at de oplysninger, der kommer fra begge sider - Hackito og BitTorrent er at være ganske kontroversiel. Den bedst mulige beskyttelse er at passe på deling af følsomme oplysninger via torrent i øjeblikket.
