A Bericht besagt, dass der File-Sharing-Peer-to-Peer-Shared Service BitTorrent hat mehrere Schwachstellen in ihren Sicherheitsverschlüsselung wurde letzten Sonntag veröffentlicht (16November) von einer Gruppe von Sicherheitsexperten in der Hackito Website Forum. Der Bericht stellt fest, dass der Torrent dürfte wohl dem Unternehmen Zugang zu gemeinsam genutzten Informationen der Nutzer Dateien gewähren.
In a Post ihrer eigenen zwei Tage nach, BitTorrent widersprochen diese Vorwürfe.
Die Vorwürfe
Das gravierendste Problem, die Forscher sagen, obwohl, ist das Leck von kryptographischen Hashes zwischen Benutzer-Ordner auf BitTorrent zu GetSync.com Remote-Server platziert. Nachdem Reverse Engineering den Programmcode, ihre Analysen zeigten, "wahrscheinlich leck aller Hashes auf alle freigegebenen Daten getsync.com und Zugang zur BitTorrent Inc". Der ganze Bericht kann in der gefunden werden Hackito Ergo Sum Website.
Ein Forscher aus Hackito sagte, dass die Sicherheitslücke kam, infolge, in einer Änderung der Ordnerfreigabe Verfahren, nach dem ersten Sync Release. "Change of Sharing Paradigma, dass diese Sicherheitsanfälligkeit eingeführt passiert nach den ersten Veröffentlichungen. Dies kann das Ergebnis sein NSL (National Security Letters, von der US-Regierung für Unternehmen, um sie bei der Bekanntgabe der Tasten oder die Einführung Schwachstellen unter Druck zu setzen bisher sichere Systeme kompromittieren) dass durch BitTorrent Inc und / oder Entwickler empfangen wurden konnte,"Wird im Bericht angegeben.
Der Widerspruch
In ihrer Gegen Post von Dienstag, BitTorrent, sagte, dass die zentrale Remote-Server ist nur dazu da, damit die Benutzer miteinander verbinden. Es spielt keine Rolle in der verschlüsselte Synchronisierungsprozess sie sagte, obwohl nehmen.
'Ordner Hashes sind nicht die Ordner-Taste (Geheimnis). Sie werden verwendet, um andere Leute mit dem gleichen Ordner entdecken. Die Hashes kann nicht verwendet werden, um Zugriff auf den Ordner zu erhalten; es ist nur ein Weg, um die IP-Adressen von Geräten mit dem gleichen Ordner entdecken. Hashes können auch nicht erraten werden; es ist ein 160 Bit-Zahl, was bedeutet, dass es unmöglich ist, die kryptografisch Hash eines bestimmten Ordners zu erraten. ", heißt es in der Post.
Der Informationsaustausch Mechanismus zwischen den Ordnern der BitTorrent-Nutzer setzt auf verschlüsselte Verbindung Links in GetSync.com, aber sie sind die Hashes und die kryptographischen Schlüssel zu den Ordnern nach den Hackito Forscher obwohl.
Die Verbindungen enthalten, nur die öffentlichen Schlüssel für Maschinen erforderlich sind, um miteinander zu verbinden und nicht die geheimen Schlüssel zu den Ordnern, BitTorrent Zustand im Gegenteil.
"Verbindungen nutzen Standard Public Key-Kryptographie direkten aktivieren und sicheren Schlüsselaustausch zwischen Peers. Die Verbindung selbst kann nicht für die Entschlüsselung der Kommunikation er nur die öffentlichen Schlüssel der Maschinen in der Austausch beteiligt werden. Nachdem eine direkte Verbindung hergestellt wird, (kann der Anwender, dass durch den Vergleich das Zertifikat Fingerabdruck für beide Peers zu überprüfen) Sync wird der Ordner-Taste über einen verschlüsselten Kanal zum anderen Peer geben. Außerdem, der öffentliche Schlüssel und der Ordner Hash nach dem erscheinen # unterzeichnen in der URL, was bedeutet, dass alle modernen Browser wird nicht einmal senden diese an den Server. Weitere Features wurden implementiert, um den Schlüsselaustausch über Links weiter zu sichern, Inklusive (1) die Verknüpfungen automatisch innerhalb auslaufen 3 Tage (als Standard festlegen) und (2) Zustimmung wird von der einladenden Peer erforderlich, bevor ein Schlüsselaustausch stattfindet (auch als Standard festlegen).', wird in ihrem Beitrag, sagte.
BtiTorrent des Proofs
Zusätzlich zu diesen Aussagen veröffentlicht BitTorrent einen Brief von einer Informationssicherheitsfirma - ISEC Partners, durch sie angeheuert, um ihre Sicherheit Umsetzung in diesem Jahr prüfen. Nach dem Schreiben umfasst die Prüfung der Umsetzung und den Einsatz von kryptographischen Hashes, Verschlüsselung und Randomisierung des Programms, Ordner Anerkennung und Peer-Austausch, Schlüsselaustauschmechanismus und mögliche Verschlüsselungs Hack-Angriffe.
‘BitTorrent Sync angewandte Regel kryptographische Verfahren in der Konzeption und Umsetzung von Sync akzeptiert 1.4 Stand Juli 2014’ der Brief sagt.
Insgesamt, können wir schließen, dass die Informationen von beiden Seiten - Hackito und BitTorrent ist sehr umstritten. Die bestmögliche Schutz ist der Austausch sensibler Informationen über den Torrent im Moment hüten.