Une rapport indiquant que le service de partage de fichiers peer-to-peer BitTorrent a partagé plusieurs failles dans son cryptage de sécurité a été publié dimanche dernier (16e Novembre) par un groupe de chercheurs en sécurité dans le forum site Web Hackito. Le rapport indique que le torrent pourrait probablement accorder à la société un accès à des fichiers partagés information des utilisateurs.
Dans un poste de leurs deux jours après, BitTorrent contredit ces accusations.
Les accusations
Le problème le plus grave, les chercheurs disent que, est la fuite de tables de hachage cryptographiques entre les dossiers des utilisateurs placés sur GetSync.com serveur distant de BitTorrent. Ayant ingénierie inverse du code de programme, leurs analyses ont révélé «fuite probable de toutes les tables de hachage à getsync.com et accès pour BitTorrent Inc à toutes les données partagées". Le rapport complet peut être trouvé dans le Site Hackito Ergo Sum.
Un chercheur de Hackito dit que la faille de sécurité est venu, Par conséquent, une modification de la procédure de partage de dossier, après la première version de synchronisation. «Changement de paradigme qui a introduit le partage de cette vulnérabilité qui est arrivé après les premières sorties. Cela peut être le résultat de NSL (Lettres de sécurité nationale, du gouvernement américain pour les entreprises de faire pression sur eux en donnant les clés ou l'introduction de vulnérabilités pour compromettre les systèmes précédemment sécurisées) qui aurait pu être reçu par BitTorrent Inc et / ou développeurs,»Est indiqué dans le rapport.
La contradiction
Dans leur contre-poste du mardi, BitTorrent a dit que le serveur distant central est là que pour aider les utilisateurs à se connecter à un autre. Il ne prend pas part au processus de synchronisation cryptée ils ont dit que.
«Hashes de dossier ne sont pas la clé de dossier (secret). Ils sont utilisés pour découvrir d'autres pairs avec le même dossier. Les tables de hachage ne peuvent pas être utilisées pour obtenir l'accès au dossier; il est juste un moyen de découvrir les adresses IP des appareils avec le même dossier. HACHAGES aussi ne peut pas être deviné; il s'agit d'un 160 nombre de bits, ce qui signifie qu'il est impossible de deviner cryptographique le hachage d'un dossier spécifique., déclare le poste.
Le mécanisme d'échange d'informations entre les dossiers des utilisateurs de BitTorrent se fonde sur des liens de connexion cryptée dans GetSync.com, mais ils comprennent les valeurs de hachage et la clé de chiffrement dans les dossiers selon les chercheurs Hackito quoique.
Les liens contiennent seulement les clés publiques nécessaires pour machines à relier les unes aux autres et non pas les clés secrètes dans les dossiers, État BitTorrent au contraire.
'Liens font usage de la cryptographie à clé publique norme pour permettre direct et sécurisé, l'échange de clés entre pairs. Le lien lui-même ne peut pas être utilisée pour décrypter la communication comme il ne contient que les clés publiques des machines impliquées dans l'échange. Après une connexion directe est établie, (l'utilisateur peut vérifier que le certificat en comparant les empreintes digitales pour les deux pairs) Sync passer la clé de dossier sur un canal chiffré pour l'autre par les pairs. En outre, la clé publique et le dossier hachage apparaissent après la # signer dans l'URL, ce qui signifie que tous les navigateurs modernes ne seront même pas envoyer ce au serveur. Des fonctionnalités supplémentaires ont été mises en œuvre pour sécuriser davantage l'échange de clés en utilisant des liens, Y compris (1) les liens expirent automatiquement dans 3 journées (définir par défaut) et (2) approbation expresse est requise par le poste d'accueil avant tout échange de clés a lieu (également définir par défaut).», il est dit dans leur poste.
Preuves de BtiTorrent
En plus de ces déclarations BitTorrent a publié une lettre d'une société de sécurité de l'information - ISEC Partners, embauché par eux pour vérifier leur mise en œuvre de la sécurité plus tôt cette année. Selon la lettre de la vérification porte sur la mise en œuvre et l'utilisation de tables de hachage cryptographiques, le cryptage et le programme de randomisation, dossier reconnaissance et l'échange entre pairs, mécanisme d'échange de clés et d'éventuelles attaques de hack cryptographiques.
‘BitTorrent Sync appliquée aux pratiques généralement reconnues cryptographiques dans la conception et la mise en œuvre de la synchronisation 1.4 à partir de Juillet 2014,’ la lettre dit.
En tout, nous pouvons conclure que les informations provenant des deux côtés - Hackito et BitTorrent est d'être très controversée. La meilleure protection possible est de se méfier de partager des informations sensibles par le torrent au moment.
