A 報告 ファイル共有ピアツーピア共有サービスBitTorrentには、セキュリティ暗号化にいくつかの欠陥があると述べ、先週の日曜日に公開されました (1611月) HackitoWebサイトフォーラムのセキュリティ研究者のグループによる. レポートは、トレントがおそらく会社にユーザーの共有ファイル情報へのアクセスを許可する可能性があると述べています.
で 役職 2日後の自分の, BitTorrentはこれらの告発と矛盾しました.
告発
最も深刻な問題, 研究者はしかし言う, BitTorrentのGetSync.comリモートサーバーに配置されたユーザーのフォルダ間の暗号化ハッシュのリークです. プログラムコードをリバースエンジニアリングした, 彼らの分析は、「getsync.comへのすべてのハッシュのリークの可能性とすべての共有データへのBitTorrentIncへのアクセス」を明らかにしました. レポート全体は、 HackitoErgoSumのWebサイト.
Hackitoの研究者は、セキュリティ上の欠陥が発生したと述べました, 結果として, フォルダ共有手順の変更で, 最初の同期リリース後. 「この脆弱性を導入した共有パラダイムの変更は、最初のリリース後に発生しました. これはNSLの結果である可能性があります (国家安全保障書簡, 米国政府から企業に至るまで、以前は安全だったシステムを危険にさらすために鍵を配ったり、脆弱性を導入したりするよう圧力をかけます) BitTorrentIncや開発者が受け取った可能性があります,「レポートに記載されています.
矛盾
火曜日からの彼らのカウンターポストで, BitTorrentによると、中央リモートサーバーはユーザー同士の接続を支援するためだけに存在しているという. 彼らが言った暗号化された同期プロセスには参加していません.
'フォルダハッシュはフォルダキーではありません (秘密). それらは、同じフォルダーを持つ他のピアを検出するために使用されます. ハッシュを使用してフォルダへのアクセスを取得することはできません; 同じフォルダにあるデバイスのIPアドレスを検出する方法にすぎません. ハッシュも推測できません; それは 160 ビット番号, これは、特定のフォルダーのハッシュを推測することは暗号的に不可能であることを意味します。, 投稿を述べています.
BitTorrentユーザーのフォルダー間の情報交換メカニズムは、GetSync.comの暗号化された接続リンクに依存しています。, しかし、Hackitoの研究者によると、これらにはハッシュとフォルダへの暗号化キーが含まれています。.
リンクには、マシンが相互に接続するために必要な公開鍵のみが含まれ、フォルダーへの秘密鍵は含まれません。, それどころかBitTorrent状態.
'リンクは、標準の公開鍵暗号を利用して、ピア間の直接かつ安全な鍵交換を可能にします. リンク自体には、交換に関与するマシンの公開鍵しか含まれていないため、通信の復号化には使用できません。. 直接接続が確立された後, (ユーザーは、両方のピアの証明書フィンガープリントを比較することで、それを確認できます。) Syncは、他のピアの暗号化されたチャネルを介してフォルダキーを渡します. 加えて, 公開鍵とフォルダハッシュは、 # URLにサインインします, つまり、最近のすべてのブラウザはこれをサーバーに送信することすらありません. リンクを使用した鍵交換をさらに保護するために、追加機能が実装されました, 含む (1) リンクは自動的に期限切れになります 3 日々 (デフォルトとして設定) と (2) 鍵交換を行う前に、招待するピアによる明示的な承認が必要です (デフォルトとしても設定).', 彼らの投稿で言われています.
BtiTorrentの証明
これらの声明に加えて、BitTorrentは情報セキュリティ会社–ISECパートナーからの手紙を発表しました, 今年初めにセキュリティの実装を監査するために彼らに雇われました. 手紙によると、監査は暗号化ハッシュの実装と使用をカバーしています, プログラムの暗号化とランダム化, フォルダ認識とピア交換, 鍵交換メカニズムと暗号化ハック攻撃の可能性.
‘BitTorrent Syncは、Syncの設計と実装に一般的に受け入れられている暗号化手法を適用しました 1.4 2014年7月現在、’ 手紙には.
概して, 双方からの情報–HackitoとBitTorrentはかなり物議を醸していると結論付けることができます. 最善の保護は、現時点でトレントを介して機密情報を共有することに注意することです.
