BitTorrent odrzuca obawy związane z synchronizacją

BitTorrent odrzucił twierdzenia, że ​​popularny -to-peer Program do synchronizacji plików BitTorrent Sync ma niezabezpieczoną implementację kryptograficzną, która potencjalnie daje firmom dostęp do plików użytkowników.

Grupa badaczy bezpieczeństwa, którzy niedawno odtworzyli inżynierskie części BitTorrent Sync, opublikowała w poniedziałek raport przedstawiający kilka potencjalnych problemów związanych z bezpieczeństwem znaleźli. Najpoważniejszy z tych problemów miał związek z wyciekiem kryptograficznych skrótów, które odpowiadają folderom współdzielonym między użytkownikami na GetSync.com, zdalny serwer obsługiwany przez BitTorrent.

Analiza ujawniła "prawdopodobny przeciek wszystkich skrótów do getync. com i dostęp dla BitTorrent Inc do wszystkich współdzielonych danych ", powiedzieli naukowcy w swoim raporcie na stronie internetowej konferencji bezpieczeństwa Hackito Ergo Sum.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

To wynika ze zmiany w procedurze udostępniania folderów, która została wprowadzona po wydaniu oryginalnych wersji Sync, która wykorzystała inny, bardziej bezpieczny mechanizm, stwierdzili naukowcy Hackito. "Może to wynikać z NSL (National Security Letters, od rządu USA po firmy, aby wywrzeć presję na wydawanie kluczy lub wprowadzanie luk w zabezpieczeniach wcześniej zabezpieczonych systemów), które mogły zostać odebrane przez BitTorrent Inc i / lub programistów."

BitTorrent opublikował odpowiedź na forum społeczności, aby wyjaśnić, że centralny serwer jest właśnie po to, aby umożliwić rówieśnikom wzajemne odkrywanie się i nie odgrywa roli w rzeczywistym procesie synchronizacji, który jest szyfrowany w trybie peer-to-peer.

"Hashy folderów nie są kluczem folderów (secret)", powiedział Konstantin Lissounov, dyrektor generalny BitTorrent Sync. "Służą do odkrywania innych rówieśników z tym samym folderem. Nie można użyć skrótów w celu uzyskania dostępu do folderu; to tylko sposób na poznanie adresów IP urządzeń z tym samym folderem. "

Mechanizm dzielenia folderów między użytkownikami BitTorrent Sync opiera się na linkach do GetSync.com, które zawierają haszowanie folderów i klucze kryptograficzne, zgodnie z Hackito raport.

Jednak te linki zawierają tylko klucze publiczne, które są potrzebne, aby maszyny mogły rzeczywiście wymieniać tajne klucze, powiedział Lissounov.

"Samo łącze nie może być użyte do odszyfrowania komunikacji, ponieważ zawiera tylko publiczny klucze maszyn uczestniczących w wymianie "- powiedział. "Po ustanowieniu połączenia bezpośredniego (użytkownik może to sprawdzić, porównując odcisk palca certyfikatu dla obu partnerów) Sync przekaże klucz folderu zaszyfrowanym kanałem dla drugiego uczestnika. Ponadto klucz publiczny i skrót do folderu pojawiają się po znaku # w adresie URL, co oznacza, że ​​wszystkie nowoczesne przeglądarki nie wysyłają go nawet na serwer. "

Nie można wpłynąć na kompromis w zakresie infrastruktury publicznej obsługującej wykrywanie elementów równorzędnych. bezpieczeństwo programu Sync, który jest całkowicie zależny od implementacji po stronie klienta, powiedział Lissounov.

W celu poparcia tych twierdzeń, BitTorrent opublikował także list od iSEC Partners, firmy ochroniarskiej, która została zakontraktowana na początku tego roku, aby sprawdź implementację kryptograficzną BitTorrent Sync. Zgodnie z listem, przegląd iSEC obejmował wdrożenie programu i wykorzystanie prymityków kryptograficznych, takich jak haszowanie, szyfrowanie i generowanie losowości; kluczowy mechanizm wymiany; proces zapraszania i zatwierdzania; wykrywanie folderów przez zdalne równorzędne i możliwe ataki kryptograficzne na infrastrukturę Sync.

"BitTorrent Sync zastosował ogólnie przyjęte praktyki kryptograficzne w projektowaniu i wdrażaniu Sync 1.4 od lipca 2014 r." czytamy w liście iSEC.

Partnerzy ISEC byli również podpisane przez Open Crypto Audit Project w celu przeprowadzenia audytu kodu źródłowego TrueCrypt na początku tego roku.