Web-Plattform "Mylar": MIT-Forscher entwickeln sichere Web-Services

[Postmaster]

Das Thema Datensicherheit ist brisant, vor allem im Netz. Hier gibt es schließlich nicht nur Kriminelle, die Nutzerdaten stehlen wollen, sondern auch Geheimdienste von Regierungen, die Anwender ausspionieren. Genau damit soll in Zukunft allerdings Schluss sein, denn Forscher des renommierten Technologie-Instituts MIT haben eine spezielle Plattform namens "Myra" entwickelt, bei der alle Daten stets verschlüsselt sind, solange sie sich nicht auf dem Rechner der Anwender befinden.

Weiterlesen: Web-Plattform "Mylar": MIT-Forscher entwickeln sichere Web-Services

 

[Simlog]

Hmm klingt interessant, aber irgendwie muss der Schlüssel ja auch gesendet werden und solange der nicht per Post kommt, hat es die NSA und Co. jetzt nicht so schwer das Ding zu knacken...

 

[eXecUTe]

Interessant an "Mylar" ist eigentlich die Tatsache, dass die Performance relativ hoch sein soll (in dem verlinkten Artikel wird von einer Suche durch die Daten gesprochen, die durch den User vorgenommen werden kann - also sehr schnelles entschlüsseln.). Ansonsten ist es, wie auch im Artikel keine Neuheit. "Mega" der Nachfolger von Mega Upload benutzt z.B. ein ähnliches System. Die Verschlüsselung findet per JavaScript im Browser statt und es werden nur verschlüsselte Daten an den Mega Server übertragen. Ähnlich scheint es mit Mylar auch zu sein.

Wohingegen ich der Meinung bin, dass ein Keysharing (also das nutzen von den gleichen Daten mit mehreren Personen) wieder ein Risiko darstellt, weil so durch eine dritte Partei die Keys verwaltet werden.

@Simlog: deine Aussage ist also nur dann valide, wenn man bedenkt, dass mehrere Personen auf den gleichen Datenbestand zugreifen wollen. Solange du aber den Service alleine nutzt, sind die von dir genannten Bedenken nicht zutreffend. 🙂

 

[Simlog]

Aber wenn ich irgendwas verschlüsselt empfange/sende, muss ja auch der passende Schlüssel mitkommen/-gehen und wenn der abgefangen wird, kann man die Datei im Prinzip auch unverschlüsselt verschicken. Dazu muss ja nicht zwingend eine dritte Partei am Werke sein oder doch?

 

[pdelvo]

@Simlog Es gibt anderer Wege zu prüfen ob jemand einen Schlüssel hat ohne ihn zu senden oder zu kennen. Stichwort asymetrische Verschlüsselungsverfahren. Und das Filesharing kann man mit einem Hybriden Verfahren Halb Asymetrisch/Halb symmetrisch in den Griff bekommen. Man schickt die Daten symmetrisch verschlüsselt zusammen mit jeweils einem zufälligen symmetrischen Schlüssel, welcher dann für jeden Empfänger einmal mit dessen öffentlichen Schlüssel verschlüsselt wird. Das ist dann sehr sicher und trotzdem Effizient

 

[Simlog]

Und arbeitet die Plattform so?

 

[eXecUTe]

@Simlog: pdelvo leigt da schon richtig. Trotzdem: So wie es z.B. Mega macht (und scheinbar auch Mylar) werden die Daten zu 100% lokal verschlüsselt und entschlüsselt, der Server empfängt ausschließlich verschlüsselte Daten. Das bedeutet, dass dein Schlüssel nie deinen Computer verlässt und deine Daten somit auch nicht von dem Serverbetreiber gelesen werden können. Durch unterschiedliche Verfahren (wie von pdelvo beschrieben) gibt es da noch weitere Möglichkeiten.

Siehe:

http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
http://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch

 

[Simlog]

Ok, um ehrlich zu sein, übersteigt das jetzt etwas meinen Horizont, aber wenn der Schlüssel immer bei mir bleibt, wie genau kann sich die Daten dann jemand anderes ansehen? Das macht ja durchaus Sinn bei privaten Daten, aber wenn ich mit jemand Daten austausche, soll der diese ja auch lesen können oder nicht?