オンラインストレージ「MEGA」、セキュリティー面での批判に反論

headless 曰く、　20日にサービスを開始したオンラインストレージ「MEGA」は注目を集め(/.J記事)、最初の24時間で100万件以上のユーザーがサインアップしたそうだ。当初はアクセスが集中してサーバーが応答しなくなることもあったが、現在は安定して利用できるようになっている。その一方で、セキュリティーに関する問題点が複数指摘されているが、これに対する反論がMEGAのブログに掲載されている(MEGAのブログ記事、TorrentFreakの記事、本家/.)。

　MEGAでは暗号化に使用するキーをサーバー側に保存しており、マスターキーはユーザーのパスワードで暗号化されている。そのため、パスワードを第三者に知られるとアップロード済みの全ファイルにアクセスが可能となる一方、パスワードを忘れると事前に共有キーなどをエクスポートしていない限り全ファイルが読み取れなくなってしまう。すでに「MegaCracker」というクラックツールが公開されており、単純なパスワードを設定している場合は簡単にクラックできてしまうが、現在のところパスワードを変更することもできない。これに対し、MEGAでは今後パスワードの変更機能を追加する予定だとしている。

　また、Webブラウザーベースで暗号化を行うため、SSLが破られればMEGAのセキュリティーも破られるとの指摘もある。特に、MEGAのSSLサーバーでは1024ビットの暗号化を使用しており、暗号強度が不十分だという。これに対してMEGA側は、2048ビットの暗号化を使用するサーバーから送られるJavaScriptコードで、1024ビットの暗号化を使用するサーバーから送られるコードをチェックするので問題ないと主張している。SSLを破ることができるなら、MEGAよりも面白いものを破ることができるとも述べている。

　ほかにもさまざまなセキュリティー面での問題点が指摘されているが、キム・ドットコム氏はセキュリティーについての議論を歓迎すると述べており、賞金を出す計画もあるとのことだ。

　スラッシュドットのコメントを読む | セキュリティセクション | ビジネス | セキュリティ | クラウド | インターネット | ストレージ

　関連ストーリー：
キム・ドットコム氏の新サービス「Mega」、無償で50GBのオンラインストレージを提供 2013年01月19日
Megaupload創設者による無料ブロードバンド敷設計画、資金は米国政府とハリウッドへの訴訟で獲得？ 2012年11月07日
Megauploadが新サイト「Mega」として来年復活予定。ドメイン取得済み 2012年11月04日