Volgens de cloudopslagdienst Mega is de meerwaarde van de dienst dat het gebruikers leert om bestanden versleuteld te bewaren. Oprichter Kim Dotcom zegt te hopen dat encryptie zo ook bij de doorsnee gebruiker mainstream wordt. Inmiddels wijzen experts echter op verschillende zwakheden in de encryptiemethodes die Mega gebruikt.

Het versleutelingsargument zou puur dienen om Mega een uitweg te geven als opsporingsdiensten in de opgeslagen data willen grasduinen. Die data is versleuteld en officieel wordt er geen illegaal materiaal geplaatst.

Encryptiemethode onduidelijk

Bestanden worden op de opslagdienst beveiligd met een 2048-bit sleutel. Voor het aanmaken van de key wordt het wachtwoord gebruikt en wordt er entropie toegevoegd door muisbewegingen en toetsaanslagen te verwerken. Het is niet duidelijk op welk moment dat dan gebeurt.

Tijdens het genereren van de sleutel meldt de site dat dit gebeurt om willekeurigheid toe te voegen aan de sleutel. “Moet ik m'n muis dan nu schudden of ben ik al te laat?", vraagt Lee Hutchinson van Ars Technica zich af.

Een ander probleem, waar onder meer Cnet zich zorgen over maakt, is het feit dat het wachtwoord gebruikt zou worden om een sleutel aan te maken. Dit wijst erop dat de sleutel en het wachtwoord zo verbonden zijn met de encryptie van de data dat het wachtwoord niet te wijzigen is zonder opnieuw te versleutelen. Mega's medeoprichter Bram van der Kolk laat echter aan Forbes weten dat de optie om wachtwoorden te wijzigen binnenkort aan de dienst wordt toegevoegd.

Hutchinson vindt dat er maar verdacht veel onduidelijk is over de encryptie-aanpak van Mega. Hij vraagt zich bijvoorbeeld af hoe het zit met het dedupuliceren van data. “Als Mega enkel versleutelde data ziet, wat per definitie unieke blokken zijn, hoe kunnen ze het dan dedupliceren?"

Dit is relevant als Mega ervoor wil zorgen dat de dienst kan ontkennen dat gebruikers bijvoorbeeld kopieën van films verspreiden binnen de dienst. Opsporingsdiensten zouden door de deduplicatie kunnen bewijzen dat twee gebruikers hetzelfde illegale bestand delen en daarmee hard maken dat Mega bijdraagt aan de verspreiding.

Versleuteling niet sterk

Deskundigen melden aan Forbes dat de versleuteling van Mega zeer te wensen overlaat. “Eerlijk gezegd voelt dit als iets dat ik in 2011 geschreven zou hebben terwijl ik dronken was", vertelt cryptograaf Nadim Kobeissi aan het zakenblad. Als grondprobleem noemt hij het feit dat er end-to-end versleuteling wordt toegepast zonder dat daar specifieke clientsoftware aan te pas hoeft te komen.

De encryptie van Mega wordt vanaf een server naar de browser gestuurd waar het in JavaScript wordt gedraaid, wat betekent dat de sleutel uiteindelijk niet bij de gebruiker ligt. Iemand die de server van Mega gebruikt - bijvoorbeeld een opsporingsdienst - kan deze code serverside aanpassen om de versleuteling uit te schakelen of zelfs de private key van de gebruiker te bemachtigen, vertelt Kobeissi.

Op de volgende pagina: Mega heeft geleerd van het verleden en lijkt versleuteling voornamelijk te gebruiken als manier om zich juridisch in te dekken.

De JavaScript-oplossing is vanuit een security-perspectief niet logisch, vindt ook Matthew Green, cryptografie-onderzoeker aan de Amerikaanse universiteit Johns Hopkins. Zonder clientside-software, bijvoorbeeld een browser add-on, kan de veiligheid van de code nooit aan de kant van de gebruiker worden geverifieerd. “Je moet iets hebben dat vertrouwd wordt op de computer van de gebruiker om JavaScript te checken en dat hebben ze niet", stelt Green.

Strategie of bèta-issues

Verschillende partijen proberen de vermeende beveiligingsmythe van Mega nu al te ontkrachten. Cryptograaf Steve Thomas heeft bijvoorbeeld een tool uitgebracht om Mega-accounts te kraken. De tool MegaCracker richt zich op de verificatiemail die wel eerst onderschept zou moeten worden. Mega verstuurt een link in platte tekst die eenvoudig uitgepakt kan worden en hashes bevat van het wachtwoord, de sleutel en meer.

Mega's CTO Matthias Ortmann vertelt Venture Beat dat Mega wel degelijk veilig is. Het cross-site scriptingprobleem dat eerder werd ontdekt zou al zijn opgelost en ook het wijzigen van wachtwoorden wordt binnenkort meegenomen in de ontwikkeling van de opslagdienst.

Volgens de verschillende cryptografen vallen de security-issues van Mega op twee manieren uit te leggen: of het zijn gebruikelijke bèta-issues, of het is een manier van Mega om zich juridisch in te dekken. “En als dit je juridische strategie is, zal je dat waarschijnlijk niet toe willen geven", aldus Johns Hopkins-onderzoeker Green.

Geen copyright-issues

De diverse experts denken dan ook dat de versleuteling van Mega niet zozeer dient om gebruikers daadwerkelijk te voorzien van stevige beveiliging. Cryptograaf Moxie Marlinspike vertelt Forbes dat het hele cryptografieprotocol niet belangrijk is voor de opslagdienst. “Het draait alleen om de optie voor Mega om plausibel te kunnen claimen dat ze geen methode hebben om auteursrechtelijk beschermd materiaal op hun servers te identificeren", aldus Marlinspike.

Voorganger Megaupload werd op grote schaal gebruikt om auteursrechtelijk materiaal te verspreiden, vindt de Amerikaanse overheid. Vorig jaar werd de dienst offline gehaald en de oprichters worden vervolgd. Dotcom ontkent dat Megaupload bedoeld was om piraterij in de hand te werken en stelde in november tegenover tijdschrift Wired dat de bedoeling van Megaupload juist was om een 'virtuele harde schijf' te bieden.

Particulieren, overheden en grote bedrijven gebruikten de clouddienst voor legale doeleinden. Maar Megaupload profiteerde ook van het verkeer van internetpiraten. Een rechtszaak in de VS moet uitwijzen of Dotcom en zijn collega's daar verantwoordelijk voor gehouden kunnen worden. Wel is duidelijk dat ze in de tijd dat Megaupload actief was flink hebben verdiend aan de piraterij.

Opnieuw uitwisselingsdienst

Mega meldt dat een van de toekomstige ontwikkelingen van de site is dat gebruikers elkaar versleutelde berichten kunnen sturen “om Mega's beveiligde online samenwerkingsmogelijkheden te vergroten". Hiermee wordt duidelijk dat ook Mega de functionaliteit van de nieuwe 'virtuele harde schijf' zal uitbreiden tot volwaardige een uitwisselingsdienst. Wat dan ook de ambitie is van Dotcom met Mega.

De vorige keer kwamen de oprichters met Megaupload al snel in de kijker bij de autoriteiten en Kim Dotcom werkte mee aan een onderzoek om illegale uploaders in de kraag te grijpen. Dit verzamelde bewijsmateriaal werd vervolgens tegen Megaupload gebruikt om diens servers in beslag te kunnen nemen.

Op dergelijke medewerking hoeft de FBI in elk geval deze keer niet te rekenen. In het novembernummer van Wired beklaagt Dotcom zich over de militaristische inval en de manier waarop hij, zijn familie en zijn zakenpartners als criminelen worden behandeld. Omdat zelfs de beheerders van Mega de inhoud van bestanden niet kan zien, wordt het lastig voor autoriteiten om een dwangbevel te bemachtigen om de servers in beslag te nemen. Daarnaast zorgt de versleuteling ervoor dat, mochten Mega's servers wel worden geconfisqueerd, bestanden niet in te zien zijn. Als de bèta-issues tenminste verholpen zijn.

Update 15.07 uur: Mega reageert op de vragen die gesteld worden bij de beveiliging in een uitgebreide blogpost. De makers achter de opslagdienst zijn niet onder de indruk van de kritiek. Wat deduppen van data betreft zegt Mega bijvoorbeeld dat de gegevens nog steeds niet ingezien kunnen worden en dat de versleuteling daarom in orde is. Wat het vermoeden juist lijkt te bevestigen dat de encryptie inderdaad draait om het juridisch indekken.

Wat JavaScript-encryptie betreft, zegt Mega een methode te gebruiken die afdoende beschermt tegen een eventuele man-in-the-middleaanval. Bovendien zou een partij die SSL-stripping inzet om zo'n kraak op poten te zetten wel boeiendere doelwitten kunnen bedenken, vinden de mensen achter Mega. En over de tool MegaCracker meldt de blogpost dat dit een uitstekende herinnering is om geen zwakke wachtwoorden te gebruiken.