Ci sono recensioni o esperienze utente con Secretsync?

1

Non sono stato in grado di trovare molto in termini di recensioni professionali per Secretsync - link

Ma mi chiedo come si paragona a Boxcryptor e TrueCrypt. Quanto è sicuro Secretsync davvero?

    
posta hwp08 19.01.2012 - 20:11
fonte

1 risposta

2

È abbastanza semplice capire SecretSync, secondo me. Sembra che abbiano bisogno di Java e che HOPES stia utilizzando le librerie crittografiche incorporate per fornire la loro crittografia a chiave simmetrica AES a 256 bit anziché implementare la propria implementazione.

TUTTAVIA, non sono sicuri come potrebbe richiedere.

Secondo le loro FAQ , fanno una delle due cose:

  1. Fornisci una chiave di crittografia
  2. Permetti di ricavarne uno da una passphrase usando PBKDF2.

Se ti danno una chiave, allora conoscono la chiave, ma non hanno accesso ai tuoi file (DropBox è il mezzo di distribuzione file). Se si utilizza la propria passphrase, allora ANCORA usano la propria chiave, ma diventa un valore salt per la chiave generata dalla funzione PBKDF2.

Quindi non sembrano utilizzare una chiave diversa per file, ma piuttosto una chiave per tutti i file. Questo normalmente non sarebbe un problema con AES, ma soffre di problemi associati a tutte le altre carenze del loro modello.

Avere generato una chiave simmetrica Per te è un problema indipendentemente dalla relazione asimmetrica tra secretsync e dropbox. Mi piacerebbe sapere quale sicurezza l'organizzazione ha sulla propria estremità.

Secondo le domande frequenti, sembrano essere suscettibili a un rifiuto del servizio (indipendentemente da come lo fanno girare): "Sarò in grado di decodificare i miei file se il servizio non è più disponibile?"

Inoltre, poiché l'account è accessibile dal Web, qualsiasi numero di attacchi di social engineering può consentire la modifica della password dell'account SecretSync tramite l'accesso all'indirizzo email dell'account. Avere accesso a questo account significa che hai accesso alla chiave segreta dal loro server. Ciò sarebbe più difficile da accedere se si genera la propria chiave, ma la complessità della funzione è ridotta da quella di trovare una chiave AES da 256 bit a una delle password (o frasi) forzanti brute. Sappiamo che gli umani sono l'anello debole della sicurezza. Avere accesso a UN file crittografato, oltre all'accesso alla relativa chiave generata dal server, significa che puoi decodificare qualsiasi file desiderato (con una possibile sfida laterale di dover forzare prima la brute-force della password dell'utente che potrebbe avere impostato al momento della registrazione).

Inoltre, non è chiaro per me cosa succede se è necessario modificare la password sulla chiave. Ricalcificano tutto? Anche questa è una carenza.

    
risposta data 19.01.2012 - 20:40
fonte

Leggi altre domande sui tag