Leyendo opiniones sobre Mega.co.nz, el nuevo servicio de almacenamiento en línea de Kim Dotcom, lanzado ayer, me doy con algunos importantes detalles a tener en cuenta.
El primero es el asunto de la contraseña, Mega no pide confirmar la contraseña (password) cuando se crea una cuenta, y no almacena las contraseñas, de modo que si uno la pierde, no hay ninguna forma de recuperar la misma. El sistema de ayuda del servicio informa que “desafortunadamente su contraseña MEGA no es sólo una contraseña – es la clave de cifrado principal para todos sus datos. Si la pierde, se pierde el acceso a todos los archivos que no están en una carpeta compartida y que no tienen ningún fichero previamente exportado o la llave de la carpeta”. La contraseña se usa para generar de forma indirecta las llaves para cifrar y descifrar los archivos que se suben.
Todas las operaciones criptográficas simétricas están basados en AES-128. Funciona en modo de encadenamiento de bloques de cifrado para el archivo y bloques de atributos de carpeta y en el modo de contador de los datos del archivo.
En el cifrado simétrico la misma clave se utiliza para cifrar y descifrar los datos, lo que es menos seguro que el cifrado asimétrico (donde una clave cifra y descifra una clave diferente), pero es más rápido y más fácil de implementar.
La clave utilizada para cifrar sus archivos y carpetas Mega se almacena en los servidores de Mega, en lugar de en el equipo local. La misma clave se guarda encriptada usando la contraseña de su cuenta. Se está señalando que no parece haber ningún mecanismo de recuperación de contraseña en cualquier lugar de las pantallas de Mega o de inicio de sesión, ni ningún método para cambiar la contraseña en el panel de control de usuario. Debido a que la principal clave AES-128 se aloja con su contraseña, recordar la contraseña es vital. Perderla significa que no sólo pierden la capacidad de iniciar sesión en el servicio, se pierde la capacidad para descifrar los archivos, y punto.
Todas las operaciones criptográficas simétricas están basados en AES-128. Funciona en modo de encadenamiento de bloques de cifrado para el archivo y bloques de atributos de carpeta y en el modo de contador de los datos del archivo.
En el cifrado simétrico la misma clave se utiliza para cifrar y descifrar los datos, lo que es menos seguro que el cifrado asimétrico (donde una clave cifra y descifra una clave diferente), pero es más rápido y más fácil de implementar.
La clave utilizada para cifrar sus archivos y carpetas Mega se almacena en los servidores de Mega, en lugar de en el equipo local. La misma clave se guarda encriptada usando la contraseña de su cuenta. Se está señalando que no parece haber ningún mecanismo de recuperación de contraseña en cualquier lugar de las pantallas de Mega o de inicio de sesión, ni ningún método para cambiar la contraseña en el panel de control de usuario. Debido a que la principal clave AES-128 se aloja con su contraseña, recordar la contraseña es vital. Perderla significa que no sólo pierden la capacidad de iniciar sesión en el servicio, se pierde la capacidad para descifrar los archivos, y punto.
Se ha informado que el cifrado a partir de la contraseña implica la imposibilidad de cambiar la contraseña de usuario sin descartar las llaves para descifrar. Por lo que uno debería quedarte "para siempre" con una única contraseña, algo que suena hasta feo.
En el lamentable caso que alguien descubra y utilice la contraseña elegida por Ud. y se tome su cuenta, la usurpe, no hay ninguna manera de recuperar la cuenta y desalojar al usurpador. Quedaría como única manera de proteger los datos el borrarlos de Mega.
También se informa que no es posible hacer streaming de archivos almacenados en Mega, debido a que el “modelo de encripción de extremo a extremo por sí excluye cualquier manipulación del lado del servidor de datos, que serían necesarios para implementar esta característica”.
Otro tema que se señala como conflictivo es que el sistema de encriptado y descifrarlo hace muy difícil saber si el contenido subido por un usuario es o no legal, y no podría saber si se comente alguna infracción, a menos que se "le indique directamente qué es lo que está violando el copyright, incluyendo el enlace y la llave para descifrar el archivo". De ésta manera, Mega no podría ser señalado de ser responsable de “facilitar” nada, porque no puede saber qué es ilegal y qué no. Muy vidrioso el tema.
Como lo dijimos ayer, "estar con todas las luces prendidas en el caso de decidir usar el servicio". No me convence.
Fuentes:
Mega.co.nz inicia sus servicios con algunas dificultades. 20/01/2013.
Fuentes:
- Cuidado con tu contraseña: El cifrado de Mega. FayerWayer.
- Mega users: If you're hacked once, you're hacked for life. ZDNet.
- Megabad: A quick look at the state of Mega’s encryption. ars technica.