News
22.04.2014, 11:58 Uhr
Wie sicher sind «sichere» Cloud-Dienste?
Computerwissenschaftler der Johns Hopkins University haben eine mögliche Lücke im Umgang mit der Verschlüsselungstechnik in «sicheren» Cloud-Storage-Diensten, darunter auch in Wuala, entdeckt. Der Schweizer Service hat auf Anfrage bereits Stellung genommen.
Cloud-Storage-Dienste, die sich als besonders sicher präsentieren, weil alle Daten vor der Speicherung in der Cloud von einem Benutzer-Client verschlüsselt werden, könnten in gewissen Fällen doch vom Anbieter mitgelesen werden.
Zu diesem Schluss kommen zwei Computerwissenschaftler der Johns Hopkins University, welche ihre These anhand dreier Dienste, darunter auch dem Schweizer Online-Service Wuala, in einem kürzlich veröffentlichten Paper (PDF) belegen.
Gefälschte Zertifikate als Hintertür
Laut den Autoren der Studie, Duane Wilson und Guiseppe Ateniese, ist es zwar kaum möglich auf Dokumente in diesen Diensten zuzugreifen, wenn diese vom Anwender dort abgelegt und auch wieder heruntergeladen erden, da die Verschlüsselung jeweils im Client des User stattfinde und die Betreiber des Services keinen Zugriff hätten.
Eine Möglichkeit bestünde aber dann, wenn die Anwender per Link ein Dokument oder einen Ordner mit anderen Anwendern im Internet teilen würden. Hier könnten die Cloud-Anbieter rein theoretisch die Dokumente entschlüsseln, indem sie gefälschte Zertifikate ausstellten, welche wiederum für die Verschlüsselung zwischen Link-Sender und -Empfänger dienten. Allerdings gehen Wilson und Ateniese davon aus, dass diese Schnüffel-Möglichkeit bislang noch nicht genutzt worden sei.
Wuala ein Sonderfall
Wie Wuala-Pressesprecher Gianluca Pirrera auf Anfrage von PCtipp erklärt, sei die Untersuchung der beiden Computerwissenschaftler interessant, aber in Bezug auf den eigenen Dienst «nicht vollständig korrekt». «Gemäss dem Bericht könnten wir bei geteilten Dateien eine Man-in-the-Middle-Attacke durchführen und so vielleicht an Daten unserer Kunden kommen. Allerdings geht dieser Bericht davon aus, dass der Schlüssel zum Teilen von Dateien durch einen Server generiert wird, was nicht der Fall ist. Beim Sharing wird ein Key vom lokalen Wuala-Client generiert und kann vom Benutzer selbstverständlich geändert werden», erklärt Pirrera. Es sei ihnen demnach nicht möglich, Zugriff auf die Daten zu erhalten oder einen Angriff durchzuführen, betont er.
21.06.2014
22.06.2014