O româncă îi înfruntă pe spionii de la NSA chiar la ei acasă

[Nytro]

O românc? îi înfrunt? pe spionii de la NSA chiar la ei acas?

3 aprilie 2014, 09:16 de Vlad Andriescu

Citeste mai mult: adev.ro/n3fznl

3 aprilie 2014, 09:16 de Vlad Andriescu

Raluca Ada Popa a terminat MIT ?i a lucrat în echip? cu al?i trei studen?i ?i trei profesori pentru Mylar, softul care poate fi folosit pentru a crea aplica?ii web care cripteaz? datele. Simplu, Mylar reu?e?te s? ascund? conversa?iile ?i datele noastre, care pot fi decriptate doar pe calculatorul personal. Pe internet, acestea sunt criptate. Dac? un guvern sau un hacker ar încerca s? fure datele, am fi notifica?i. Sistemul nu e perfect, dar ar putea fi unul dintre cele mai bune.

„Multe lucruri sunt diferite la Mylar. Po?i s? distribui datele, într-o aplica?ie de chat. De asemenea, poate fi introdus în domeniul medical. Pacien?ii pot s? împart? datele lor cu doctorii f?r? fric?. În Mylar po?i s? spui exact ce va fi criptat”, explic? Raluca. Practic, în momentul trimiterii unui mail, numai noi vedem acele informa?ii. De ce sunt citite datele ?i suntem atât de vulnerabili?

„Codul care ruleaz? în browser vine de la un server. Guvernele sau hackerii injecteaz? cod mali?ios ?i fur? cheile de acces. Pân? acum nu exista protec?ie. În cazul nostru, putem s? verific?m dac? exist? cod corupt”, spune Raluca Popa.

Am întrebat-o pe Raluca: poate un guvern s? primeasc? datele de la o companie care folose?te Mylar, pe baza unei cereri legale? Ei bine da, poate s? primeasc? datele, dar dac? ast?zi Facebook ?i Google ofer? o list? întreag? de conversa?ii deschise, cu Mylar NSA sau orice serviciu de spionaj ar primi practic o cutie închis?. Dac? o deschid, vom ?ti acest lucru. „Cu Mylar, niciodat? serverul nu va primi datele decriptate, chiar dac? guvernul ob?ine controlul complet”.

Articol complet: O românc? îi înfrunt? pe spionii de la NSA chiar la ei acas? | adevarul.ro

[endemic]

Mylar is a platform for building secure web applications.

Web applications rely on servers to store and process confidential information. However, anyone who gains access to the server (e.g., an attacker, a curious administrator, or a government) can obtain all of the data stored there. Mylar protects data confidentiality even when an attacker gets full access to servers. Mylar stores only encrypted data on the server, and decrypts data only in users' browsers. Simply encrypting each user's data with a user key does not suffice, and Mylar addresses three challenges in making this approach work. First, Mylar allows the server to perform keyword search over encrypted documents, even if the documents are encrypted with different keys. Second, Mylar allows users to share keys and data securely in the presence of an active adversary. Finally, Mylar ensures that client-side application code is authentic, even if the server is malicious. Results with a prototype of Mylar built on top of the Meteor framework are promising: porting 6 applications required changing just 35 lines of code on average, and the performance overheads are modest, amounting to a 17% throughput loss and a 50 msec latency increase for sending a message in a chat application.

Mylar

https://github.com/muhammadn/mylar

Dar guvernele targeteaza in mod special userii, nu serverele. Ce mai faci daca interlocutorii "pierd" cheile private?

Edited April 3, 2014 by endemic

[Nytro]

The fuck?

"First, Mylar allows the server to perform keyword search over encrypted documents, even if the documents are encrypted with different keys."

[bcman]

The fuck?

"First, Mylar allows the server to perform keyword search over encrypted documents, even if the documents are encrypted with different keys."

Isn't that supposed to be impossible?

[yoyois]

Isn't that supposed to be impossible?

Am mai auzit de "aceasta minunata tehnologie" pe la firmele de cloud.

Din cate am inteles eu exista un "master-key" care ar permite serverului sa decripeze fisierele(cica partial) si sa efectueze un search..

And that's kind of bullshit. Atunci oricine are access la serverul cu master-key poate decripta tot

Acum: Nu inteleg complet tehnologia prezentata in acest articol ... deci sa asteptam si sa vedem..

[bcman]

Cum se poate decripta ceva doar par?ial? Iar acel master-key nu este defapt cheia de criptare?

[M2G]

Probabil poti seta ceva metainformation care se cripteaza cu o cheie care e serverwide si la search se decripteaza metainfo cu acea cheie si se returneaza ceva rezultate. Astfel ca nu se cauta in contentul fisierului ci in acele meta information.

Asta ar presupune sa adaugi fiecarui fisier/folder acele informatii cumva manual.

E doar o presupunere, altfel nu prea pot sa-mi explic.