机构名称:
¥ 1.0
摘要 - NextCloud是一个领先的云存储平台,拥有超过2000万用户。NextCloud提供了端到端加密(E2EE)功能,该功能据称能够“即使在完整的服务器漏洞中,也可以完全敏感的数据完全安全”。他们还声称NextCloud Server“具有零知识,也就是说,从未以未加密形式访问任何数据或密钥”。这是通过使用仅适用于NextCloud客户端可用的文件键进行的加密和解密操作来实现的,而这些文件键则由键层次结构保护,最终依赖于专门针对用户已知的长密码。我们提供了NextCloud E2EE功能的第一个详细文档和安全性分析。NextCloud的强大安全要求激励在服务器本身被认为是恶意的环境中进行分析。我们在此设置中提出了针对该功能的三个不同的攻击。每个用户文件都可以妥协所有用户文件的机密性和完整性。所有三项攻击都是完全实用的,我们已经为每种攻击建立了概念验证实现。这些漏洞使恶意的NextCloud服务器访问和操纵用户的数据很琐碎。我们已经负责任地向NextCloud披露了三个漏洞。第二和第三漏洞已被修复。第一个是通过从E2EE功能中临时删除文件共享功能来解决的,直到可以重新设计该功能为止。我们反思了可以为E2EE系统设计师学习的更广泛的教训。
与小心分享:在NextCloud中打破E2EE
主要关键词
相关文件推荐
