On Tue, Oct 09, 2012 at 10:07:07AM +0200, vecna [ml] wrote:
> Che tristezza, ThunderBird. Rimani il mio MUA cmq.
>
> 2012/10/6 ZioPRoTo (Saverio Proto) <zioproto@???>
>
> inoltre, il problema ancora irrisolto della crittografia lato browser, è
> che devi necessariamente avere accesso ad una fonte di random reale. Device
> come /dev/random contengono entropia utile all'uso crittografico, perché
> collezionano bit di entropia dipendenti da tutta l'interazione che ha il
> tuo hardware. Se usi invece dei bit di entropia generati dal browser, non
> conta quanto ti sforzi: è poca, l'avversario attacca quello, che è il punto
> debole. Purtroppo è difficile misurare questa perdita di sicurezza.
>
> Questo è l'unico motivo che, per il momento, blocca il decollo della
> crittografia javascript only. E' comunque in fase di sperimentazione:
> https://developer.mozilla.org/en-US/docs/DOM/window.crypto.getRandomValues
>
Mi chiedo perche' non si possa fare un servizio https di generazione di
numeri random, con entropia forte, e con un js che fa riechieste https,
passa un seed (che quindi e' personale del browser) e restituisce numeri
random di un certo valore.
Non credo sia difficile ne da implementare come servizio, ne tantomeno
da implementare in safegmail o chicchessia.
no?
potrebbe esssere un bel servizio da esporre alla comunita'
--
Robert J. Newmark
