On 25/07/2014 10:41, bolo wrote:
> On 24/07/2014 22:32, 朱莉娅 酷 wrote:
>>> javascript vabbè, è una necessità.
>>> mentre la facilità d'uso, è l'unica cosa che conta, sempre, comunque,
>>> ovunque
>>
>> e tipo la crittografia, ce l'ha un'importanza? non dico che lo deve progettare schneier, ma almeno sapere a cosa serve un salt?
>> _______________________________________________
>
>
> Dal link di Vecna si legge che il sistema si basa sulla aritmetica a
> curve ellittiche che porta il vantaggio di poter utilizzare chiavi piu'
> piccole a parita' di sicurezza. Se ad esempio per un uso sicuro in RSA
> si usa una chiave a 2048 bit con le curve ellittiche ne basta una da 200.
> In piu' se e' vero che :
>
> "From that passphrase, the program derives a public key, which it calls
> a miniLock ID, and a private key, which the user never sees and is
> erased when the program closes."
>
> il sistema si ispira un po' al OneTimePad.
> A questo punto sarebbe bello sapere a quale crittosistema esistente si
> e' ispirato (ElGamal?)
utilizza NaCl (tweetnacl) e la sua crypto_box, che fortunatamente fa
encrypt ed auth. dalla priv key (derivata da scrypt e quindi dalla
passprase) fa crypto_scalarmult_curve25519_base() per generare la pub
key dalla priv.
il problema che faceva emergere giulia e' che se leggi il report
dell'audit veniva addirittura usato un salt statico embeddato nel codice...
ad ogni modo come autentica l'id receiver? usare GPG in modo corretto e'
complicato, forse, ma non e' con la semplicita' che offre minilock che
si risolve il problema, ha solo eliminato la parte complicata di gpg
sostituendola col nulla..
b.
