On 25/07/2014 11:25, brno wrote:
> utilizza NaCl (tweetnacl) e la sua crypto_box, che fortunatamente fa
> encrypt ed auth. dalla priv key (derivata da scrypt e quindi dalla
> passprase) fa crypto_scalarmult_curve25519_base() per generare la pub
> key dalla priv.
> il problema che faceva emergere giulia e' che se leggi il report
> dell'audit veniva addirittura usato un salt statico embeddato nel codice...
>
Avete ragione non avevo letto
http://minilock.io/files/cure53.pdf
> ad ogni modo come autentica l'id receiver? usare GPG in modo corretto e'
> complicato, forse, ma non e' con la semplicita' che offre minilock che
> si risolve il problema, ha solo eliminato la parte complicata di gpg
> sostituendola col nulla..
Si, a quanto ho capito esso ha implementato solo la parte di cifratura e
non quella di firma, o sbaglio?
--
openpgp ID 0x9F5767D1