Sinceramente ? manco mi sono preoccupato della crittografia che è stata
scelta, figurati dell'implementazione. Farci riflessioni sopra richiede un
po' di ore, che al momento non avevo.
Ciò nonostante...
Per anni si è lavorato su strumenti che venivano prima resi sicuri d'essere
resi usabili (se venivano resi usabili, perché trasformare un'operazione da
command line ad una con le finestre, non per forza vuol dire renderli
usabili), l'effetto è stato di avere una comunità di utenti che anziché
ingrandirsi si è rimpicciolita. perché il costo umano per usare ste
tecnologie era troppo alto.
questo vuol dire usare tech insicure ? no, semplicemente che anche i
prodotti che sono disegnati "security in mind" hanno vulnerabilità e
vengono trovate negli anni, grazie al processo di audit. senza processo di
audit non si divena sicuri, e questo vale se il soggetto è openssl o
cryptocat.
Quindi se entrambe le tipologie di sw devono passare tramite audit per
essere ritenuti sicuri, preferisco quelli che hanno come primo risultato
l'essere usabili da una comunità ampia. Che abbiano UX in cui non serve
fare un click in più rispetto l'equivalente commerciale.
visto che senza avere utenti non si sta ottenendo alcun cambiamento, allora
una tecnologia che nasce con lo scopo di coprire una grande quantità di
utenti, per me è una buona notizia a priori. poi l'audit arriverà, e con
esso i miglioramenti di security se necessari.
2014-07-25 12:32 GMT+02:00 bolo <bolo@???>:
> On 25/07/2014 11:25, brno wrote:
>
> > utilizza NaCl (tweetnacl) e la sua crypto_box, che fortunatamente fa
> > encrypt ed auth. dalla priv key (derivata da scrypt e quindi dalla
> > passprase) fa crypto_scalarmult_curve25519_base() per generare la pub
> > key dalla priv.
> > il problema che faceva emergere giulia e' che se leggi il report
> > dell'audit veniva addirittura usato un salt statico embeddato nel
> codice...
> >
>
> Avete ragione non avevo letto
> http://minilock.io/files/cure53.pdf
>
> > ad ogni modo come autentica l'id receiver? usare GPG in modo corretto e'
> > complicato, forse, ma non e' con la semplicita' che offre minilock che
> > si risolve il problema, ha solo eliminato la parte complicata di gpg
> > sostituendola col nulla..
>
> Si, a quanto ho capito esso ha implementato solo la parte di cifratura e
> non quella di firma, o sbaglio?
>
>
>
> --
> openpgp ID 0x9F5767D1
>
> _______________________________________________
> Hackmeeting mailing list
> Hackmeeting@???
> https://www.autistici.org/mailman/listinfo/hackmeeting
>
>
--
This account is intended for mailing list only. Personal email via:
vecna at globaleaks dot org