Il 28.07.2014 23:04 brno ha scritto:
> anyway
> http://blog.cryptographyengineering.com/2014/07/noodling-about-im-protocols.html
il tuo è un link a smazzo ma relativamente centrato
>
> Il 28/lug/2014 14:40 =?UTF-8?B?yaPEmcaIxp7EhQ==?=
> <vecnamcclaudio@???> ha scritto:
>>
>> 2014-07-28 12:47 GMT+02:00 bolo <bolo@???>:
>>
>> > Come faceva notare boyska, lo scambio della chiave e' alla base della
>> > crittografia classica e moderna.
>> >
>> >
>> diciamo che quello che serve è "garantire che una chiave/ID sia
>> effettivamente della persona che dice di essere". che non è diverso
>> dal
>> affidarsi ad un hidden service, o ad un certificato SSL se non è
>> firmato da
>> una certification authority. Questa garanzia avviene con una verifica
>> out
>> of band (OOB), cioè non fatta nello stesso canale dello scambio di
>> chiavi
>> (verifichi il fingerprint, importi la chiave).
>>
>> Per risolvere questo problema, quindi identificare l'umano dall'altra
>> parte, che sia davvero l'umano che dice di essere, c'è il SMP
>> http://en.wikipedia.org/wiki/Socialist_millionaire che non può
>> funzionare
>> con i servizi, ma solo con gli esseri umani che probabilemtne hai già
>> conosciuto (vagamente simile al concetto di ZRTP key verification: se
>> conosci la voce dell'altro, le due paroline derivate dalla chiave DH
>> negoziata, sono le stesse)
questo già va fuori teme, allora aggiungo il mio,dopo le indecenti
parole
sul design (alias brute force o paccheto e mail marketing che legge
quello che
c è sottoterra a ogni numero civico californiano nsa stile proposta
indecente
di Jaromil):
http://www.d3lab.net/index.php/blog/180-shell-nascosta
scusate ma davvero ancora credete che basta il silenzio per impaurirlo?
pishing che è meglio
questo è a tema e lo numero:
[1]
>> il MITM, l'attacco per cui le verifiche si fanno OOB, è un problema
>> che
>> comunque non si è "risolto". e se si propone un meccanismo alla
>> mailpile
>> (X-PGP-Fingerprint) poi si deve avere un qualche algoritmo che validi
>> il
>> web of trust, altrimenti l'attaccante non fa altro che simulare un
>> aggiornamento della chiave (update che certamente vuoi gestire, perché
>> le
>> chiavi non sono eterne, scadono e vengono compromesse)
>>
>> sarca, non c'è ancora una soluzione definitiva, ma una buona logica
>> (applicabile anche ad enigmail) è qui:
>> https://micahflee.com/2013/12/how-i-want-mailpile-to-handle-openpgp/
e ora scusate ma vado a letto presto che se vedo l" alba magari ne becco
una con
numero di cellulare
ciao