http://kukuruku.co/hub/infosec/backdoor-in-a-public-rsa-key
https://www.reddit.com/r/crypto/comments/2ss1v5/rsa_key_generation_backdoored_using_curve25519/
ok, il titolo e` molto allarmante, ma voleva attirare l'attenzione su un
problema che, anche se non particolarmente nocivo, mette alla luce
(IMHO) alcuni aspetti interessanti.
Come notano alcuni utenti nei due post, non e` tanto un problema che
mette a rischio le comunicazioni tra 'privati', ma sicuramente:
- azienda-dipendente: l'azienda potrebbe forgiare ad hoc le chiavi e
reversarle, o dare la possibilita` al dipendente di generarle gia` con
CURVE25519, avendo di fatto accesso alla privkey, con un falso senso di
sicurezza da parte del dipendente (ma potrebbe anche essere valido un
discorso di policy di sicurezza e management, per cui la cosa non e`
malevola in se`)
- il dubbio che qualcuno abbia introdotto questa backdoor di proposito.
Ed allora, mi chiedo, se non ce ne siano altre in giro...
--
Anathema
+--------------------------------------------------------------------+
|GPG/PGP KeyID: CFF94F0A available on http://pgpkeys.mit.edu:11371/ |
|Fingerprint: 80CE EC23 2D16 143F 6B25 6776 1960 F6B4 CFF9 4F0A |
| |
|http://www.msack.org |
+--------------------------------------------------------------------+
