On 24/01/2015 12:19, Anathema wrote:
> http://kukuruku.co/hub/infosec/backdoor-in-a-public-rsa-key
>
> https://www.reddit.com/r/crypto/comments/2ss1v5/rsa_key_generation_backdoored_using_curve25519/
>
> ok, il titolo e` molto allarmante, ma voleva attirare l'attenzione su un
> problema che, anche se non particolarmente nocivo, mette alla luce
> (IMHO) alcuni aspetti interessanti.
>
> Come notano alcuni utenti nei due post, non e` tanto un problema che
> mette a rischio le comunicazioni tra 'privati', ma sicuramente:
>
> - azienda-dipendente: l'azienda potrebbe forgiare ad hoc le chiavi e
> reversarle, o dare la possibilita` al dipendente di generarle gia` con
> CURVE25519, avendo di fatto accesso alla privkey, con un falso senso di
> sicurezza da parte del dipendente (ma potrebbe anche essere valido un
> discorso di policy di sicurezza e management, per cui la cosa non e`
> malevola in se`)
>
> - il dubbio che qualcuno abbia introdotto questa backdoor di proposito.
> Ed allora, mi chiedo, se non ce ne siano altre in giro...
>
ciao,
senza dubbio e' un approccio molto intelligente e non e' nemmeno il
primo (
http://www.cryptovirology.com/cryptovfiles/newbook.html capitolo
10 ).
l'unica cosa che mi viene in mente e': perche' far creare le proprie
keys ad una terza parte? un po' come quei siti che ti generano numeri
random... il processo di generazione key dovrebbe essere, se possibile,
addirittura fatto su sistemi airgapped, figuriamoci farsela generare...
-g
