----- Forwarded message from Dario Lombardo <dario.lombardo(at)libero.it> ----- From: Dario Lombardo <dario.lombardo(at)libero.it> To: ml(at)sikurezza.org Subject: Re: [ml] Smart Card, GnuPg e Linux
Noiano wrote: >Io sono sicuro al 100% che la chiave ? presente _solo_ sul mio pc. >Pertanto se la trasferisco sulla carta e poi la cancello in maniera >accurata (bcwipe o wipe su linux) non vedo quale sia il problema. >Cosa non sto considerando? :-\ > L'errore consiste nel meccanismo pensato per generare la chiave. Una smart card crittografica non e' uno storage di chiavi. E' un disposivito intelligente (cioe' ha a bordo un processore crittografico) che genera lui la chiave internamente. La chiave non e' in alcun modo esportabile e le operazioni crittografiche vengono svolte direttamente dalla card. Puoi usare comandi tipo generate_keys(), crypt(DATA), decrypt(DATA), sing(DATA) ecc, ma non puoi accedere alla memoria interna della carta. Ogni tentativo di effrazione della carta e' destinato a fallire. Alcune carte implementano addirittura dei meccanismi "tamper proof" cioe' se tenti di pacioccare la carta (smontare il chip, raschiarlo, estrarre fisicamente la memoria) le carte distruggono il contenuto. Ecco perche' il sistema che proponi (genero la chiave e la salvo) poco ha a che fare con una SC crittografica. Tu vuoi usare una SC come uno storage, al pari di una chiave usb. E' un uso lecito, certo, ma lo fai con una SC non crittografica. Nel "mondo di star trek" dove i pirati sono ovunque e non puoi fidarti di nulla, se generi la chiave sul tuo PC potresti essere gia' sotto attacco (per esempio da parte di trojan/spyware installati preventivamente). Fare delle assunzioni tipo "il mio pc e' sicuro quindi la chiave generata li' e' sicura" e' un grosso errore di valutazione. -- Dario Lombardo The thrill of the hack is not in breaking the law, it's in the pursuit and capture of knowledge. ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
