Mailing List Manager wrote: > ----- Forwarded message from Dario Lombardo <dario.lombardo(at)libero.it> > ----- > From: Dario Lombardo <dario.lombardo(at)libero.it> > To: ml(at)sikurezza.org > Subject: Re: [ml] Smart Card, GnuPg e Linux > > ... > lui la chiave internamente. La chiave non e' in alcun modo esportabile e > le operazioni crittografiche vengono svolte direttamente dalla card. > Puoi usare comandi tipo generate_keys(), crypt(DATA), decrypt(DATA), > sing(DATA) ecc, ma non puoi accedere alla memoria interna della carta. > Ogni tentativo di effrazione della carta e' destinato a fallire. Alcune > carte implementano addirittura dei meccanismi "tamper proof" cioe' se > tenti di pacioccare la carta (smontare il chip, raschiarlo, estrarre > fisicamente la memoria) le carte distruggono il contenuto.
Parlando con Werner Koch (autore gpg) mi diceva che l'attrezzatura per leggere i dati nascosti nella smart card (quella che vende lui, ma a quanto ho capito anche le altre) ha un costo intorno ai 10 mila euro. Richiede di avere il possesso fisico della carta (non e' un attacco tramite l'interfaccia di comunicazione). Non sono un esperto in materia per cui riporto solo le sue parole. Inoltre, anche se potrebbe non essere molto pertinente, la maggior parte dei lettori di smart card USB non ha una tastiera (solo la fessura per la carta) quindi la digitazione delle password avviene su una macchina che potrebbe essere compromessa con un keylogger. Non che la perdita di segretezza della password annulli del tutto l'effetto della smart card, pero'... My 2 cents, E. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
