Stefano Zanero wrote: >> Io aggiungo pure: perché il programmino di gestione delle smartcard eToken >> di Aladdin prevede esplicitamente la funzione di "IMPORT" di un certificato, >> se questa è un'operazione così contraria alla logica di una smartcard, come >> si è detto? > > Perche' e' un'opzione (evidentemente, dal thread) molto gradita > all'utente/compratore.
L'opzione esiste perché le smart card con la possibilità di generare la chiave a bordo sono le "ultime arrivate", seppure ormai da parecchio tempo. Il concetto però nel frattempo si è radicato ed è difficile levarlo :( Non è un problema di intelligenza, ma di avere a bordo un generatore di numeri casuali decente, cosa che le prime smart card non avevano, pur avendo l'intelligenza necessaria per i calcoli. Ricordo interminabili discussioni su fantomatici "totem" che dovevano generare le chiavi in modo sicuro e installarle sulle smart card degli utenti/cittadini... Riguardo all'attrezzatura da 10.000 euro, mi permetto di essere scettico. È vero che esiste tutta una letteratura di attacchi alle smart card, ma è anche vero che quelle buone dovrebbero avere delle contromisure altrettanto note. Fra l'altro, le smart card sono uno dei pochi strumenti per i quali esistono dei protection profile decenti, che tengono appunto conto dei suddetti attacchi e che, incredibilmente, sono anche utilizzati (i protection profile). Naturalmente di solito l'utente/acquirente di queste problematiche non ha visibilità, per cui magari alla prova pratica molti dei prodotti esistenti fanno la figura fatta tempo fa dai lettori di impronte digitali, ma sarebbe utile prima sapere cosa dovrebbe fare questa attrezzatura e contro quali smart card funziona. ciao - Claudio -- Claudio Telmon [EMAIL PROTECTED] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
