On 05/27/2014 09:55 AM, danimoth wrote: > Mi fa pensare che, per chi non ha PGP, venga usato un segreto che poi > verrà memorizzato sul server, e passato al computer client usando SSL. > L'approccio rende inusabile il tutto (non è più end-to-end, occorre > fidarsi del loro server). E' corretto?
Penso di no. Non ricordo in quale parte del sito, ma mi pare che in quel caso prevedano una cifratura simmetrica, in cui il segreto/chiave dovrebbe essere concordato fra le due parti mediante un side channel (ovvero, si mettono d'accordo prima per telefono). Il che non è in contrasto con l'uso, come strumento di cifratura e codifica, di openpgpjs. La mia è comunque sempre una speculazione sulla base delle info sul sito, non l'ho provato. -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
