Ad occhio mi sembra un articolo un po' tirato via (anche se letto con la digestione appesantita da fritto di pesce, che può dare effetti allucinogeni in giusta quantità). Se "è Male", termine che viene usato talmente spesso da aver perso significato, non vengono proposte alternative realistiche. Poi onestamente vorrei vederlo da vivo l'hackerare chiavi PGP da remoto con un microfono ed uno smartphone. Sicuramente è fattibile, come lo è un sacco di altre cose, ma se usiamo questo metro possiamo staccare i pc dalla rete e tornare a scambiare piccioni viaggiatori (anche quelli sono abbattibili temo :) ). Mi piacerebbe tantissimo avere una soluzione altrettanto diffusa ed efficace senza i difetti di OpenPGP, ma non l'ho trovata :(
Scusa Marco per la risposta tardiva, ma sono stato un po' in giro. Dunque, in effetti i tempi di cifratura sono di quell'ordine per cui si possono avvertire, per quello dicevo che dipende un po' da come ci lavori. Personalmente lo uso con cssh per aprire fino ad una 15ina di shells e pur notando una certa lentezza non mi fa incavolare più di tanto. YMMV as usual. Sulle specifiche hai ragione, ma ho fatto un paio di prove e con le chiavi a e 4096 non ho avuto problemi. (chiave creata esternamente e poi messa dentro, non creata sulla card. Il processo in effetti è agevole e veloce come grattarsi con le mani legate, ma fattibile :) ). Non ho provato su mac (anche perchè non ho un lettore esterno), ma sul lettore interno di un HP qualche problema di stabilità è emerso quando si fa un susp/resume. kill -9 dei processi coinvolti, per intendersi. Ora, come suggerito, faccio un paio di prove anche con la Yubikey. Il giorno 28 agosto 2014 16:06, Marco Ermini <[email protected]> ha scritto: > 2014-08-18 11:15 GMT+02:00 giobbe: > >> > Io sto usando una banale openpgp 2.0 (g10): l'unica vera limitazione >> > [...] > >> Oltre alle smartcard g10 uso le Yubikey Neo (OTP via NFC), hanno onboard >> una "OpenPGP" applet che ha praticamente le stesse funzioni delle >> smartcard g10. >> > [...] > > OpenPGP comunque è male. Se stai usando nel 2014 un software pensato > oltre 20 anni fa, probabilmente stai sbagliando qualcosa. > > http://blog.cryptographyengineering.com/2014/08/whats-matter-with-pgp.html > > Se intanto si decidessero a usare l'RSA blinding... (uh, a quanto pare, > forse dopo una decina di anni l'hanno pure implementato). Senza quello, a > quanto pare basta un microfono e uno smartphone per hackerare le chiavi PGP > da remoto... Ma comunque, rimane un qualcosa su cui io non baserei delle > nuove soluzioni. Poi, OK, non sono un esperto di crittografia. > > > Cordiali saluti > -- > Marco Ermini > root@human # mount -t life -o ro /dev/dna /genetic/research > http://www.linkedin.com/in/marcoermini > "Jesus saves... but Buddha makes incremental back-ups!" > -- Fabio
