Dnia czwartek, 29 maja 2014 10:11:15 arachnist@i.am-a.cat pisze:
> Wygenerować losowe klucze gpg na smartcardach, rozdawać je ludziom naO, to jest rozwinięcie pomysłu z anonimowym kluczem wydawanym w urzędzie,
> zasadzie "tu się podpisz, że odebrałeś smartcarda, a tam masz
> szklaną miskę ze smartcardami, wylosuj sobie jeden" (urząd nie zapisuje
> który sobie wylosowałeś).
> Oczywiście uprzednio - przed "losowaniem" - podpisać te klucze, kluczami
> instytucji.
> Czy może jest w tym jakiś problem którego nie widzę?
zaproponowanym przez CyberKillera -- fizyczne losowanie rozwiązuje problem "a
my po cichu zapiszemy, kto ma który klucz".
Dobry punkt wyjścia, dzięki.
Dodatkowa rozkminka (które przy tym systemie nie zadziałają):
- czy da się zrobić tak, by nawet, gdyby urząd/attacker/bad guy wiedział, kto
ma który klucz, nadal nie był w stanie ustalić czy ta podpisana wypowiedź
została podpisana tym konkretnym kluczem?
czyli plausible deniability nawet w sytuacji zdobycia danego smartcarda
przez urząd.
--
Pozdr
rysiek
_______________________________________________
General mailing list
General@lists.hackerspace.pl
https://lists.hackerspace.pl/mailman/listinfo/general