FST-01: Open token per GnuPG!
GPG è comodo, ma non è bello portarsi dietro le proprie chiavi su chiavetta USB... E l'app per JavaCard non è semplice da trovare e far funzionare, oltre a richiedere un lettore d smartcard!
FST-01 risolve entrambi i problemi ed in più permette di aver sempre dietro anche il pubring (fino a 4MB circa)!
Infatti non serve altro che il token (io ne ho acquistati due da SeeedStudio, già pre-programmati).
Come se non bastasse, funge anche da dev board per STM32F103, rendendo disponibili ben due linee di I/O ed un LED Il pubring viene verrà (forse, in una futura release) memorizzato in una flash da 4MB (il chip più piccolo visibile in foto).
Sono disponibili almeno due app pronte:
- GnuK: caricata di default, fa da token e "portachiavi" per GnuPG
- NeuG: generatore di numeri veramente casuali dal rumore di conversione degli ADC (utilizzato anche da GnuK)
La sicurezza viene "garantita" dalle misure di protezione del codice implementate dal produttore del micro, quindi niente di "galattico" ma più che sufficiente per usi non critici (vero che non pensavate di usarlo per armare le bombe atomiche che avete assemblato in garage? ).
Dovrebbe anche essere possibile collegare una tastiera esterna per l'input della passphrase (non mi dispiacerebbe metterci almeno un paio di tasti, almeno per confermare operazioni critiche con qualcosa non simulabile via software...), così che non sia attaccabile da un keylogger sul PC host, ma non ho ancora trovato la pagina relativa (solo una nota nelle FAQ). Purtroppo la versione 1.0.1 di GnuK non utilizza ancora SM, quindi la passphrase viene anche trasmessa in chiaro sul bus USB. Spero che la futura release corregga tale mancanza! Purtroppo, l'aggiornamento del firmware implica la perdita della chiave generata (a meno che non se ne sia fatto un backup generandola sul PC, ma questo ha altre implicazioni).
Un uso interessante è in abbinamento a Monkeysphere che estende la WoT PGP-like al browser (che storicamente usa una PKI single-rooted) e a SSH (che normalmente non usa PKI ma solo una verifica manuale dei fingerprint).
Update 20130403: Purtroppo, allo stato attuale, pare che la memoria da 4M rimanga completamente inutilizzata. Quindi niente pubring e secring, ma limitazione a 3 sole chiavi (sign, enc, auth). Se voleste cambiare la enc key per la mail ogni anno, dovreste anche cambiare token e portarvi dietro tutti quelli degli anni passati! Decisamente scomodo... Purtroppo il protocollo OpenPGP Card è limitato: speriamo in una nuova versione...