Ho seguito alcune discussioni sulla mailing list di WebApp Security riguardante le politiche WebCrypto e SOP (oltre 100 messaggi). Una delle cose che è scaturita dalle chiavi contenute in WebCrypto non erano enumerabili perché potevano essere utilizzate come super cookie e questo poteva avere conseguenze negative per la privacy. Questo è stato discusso nella lista WebCrypto qualche tempo fa, quindi non è una novità. Il salto di solito viene reso negativo in tutti i casi (che spesso è).
(Come esempio contrario a "è sempre cattivo", di solito "non mi interessa" di tutti i bug tracker a cui sono abbonato. Se posso usare una chiave pubblica per tutti loro per autenticare, allora è grandioso .)
WebCrypto è essenzialmente un livello software e ha un numero infinito di chiavi (alcune mani che rinunciano). Ho quindi iniziato a pensare al mio Yubikey ... Uno Yubikey ha uno spazio finito, quindi ha solo un numero limitato di chiavi.
Quante chiavi pubbliche possono generare e mantenere un Yubikey?
In che modo un YubiKey protegge la privacy in quanto le organizzazioni (origini) possono colludere e confrontare le chiavi pubbliche registrate con loro?
(Non mi sorprenderebbe se un governo o uno dei suoi agenti autorizzati o partner iniziasse a raccogliere le chiavi pubbliche e le rendesse ricercabili in un database, proprio come Little Black Blox fa per le chiavi private).