WebcryptoAPI - 안전하지 않습니까?

Question

이 새로운 W3 WebcryptoAPI 초안 표준에 관한 것입니다 - 여기 http://www.w3.org/2012/webcrypto/WebCryptoAPI/

그것의 하나 게시물 작성자

https://plus.google.com/u/0/105761279104103278252/posts/CSwVZ1RUijo

그것은 그것의 부분에서 "자바 스크립트 암호화가 Hamrful 고려"변경하려고 말합니다에게있어입니다 문제. 그러나 당신이 "자바 스크립트 암호화 된 숨결"기사 - http://www.matasano.com/articles/javascript-cryptography/을 본다면, 대부분의 문제가 여전히 해결되지 않은 것처럼 보입니다. 해결할 수있는 유일한 문제는 자바 스크립트에서 직접 암호화 된 암호화 기능을 사용하지 않는다는 것입니다.이 기능은 브라우저에서 제공됩니다. 그러나 나머지 문제는 여전히 남아 있습니다.

의견이 있으십니까?

Answer 1

자바 스크립트 암호화는 두 가지 문제가있다 :

순수 자바 스크립트에서 잘 쓸 수없는 기능이 있습니다

1. . 즉, PRNG 및 사이드 채널 프리 동작. WebCryptoAPI는 이러한 문제를 해결합니다. 따라서 확실히 중요한 단계입니다.

2. 서버가 악의적 인 경우 악의적 인 자바 스크립트를 제공 할 수 있습니다. 현재 아키텍처를 사용하면 잡을 가능성이 거의 없습니다. WebCryptoAPI는이 문제를 해결하지 못합니다.

   우리에게는 아직 좋은 해결책이없는 어려운 문제입니다. 이 문제를 해결하기위한 몇 가지 방법이 있습니다.
   예를 들어, Verifiable Logs: Solving The “Cryptocat Problem” 벤 로리 (Ben Laurie)는 웹 서버가 처리하는 컨텐트가 악의적 인 서버를 포착 할 수있는 공증인과 함께 기록 될 수 있다고 제안합니다. 안타깝게도 배포하기 쉽지 않습니다.