Si tuviera que escribir una aplicación web utilizando openpgp.js ( enlace ) para crear mensajes PGP encriptados / firmados y si almacené el usuario clave privada en localStorage, ¿sería esto vulnerable a las mismas quejas sobre la criptografía de JavaScript en la página web de Matasano ( enlace )?
Por lo que puedo decir, el resumen de puntos principales de Matasano es:
- "La entrega segura de Javascript a los navegadores es un problema del huevo de gallina". (Esto podría solucionarse mediante el uso de HTTPS)
- JavaScript no es adecuado para la criptografía
- Los navegadores son demasiado complejos para la criptografía, ya que tienen el potencial de contener múltiples vectores de ataque.
Si localStorage no es el mejor lugar para almacenar algo sensible como una clave privada, ¿cuál sería un mejor lugar?