He estado siguiendo algunas discusiones en la lista de correo de Seguridad de aplicaciones web con respecto a las políticas de WebCrypto y SOP (más de 100 mensajes). Una de las cosas que surgieron en este momento fue que las claves que se guardaban en WebCrypto no eran enumerables porque podían usarse como súper cookies y eso podía tener consecuencias negativas para la privacidad. Esto se discutió en la lista de WebCrypto hace un tiempo, por lo que no son noticias nuevas. Por lo general, se hace el salto que es malo en todos los casos (lo que a menudo ocurre).
(Como ejemplo contrario a "siempre es malo", por lo general "no me importa" todos los rastreadores de errores a los que estoy suscrito. Si puedo usar una clave pública para autenticarme, entonces excelente .)
WebCrypto es esencialmente una capa de software, y tiene un número infinito de teclas (algunas renuncias de manos). Entonces comencé a pensar en mi Yubikey ... Un Yubikey tiene un espacio finito, por lo que solo tiene un número limitado de claves.
¿Cuántas claves públicas puede generar y mantener un Yubikey?
¿Cómo protege YubiKey la privacidad que otorgan las organizaciones (orígenes) para colusar y comparar las claves públicas registradas con ellas?
(No me sorprendería si un gobierno o uno de sus agentes o socios autorizados comenzaran a recopilar las claves públicas y las hicieran accesibles en una base de datos, como Little Black Blox hace para las claves privadas).