<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Dec 4, 2013 at 9:50 AM, Theodore Ts'o <span dir="ltr"><<a href="mailto:tytso@mit.edu" target="_blank">tytso@mit.edu</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class=""><div class="h5">On Tue, Dec 03, 2013 at 11:39:27PM -0500, Phillip Hallam-Baker wrote:<br>

> What I really want from a crypto key management device is that it be<br>
><br>
> * Small and light<br>
> * Have processor and display capabilities<br>
> * Be possible to control the operating system build completely<br>
> * Be cheap enough to be a burner machine<br>
><br>
> Which is how I started thinking about the Kindle. It is pretty much ideal<br>
> in every respect, at least after it is jailbroken.<br>
><br>
> And very unlikely that anyone has backdoored the existing stocks.<br>
<br>
</div></div>Why not use an Arduino?<br>
<br>
                                - Ted<br>
</blockquote></div><br>I would not choose an Arduino due to the lack of a display capability. But I have certainly been considering the Raspberry Pi which has far more capability for essentially the same price.</div><div class="gmail_extra">
<br></div><div class="gmail_extra">But the cost of a Kindle is $69 including shipping for the device and display combined. That is a pretty hard price point to beat. And it is a ready to run device rather than a kit. They can be bought off the shelf in ready to run condition from numerous retail outlets. So it is pretty easy to pin down the potential for compromise.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">And further, Amazon is a company that is very net.friendly that faces a massive problem as a result of Snowdonia. So they might well be willing to cooperate if not participate.<br clear="all">
<div><br></div><div>The worst case risk they face would be if they are selling the Kindle at below cost to make up the difference by selling content. Which might not sit well with my type of application where certified destruction of the device is a requirement in some ceremonies.</div>
<div><br></div><div><br></div><div>But for your typical law firm or the like looking to secure the apex of the enterprise trust infrastructure, a Kindle kept in a tamper-evident pouch could well be the best compromise between convenience and security. </div>
<div><br></div><div><br></div><div>If I was running a ceremony for a law firm I would imagine the process would be something like the following:</div><div><br></div><div>1) Show up with some number of Raspberry Pi computers that have been potted in transparent epoxy.</div>
<div><br></div><div>2) Download and confirm the boot disk for the Pi onto an SD card.</div><div><br></div><div>3) Disable the WiFi function on the Kindle</div><div><br></div><div>4) Download the key management application onto the Kindle from the Pi</div>
<div><br></div><div>5) Generate the keys, copy the encrypted versions onto the Pi, distribute the key shares to the client key holders.</div><div><br></div><div>6) Either bag up the Kindle in a tamper proof bag or perform verifiable physical destruction.</div>
<div><br></div><div>7) Invoice the client</div><div><br></div><div><br></div><div>What would make the system easier to audit would be a special edition Kindle that had a removable SD card instead of the built-in firmware.</div>
<div><br></div><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>