<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Apr 3, 2016 at 11:16 PM, Tom Mitchell <span dir="ltr"><<a href="mailto:mitch@niftyegg.com" target="_blank">mitch@niftyegg.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Near field devices are in anything and everywhere.<br><br>Modern phones can read or present an NFC ID on demand.<br>Apple uses NFC for payment on some models of phone.<br><br>They can contain between 96 and 4,096 bytes of information.<br>which is sufficient to pass an interesting sized key, a URI,</div><div>or to unlock a keyring with locked PGP private key.</div><div><br>NFC and RFID devices are easy to hide on benches in public places.<br>A set of passive RFID devices uniquely identifies most individuals.<br><br>Could passive RFID/NFC in a shoe, jacket or purse become the next</div><div>big data slurp target.  </div><div><br></div><div>Could these devices be the critical long set of bits that when combined</div><div>with modest known salt be a useful part of key management systems?<br><br></div></div></blockquote><div><br></div><div>Sure, I already use a Yubikey NEO, which supports both NFC and direct USB plug-in, for a few different crypto apps. I use it as a second factor via FIDO U2F. I store my OATH-TOTP secrets in it. And it holds RSA keys for PGP crypto, PGP signing (of documents, not keys), and SSH authentication. There is an applet that will store static passwords as well, but you really don't want to use anything that can be read out of the device. Better to have the device do some crypto operation that can't be used to figure out the secret it stores. Protected with a passphrase, of course, to slow down anyone who steals it long enough that you can revoke the secrets stored on it.</div></div></div></div>