<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Sep 16, 2016 at 8:42 AM, ıuoʎ <span dir="ltr"><<a href="javascript:_e(%7B%7D,'cvml','yonjah@gmail.com');" target="_blank">yonjah@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr">Though I've been following this list for a while my understanding of cryptography is very basic.<br>So forgive me if I hope I haven't mixed any terms or got anything horrobly wrong.<br><div><br>I recently came by a service that uses dangerously short passphrases for AES.<br>The current implementation using a 6 chars from BASE 36 encoded string.<br>The KDF is just one round of salted md5 (as defaults by openssl).<br><br>I think the main reason for selecting short passwords was that they could be easily shared/written and that might be a requirement of the software.<div>......</div></div></div></div></div></div></div></div></div></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div><div>Any comments or helpful suggestions would be appreciated </div></div><div><br></div></div></div></div></div></div></div></div></blockquote><div><br></div><div>Much depends on the network and physical security of your systems. </div><div>A short pass phrase that unlocks a longer key makes sense if and only if</div><div>the saved private key file is difficult to get too.</div><div>If the private but locked key is stolen the attacker then has time and privacy</div><div>to unlock it.<br><br>With all important keys you must be able to remember them </div><div>or that which is locked is lost.</div><div><br></div><div>Perhaps, If your only incoming and outgoing connection is ssh to a terminal shell on another machine  then a shortish pass phrase makes some sense.  </div><div><br>A phrase of common words confused with some easy to apply random additions </div><div>might prove durable enough for personal use.</div><div><br>A company like Google might guide their staff to write long keys down</div><div>and lock them in a physical vault bolted to the floor.  Other key management</div><div>methods may apply.<br><br>So as others noted"   What threat are you defending against?"<br>The good news is the short key can be improved and changed.<br>Short keys are a defense against the forgetful. </div><div><br></div><div><br></div></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>
<br><br>-- <br>I be mobile, excuse my tipping!<br>