<div dir="ltr">Thank you. That definitely makes a lot of sense. <div><br></div><div>So, taking into consideration that there will always be a need to generate some sort of secret, thus a very specific point of failure, is it fair to assume that the "security in depth" approach will always be present, for ever and ever? </div><div><br></div><div>I know this might seem like a very naive question, just curious to get some more points of view.</div><div><br></div><div>Regards,</div><div>Guilherme<br><br><div class="gmail_quote"><div dir="ltr">Natanael <<a href="mailto:natanael.l@gmail.com">natanael.l@gmail.com</a>> escreveu no dia domingo, 24/09/2017 às 23:40:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div data-smartmail="gmail_signature" dir="auto"><br></div><div class="gmail_extra" dir="auto"><div class="gmail_quote">Den 25 sep. 2017 00:15 skrev "Guilherme Campos" <<a href="mailto:gpirescampos@gmail.com" target="_blank">gpirescampos@gmail.com</a>>:<br type="attribution"><blockquote class="m_8635582519940809534quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I've written a "food for thought" kind of article around the usage of cryptocurrencies for universal basic income (<a href="https://medium.com/@guilhermepcampos/universal-crypto-basic-income-460fc46207f6" target="_blank">https://medium.com/@guilhermepcampos/universal-crypto-basic-income-460fc46207f6</a>). And, although this is not 100% on topic, I would definitely like some opinions around usage of biometrics for key generation. More precisely on:<div><ul><li>Do you think it will be possible, at some point, to have some sort of biometric public key infrastructure, where public and private keys are directly pegged to a persons biometric details?</li></ul></div></div></blockquote></div></div></div><div dir="auto"><div dir="auto">No, not unless you accept the use of schemes like Identity Based Encryption which invariably requires central servers (although there exists a few versions of these schemes where the server doesn't need to be trusted all that much). </div><div dir="auto"><br></div><div dir="auto">Just the biometric data alone in isolation is never good enough for cryptographic secrets. </div></div><div dir="auto"><div class="gmail_extra" dir="auto"><div class="gmail_quote"><blockquote class="m_8635582519940809534quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><ul><li>Could biometrics completely replace the need for passwords?</li></ul></div></div></blockquote></div></div></div><div dir="auto"><div dir="auto">No, not unless they're just used to identify cryptographic public keys where you hold the private key. Universal usernames, basically. I don't care if you surgically place your hardware authentication token in your skull or whatever to not need to remember to carry it with you, you just need some kind of digital secret. </div></div><div dir="auto"><div class="gmail_extra" dir="auto"><div class="gmail_quote"><blockquote class="m_8635582519940809534quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><ul><li>If compromise of biometric details occurs, how would one go around to solve this, since it's not possible to, for example, create a new fingerprint for a person?</li></ul></div></div></blockquote></div></div></div><div dir="auto"><div dir="auto">You don't. If they're your last line of defense, you've already lost if they're compromised. So don't make them your last line of defense. </div></div>
</blockquote></div></div></div>