<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 28 February 2015 at 06:24, Jonathan Rudenberg <span dir="ltr"><<a href="mailto:jonathan@titanous.com" target="_blank">jonathan@titanous.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class=""><br>
> On Feb 27, 2015, at 10:08 AM, Nadim Kobeissi <nadim@nadim.computer> wrote:<br>
><br>
> This is why it's better, I think, to focus on ensuring that the passphrase space search *itself* is exceedingly expensive in the first place, hence the strict passphrase requirements and the strong scrypt derivation rounds.<br>
<br>
</span>I’m not sure how publishing passphrase-encrypted private keys to the world (in the public key form of “brain keys”) can be *better* than restricting access to encrypted random private keys to a server that is already privileged with access to communications metadata. As long as the algorithm and passphrase entropy is exactly the same for both, storing encrypted random private keys on a server somewhere is *strictly better* than using the equivalent “brain key”. Am I missing something?<br>
<span class=""></span></blockquote><div><br>I think Nadim's point is that the encrypted storage can lull people 
into a false sense of security so they use a weak passphrase for the 
encryption. Building the system so as to be secure in the "offline 
attack is possible" scenario means it will still be secure in the 
"server protects against offline attack" scenario.<br><br>The benefit of
 allowing server side key storage is that it opens up a bit more 
flexibility in how the keys are generated. You could still generate the 
key from a passphrase but using a very high stretching cost (i.e. $1 per
 guess) and then encrypt it at a much lower cost so that your mobile 
device could use it. <br></div></div><br></div></div>