Извините, а вы читать умеете?) Речь идет о локальном шифровании, т.е. оффлайн. О каких SMS речь?)

И чем же принципиально отличается USB-флешка от пароля, который вводится для расшифровки данных и вообще нигде не хранится (ну, если только в уме)?

Именно об алгоритме ~локального~ шифрования я и писал.
Например приложение стим на телефоне умеет генерировать код для двухфакторной авторизации при этом не имея доступа к сети интернет. в этом приложении храниться закрытый ключ который служит для получения удостоверяющей подписи к метки времени. У приложения стим на компьютере есть открытый ключ с помощью которого можно проверить подпись. В такой системе секрет(закрытый ключ) не раскрывается для уязвимой части системы (персонального компьютера)

Это мягко говоря очевидная глупость =).В таком случае алгоритм расшифровки не смог бы получить этот пароль и как следствие работать.
Эта и служит источником проблемы заставляя раскрыть секрет пароля уязвимой части системы шифрования.

Глупо сравнивать такие понятия т.к. такое сравнение теряет здравый смысл. непонятна сама причина такого странного вопроса.

Давайте теперь использовать 100500 тысяч устройств, чтобы использовать систему. Сейчас многие пользуются только телефоном, т.е. 1 устройством, поэтому ваша геймерская логика должна отдохнуть.


Какая ещё глупость? Всё прекрасно работает — вводишь данные, потом алгоритм запрашивает пароль, которым и шифрует эти данные. После чего сохраняет зашифрованный текст, соль и вектор, т.е. сам пароль не сохраняется ни в каком виде.


Иногда вы так пишете, словно пердёжь в лужу. Без логики, без фактов, без доказательств, без какого-то внятного объяснения.


Смотрю в ваших словах слишком часто встречается слово глупость — видимо вы пытаетесь донести то, ваши высказывания глубоко пропитаны глупостью и отсутствием здравого смысла.

Идите лучше учите уроки, у вас ОГЭ скоро. Нечего тут сидеть и нести херню.

Либо выражайтесь конкретно — фактами и доказательствами, без вставки ваших 5 копеек.

voraa,
Может ты как-то прокомментируешь высказывания от MallSerg?))

Должно быть очевидно что в этот момент и происходит сохранение пароля в локальной области памяти и передача сохраненной информации в алгоритм шифрующий данные.
Это явно противоречит заявлению - "нигде не хранится".

Данные пароля сразу же высвобождаются из временной памяти после выполнения функции getKeyMaterial — т.е. ещё до того, как текст начнёт дешифровываться. Вы никак не сможете получить данные пароля ни через переменную, ни через что-либо.

Поэтому совершенно непонятно, что вам там "очевидно" — очередные пустые слова без подтверждений.

факты
1. существует таком момент когда пароль хранится (между вводом пароля и вызовом getKeyMaterial).
2. в этот моменть злоумышленник может его сохранить (имеет полный доступ к компьютеру).

вывод
Утверждение - "злоумышленник не сможете получить данные пароля" является ложью.

очевидно или еще нет?

В таком случае вообще при любом способе защиты у злоумышленника есть доступ к данным.

В моём же случае имелось ввиду, что у злоумышленника может быть локальный доступ к системе в том случае, когда рядом нет владельца. Т.е., например, владелец каким-то образом оставил приложение открытым и злоумышленник начал там копаться, чтобы получить доступ к секретным данным. Он может попытаться взломать с помощью перебора паролей.

И в нашем случае речь идет о мобильном приложении PWA.

Полный доступ к компьютеру как раз и подразумевает доступ к данным на этом компьютере (сохраненным, сгенерированным или временно рассчитанным). Целый класс программ известных как "трояны" как раз и нацелен на ожидание действий от пользователей которые раскроют секрет являющийся целью такой программы отсюда и их название.

повторюсь
Задача двухфакторной криптографии разделить процесс использования секрета пользователя на два независящих друг от друга факта и сделать секрет недоступным злоумышленнику. Например так стим реализует покупки в своем приложении на компьютере, подразумевается что даже если злоумышленник имеет полный доступ к компьютеру то он не сможет совершать покупки т.к. ему остается недоступен код генерируемый приложением на телефоне.

Далеко не факт что это хорошее решение в рамках твоего приложения но не стоит считать такую систему шифрования надежной.

MallSerg,
А как хранит секретные данные (SEED-фразу) MetaMask?