Sajnos későn vettem észre a hibát, és már nem tudom az eredeti hozzászólásomat javítani, ezért most itt teszem meg:
Nem is kell titkosítani, itt a kérdés, hogy melyik kulcs mennyi ideig van a memóriában. Itt egyetlen szenzitív adat a privát kulcs (szerk: és a szimmetrikus kulcs), amit csak arra szoktak használni, hogy
1. a publikus kulccsal titkosított adatot el tudjuk olvasni (pontosabban csak mi tudjuk elolvasni)
2. a mi privát kulcsunkkal titkosított adatot bárki el tudja olvasni a publikus kulcsunkkal, azaz meggyőződhet arról, hogy az adat csak tőlünk származik.
Egyik esetben sincs szükség felfogható ideig a memóriában tartani a privát kulcsot, mert ezek nagyon kicsi adatmennyiségek, stream méretű adatoknál a handshaking után már generált szimmetrikus kulccsal megy tovább a kommunikáció.
Az már egy teljesen más kérdés, hogy a szimmetrikus kulccsal mit tudunk kezdeni, például a Wifi is ezen keresztül támadható, a szimmetrikus kulccsal titkosított csatornát lehallgatva következtetik vissza a szimmetrikus kulcsot az adatcsomagok mintázata alapján. Nyilvánvalóan itt egy sebezhető szimmetrikus algoritmusról van szó, amit csak úgy nem lehet azonnal cserélgetni. Pont emiatt a probléma miatt erőlteti a Google a Chrome-ban a https kötelezőséget.
A CPU sebezhetőség és a Wifi között az az óriási különbség, hogy míg egy cég melletti parkolóból elintézhető a Wifi (ha sebezhető), addig CPU sebezhetőségnél ez nem elég, el kell juttatni a gépre a kódot. Nem győzöm elégszer elmondani, hogy ez egy szükséges feltétel, ami azért fontos, mert ha már eljuttattam valamit a gépre, akkor mi a csudáért kellene CPU sebezhetőséggel vacakolnom? A hackelés is ma már egy iparág, ahol óriási pénzek forognak, és ha valami olcsóbban megoldható, akkor azt fogják választani, kivéve, ha a megszerezhető információ értéke összehasonlíthatatlanul nagyobb a befektetett munkához képest. Na ez nem a Mariska néni meg a Pistike gépe kategória.