<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Jan 31, 2014 at 11:17 AM, Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net" target="_blank">dkg@fifthhorseman.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 01/31/2014 12:24 PM, Trevor Perrin wrote:<br>
> In practice, SAS are mostly used by phone<br>
> protocols, since users can speak the SAS to each other (assuming voice<br>
> impersonation is hard).<br>
<br>
</div>Do we have backing for the assumption that "voice impersonation is<br>
hard"?</blockquote><div><br></div><div>My VOICE is my PASSPORT verify ME? ;)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">This assumption seems like the Achilles heel of these schemes,<br>


and i wonder how much work has been done to test it.<br></blockquote><div><br></div><div>What about simultaneous video and voice impersonation? </div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Indeed, Wikipedia suggests that the NSA has built systems to attack this<br>
problem 8 years ago</blockquote><div><br></div><div>If your threat model includes Nation State Adversaries, I think all bets are off... </div></div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>