<div dir="ltr">For side by side in person comparison, nothing beats a face for "number of bits a human can distinguish" AFAICT. I'm sure the state of the art in going from bits=>face is lacking, and suppose the uncanny valley might always screw things up. (unproven hypothesis: two digital faces are more easily intertwined than human?)<br>
<br>For over the phone, same probably true with an artificial voice.<br><br>I think that's fundamentally the best we can do given the constraints for "zero click" analogue; i.e. mimic how people actually do zero click authentication in real life. But getting there (face and voice synthesis) I think would be very tough at this stage. So we have to deal with approximates.<br>
<br>C<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Mar 11, 2014 at 10:12 PM, Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net" target="_blank">dkg@fifthhorseman.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On 03/11/2014 04:31 PM, elijah wrote:<br>
> On 03/11/2014 03:33 AM, Tony Arcieri wrote:<br>
><br>
>> I don't think these solutions are providing effective security. I feel<br>
>> we need to start from the real needs of real users, and work backwards.<br>
><br>
> For me, the goal needs to be zero-click encryption, as Schneier has<br>
> recently called it, so I get very uncomfortable with any discussion of<br>
> fingerprints or even SAS.<br>
<br>
</div>we're not actually talking about encryption here, though; we're talking<br>
about authentication.  if we don't bother authenticating the peer,<br>
zero-click encryption is trivial (and we should be doing that already,<br>
though there are many places that we do not).<br>
<br>
do you have proposals for how to do "zero-click authentication"?  the<br>
key management problem is a much harder than the encryption problem.<br>
<br>
The answers seem to be a choice of one (or more) of the following evils:<br>
<br>
 0) TOFU (e.g. ssh-style) -- not protected against first use; requires<br>
large amounts of client-side state; no clear way to distinguish<br>
legitimate key transition from an attack; no global view<br>
<br>
 1) CA-style infrastructure (e.g. "X.509 PKI") -- untrustworthy parties<br>
put in trusted positions; horrible revocation semantics<br>
<br>
 2) public logs (e.g. Certificate Transparancy) -- expensive to run and<br>
audit; zone enumerability; "phoning home"; no real-world experience yet<br>
<br>
 3) certification network (e.g. OpenPGP "Web of Trust") --<br>
complicated/confusing user experience; non-global view of "validity";<br>
possible social graph leakage<br>
<br>
(there's probably some other major scheme that i'm missing in this rough<br>
sketch)<br>
<br>
The trouble is, all of these schemes have places where they break down<br>
and fail in bad ways.  Manual verification fills in these gaps.  Without<br>
it, you either fail closed (locking users out of their services<br>
unnecessarily) or fail open (exposing users' communications to an<br>
adversary).<br>
<br>
So i think it's worthwhile to talk about good ways to do manual<br>
verification under common constraints.<br>
<div class=""><br>
> That said, I recently created a ton of ssh<br>
> keys for testing purposes and I was reminded of the beauty of Adrian<br>
> Perrig's randomart hash visualization:<br>
><br>
> +--[ RSA 2048]----+<br>
> |  . . .   .      |<br>
> | . . . E o       |<br>
> |.       + o      |<br>
> |..  .  o * .     |<br>
> |.. o    S o      |<br>
> |. o  ... .       |<br>
> | . . oo          |<br>
> |    o..          |<br>
> |     .o+.        |<br>
> +-----------------+<br>
<br>
</div>I can't tell if this is a serious advocacy of randomart -- we've<br>
discussed it here before [0]; no one was advocating it and several folks<br>
expressed pretty deep skepticism that this is a useful representation<br>
for users.  do you think it's a good idea?  if so, in what contexts?<br>
surely it's terrible over the phone or on a cocktail napkin.<br>
<br>
        --dkg<br>
<br>
[0] see, for example, multiple mentions in the "useability of public key<br>
fingerprints" thread<br>
<br>
<br>_______________________________________________<br>
Messaging mailing list<br>
<a href="mailto:Messaging@moderncrypto.org">Messaging@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
<br></blockquote></div><br></div>