<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Aug 21, 2014 at 2:33 PM, Tom Ritter <span dir="ltr"><<a href="mailto:tom@ritter.vg" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=tom@ritter.vg&cc=&bcc=&su=&body=','_blank');return false;">tom@ritter.vg</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><span style="color:rgb(34,34,34)">Yup, that's what I was talking about</span></div>

</div></blockquote><div><br></div><div>Well, that's all just an additional secondary sidechannel in addition to the microphone on a Smartphone. The burner "flipphone" use case is... retro? (thumbs up I guess) Perhaps there are physical mechanisms that prevent a Smartphone's built-in speaker and microphone from operating at all when a JackPhone-like headset is plugged in and maybe the acoustic sidechannel isn't a problem... on certain phones. Seems like it'd need phone-by-phone research, at best.</div>

<div><br></div><div>All that aside, JackPhone seems like an unwieldy, impractical solution which despite its open source implementation leaves a lot of questions to be answered. How does it generate random numbers which it needs for its alleged forward secrecy enabled key exchange? Are they good?</div>

<div><br></div><div>I think JackPair is silly. If you want to make encrypted phone calls, use ZRTP, i.e. RedPhone or Signal. Perhaps JackPair would be cool in some sort of highly unusual activist use case, probably not involving comms over POTS.</div>

<div><br></div><div>If you do end up hearing of stories of JackPair accomplishing something cool in the wild and can relate them without being a total OPSEC failure, I'd love to hear them.<br></div><div> </div></div>
--<br>
Tony Arcieri<br>
</div></div>