<div dir="ltr"><div class="gmail_extra"><div>Breaking down Trevor's open question further.</div><div><br></div><div>The value proposition of CT remains ambiguous because the following questions remain unanswered.</div><div><font face="arial">   - What are the practical barriers to serving a falsified key to a user that does not appear in the globally available log?</font></div><div><font face="arial">   - What sort of evidence of malicious behavior by a key server would be perceived as credible?</font></div><div><font face="arial">   - What incentives do auditors face? Would they face incentives to collude with the identity providers or robustly investigate report of MITM attacks?</font></div><div><font face="arial"><br></font></div><div><font face="arial">The first two questions remain unanswered because CT proposals are still incomplete. The third question may be incomplete because answering it requires skills not present in our community. Analyzing incentives governing the behavior of rational actors is the specialty of economists.</font></div><div><font face="arial"><br></font></div><div><br></div><br><div class="gmail_quote">On Thu, Sep 25, 2014 at 1:48 AM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Elijah,<br>
<br>
Here's my take on the relationship between the 98% / 2% argument, and<br>
Moxie's "simple thing":<br>
<br>
The 98% encrypt / 2% encrypt+authenticate argument was first made by<br>
Tom Ritter [1], and I've advocated for it as "Opportunistic<br>
Encryption" [2].<br>
<br>
I think it makes sense assuming:<br>
 1) end-to-end encryption is easy to deploy widely<br>
 2) end-to-end authentication is not<br>
 3) E2E encryption has value, even without E2E auth (i.e. active<br>
attack has costs and risks, particularly if authentication is<br>
stealthy)<br>
<br>
I've argued that for an authentication method to be "compatible" with<br>
OE, only users who perform E2E authentication should pay its costs<br>
[2].  Both TOFU + fingerprints (Moxie's "simple thing") and<br>
"transparency logs" are compatible with OE in this sense.  Key-centric<br>
approaches (eg keys-as-addresses and NameCoin) are not, as they<br>
replace existing names and name semantics, imposing new costs on all<br>
users.<br>
<br>
Moxie made a cost/benefit argument for TOFU+fingerprints, instead of<br>
transparency logs:  they both do "roughly the same thing" [3] in<br>
detecting key changes, but supporting TOFU and fingerprints is easy,<br>
whereas transparency logs require a new infrastructure of logs,<br>
monitors, gossip protocols, publishing all addresses, etc.<br>
<br>
On the list, no one answered Moxie with a detailed argument as to how<br>
transparency logs add enough benefit to justify the cost, compared to<br>
the "simple thing".  It seems like an open question.<br>
<span class=""><br>
<br>
You wrote:<br>
"""<br>
(1) The client should use whatever latest key is advertised inline via<br>
headers in email it receives. Ideally, this would be validated by the<br>
provider via a very simple mechanism (such as grab user Bob's key from<br>
this well-known https URL).<br>
</span>[...]<br>
<span class="">There are still a few edge cases. Alice might email Bob using a key for<br>
Bob that he no longer uses. Should the provider bounce the email to let<br>
Alice know? Or should Alice ask the provider if the key is still valid<br>
every time she sends a message to Bob (or once a day)?<br>
"""<br>
<br>
</span>Bouncing messages whenever Bob changes his key seems bad.  Alice might<br>
send a message and then disconnect, so you can't count on her mail<br>
client to auto-resend, and the message might be lost or delayed.<br>
<br>
So Alice should probably confirm the key with the recipient's provider<br>
before sending a message.  In which case Bob's email header doesn't<br>
need to list Bob's key, it just says "X-Lookup-Key: True", and Alice<br>
remembers that.<br>
<br>
Bob's server would get two connections per message (one from Alice,<br>
one from Alice's MTA).  It would be nice if Alice could contact Bob's<br>
MTA once to confirm the key and send the message.  I suppose that's<br>
feasible in a centralized system where the server handles spam by<br>
tracking reputations for Alice and Bob.  But it doesn't seem feasible<br>
for email.<br>
<br>
---<br>
<br>
Bigger question:  Is this a route to widespread OE?  Or is this<br>
something only a tiny fraction of users would turn on?<br>
<br>
Widespread OE for email seems hard.  Much of the userbase is on<br>
browsers, relying on ad-funded infrastructure and server search.<br>
Worse, to manage spam it seems like email has evolved to be fairly<br>
hostile to content encryption, identity-hiding, and<br>
relationship-hiding.<br>
<br>
So if we're not attempting OE, and we just want email-like messaging<br>
for the small population that will install special security tools, I<br>
guess I'm not sure why should build those on email at all (vs<br>
Pond/Petmail, SMTorP, etc.)?<br>
<br>
<br>
Trevor<br>
<br>
<br>
[1] <a href="https://moderncrypto.org/mail-archive/messaging/2014/000229.html" target="_blank">https://moderncrypto.org/mail-archive/messaging/2014/000229.html</a><br>
[2] <a href="https://moderncrypto.org/mail-archive/messaging/2014/000767.html" target="_blank">https://moderncrypto.org/mail-archive/messaging/2014/000767.html</a><br>
[3] <a href="https://moderncrypto.org/mail-archive/messaging/2014/000723.html" target="_blank">https://moderncrypto.org/mail-archive/messaging/2014/000723.html</a><br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Messaging mailing list<br>
<a href="mailto:Messaging@moderncrypto.org">Messaging@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
</div></div></blockquote></div><br></div></div>