<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 3 October 2014 18:30, Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net" target="_blank">dkg@fifthhorseman.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 10/03/2014 01:21 PM, Ben Laurie wrote:<br>
> On 3 October 2014 17:49, Tao Effect <<a href="mailto:contact@taoeffect.com">contact@taoeffect.com</a>> wrote:<br>
</span><span class="">>> On Oct 3, 2014, at 2:13 AM, Ben Laurie <<a href="mailto:ben@links.org">ben@links.org</a>> wrote:<br>
</span><span class="">>> Software holding the key monitors the log(s) for key changes.<br>
>><br>
>> What software would that be (Apache? GPG?)?<br>
><br>
> I can't answer that - it depends what system we're talking about, and<br>
> AFAICS we're not yet talking about a specific system, just an idea - but<br>
> the idea is that whatever software holds keys for users also monitors logs<br>
> on their behalf.<br>
<br>
</span>When i hear "holds keys", i usually think of holding the secret key<br>
material.  But when i think of the monitor, i see no reason why a<br>
monitor needs access to the secret key material.<br>
<br>
The monitor would want to know the public key material i want associated<br>
with a particular identity (so it doesn't alert me falsely about my own<br>
key), but that's it.<br></blockquote><div><br></div><div>This is true, but I think you're just talking about a separation of roles here (in the CT docs, a monitor may be an independent thing, or it may be something some other component does as a part of its job). The important thing is, I think, that the monitor needs to be:</div><div><br></div><div>a) Trusted by the user,</div><div><br></div><div>b) Have knowledge of which keys are supposed to be linked with their identity.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
For example, I could set up my home server (which doesn't have access to<br>
my secret key material for messaging purposes) to monitor for anyone<br>
claiming that my messaging identity is bound to a different key.<br>
<br>
These clarifications are probably obvious, but i think it's worth making<br>
them explicit.<br></blockquote><div><br></div><div>I agree. Thanks.</div><div><br></div></div></div></div>