See, I said it'd be tricky :-)<br><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Then, and here's the trickiest part because we've (NCC) never done it<br>
as far as I know, but I'm not opposed to it.  Have us, AuditCo, get<br>
the software from EscrowLtd, and produce... something<br></blockquote><div><br></div><div>Indeed the first question that needs to be resolved is, what is the goal here? Is it to:</div><div><br></div><div>1) Reveal the insertion of a back door after the fact?</div><div><br></div><div>2) Prevent back doors from being inserted?</div><div><br></div><div>I suspect that (1) would be considered not good enough by at least some important users because nothing stops the provider from shipping an update selectively to some users that the auditor never sees. Some app stores make this a bit awkward but for example the Play Store does let you have beta channels and other ways to segment the user base. Additionally, it means a company that is ordered by some secret kangaroo court to back door a particular user has to say "OK we can do that but it might get noticed" rather than "We can't do that". And it's all predicated on the assumption that auditors can somehow get their message that the software is compromised to the users who need to know - but that's hard. If some widely used program was backdoored maybe, at best, it'd be news for 24 hours before dropping off the front pages and the world moved on. Anyone who wasn't paying attention during those critical few hours might never get the message.</div><div><br></div><div>Once you decide actually you'd like (2) then you may as well combine audit and threshold signing into a single function as the two are so tightly related. I'm not sure an escrow company separate from an audit company makes any sense as the presence of a signature is meant to imply that the audit passed, but in such a setup, the escrow company might sign without knowing what it is they're signing.</div></div>