<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 9, 2015 at 9:20 AM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I don't think Whiteout's proposal is the same as CA offerings.<br>
Whiteout is proposing a key directory where you can lookup public<br>
keys.<br>
<br>
I think a few CAs issue S/MIME certs (for pay, though there seem to be<br>
free offerings for personal use); but CAs don't run lookup services<br>
that I'm aware of.<br></blockquote><div><br></div><div>I agree, but this is a spectrum. In the middle you could have short-lived CA certs with an untrusted lookup service (which could be Whiteout). This is really about caching and revocation efficiency and not the trust model.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
> Opportunistic crypto is fine, but it feels like this second approach is not<br>
> any better than just telling people to use Gmail. Both ends have TLS on the<br>
> wire and it's only susceptible to a targeted attack, so the security level<br>
> is the same.<br>
<br>
</span>I don't see that - if you do end-to-end OE, users can check<br>
fingerprints to ensure there's no MITM.  This isn't possible with<br>
Gmail<br></blockquote><div><br></div><div>Intercepting Gmail is not easy in that most entities can't do it, but it's also not necessarily targeted. If you're able to compromise or legally coerce Google, you can get everything at once basically for free, since Google already sees everything in cleartext and just needs to add a tap. From an engineering standpoint it may be much harder to MITM millions of DH exchanges every day. One way to look at is that Google has already built a massive, reliable infrastructure to MITM all of its clients in real-time (as the connection isn't end-to-end), whereas for a simpler server you would have to build this all on your own.</div><div><br></div><div>But the general point is, once you have opportunistic encryption you can incrementally add features to improve security. Comparing fingerprints out of band is one possibility. Once could also try a Perspectives approach, querying the Whiteout server from various network positions to see what keys are returned for your username. Or you could try to add a global log like with CONIKS to increase confidence that there is no equivocation going on.</div></div></div></div>