<div dir="ltr"><div>I'm reviving this thread now that I actually have something substantial to say regarding Peerio's crypto.</div><div><br></div><div>I was inspired by the recent debate over PGP to write this blog post:</div><div><a href="http://blog.peerio.com/post/112078157509/going-beyond-pgp">http://blog.peerio.com/post/112078157509/going-beyond-pgp</a></div><div><br></div><div>I'm basically outlining how I think Peerio can be more attractive than PGP to a vast majority of PGP's users.</div><div><br></div><div>I'd love to hear your thoughts on that blog post. I'd also like to thank everyone who gave their early comments on Peerio and thank Mike for starting off this thread.</div><div><br></div><div>Nadim</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 21, 2015 at 2:19 AM, Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net" target="_blank">dkg@fifthhorseman.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Fri 2015-01-16 19:07:47 -0500, Joseph Bonneau wrote:<br>
> Is there a design rationale for these choices? 112 bits is overkill for<br>
> something users need to memorize (especially with 2^17 of stretching) and a<br>
> 2^16 dictionary in my experience is vastly bigger than ideal (though we<br>
> don't really have good research confirming this, it's just a hunch).<br>
><br>
> Personally I would say 70 bits plus 2^20 stretching is secure against any<br>
> economically imaginable attacker and 60 bits plus 20 bits of stretching is<br>
> probably secure against non state-level attackers.<br>
<br>
</span>This prescription is missing a timescale.<br>
<br>
Systems like peerio and minilock have no key transition mechanism<br>
available, no way for users to change a passphrase.  If they're intended<br>
for lasting use, at least some of the encrypted information will need to<br>
withstand attackers 10 years from now or later.<br>
<br>
Even ignoring major disruptions in hardware, are should we expect users<br>
to settle for 90 bits of defense (or 80 bits against "non-state-level"<br>
attackers) for 10 years?<br>
<br>
Nadim's choices here might be a little conservative, they don't seem<br>
excessive to me, given the other tradeoffs he's made in cryptosystem<br>
design.<br>
<span class="HOEnZb"><font color="#888888"><br>
           --dkg<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Messaging mailing list<br>
<a href="mailto:Messaging@moderncrypto.org">Messaging@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
</div></div></blockquote></div><br></div>