<div dir="ltr"><div><br></div><div><br></div><div>hey peter, </div><div><br></div><div>i must confess i don't quite follow your message? Could you tell me a bit mor? Unless it's a joke, then *please* don't explain it (nothing more awful than an dissected joke and punchline). </div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Date: Tue, 9 Jun 2020 12:11:46 +0000<br>From: Peter Gutmann <<a href="mailto:pgut001@cs.auckland.ac.nz">pgut001@cs.auckland.ac.nz</a>><br>To: "<a href="mailto:messaging@moderncrypto.org">messaging@moderncrypto.org</a>" <<a href="mailto:messaging@moderncrypto.org">messaging@moderncrypto.org</a>><br>Subject: Re: [messaging] [FORGED] Crypto standards in modern-day<br>        consumer        apps<br>Message-ID: <<a href="mailto:1591704707218.93122@cs.auckland.ac.nz">1591704707218.93122@cs.auckland.ac.nz</a>><br>Content-Type: text/plain; charset="iso-8859-1"<br>Mike Power <<a href="mailto:mike.power.casual@theguardian.com">mike.power.casual@theguardian.com</a>> writes:<br>>Anyway, I'm researching a piece on Encro phones and crypto standards in<br>>commercial phone software for a book i'm pitching, and also for a series of<br>>planned articles.<br>"Drown me! Roast me! Hang me! Do whatever you please," said Brer Cop. "Only<br>please, Brer Criminal, please don't throw me into^H^H^H^Huse that specific<br>brand of encrypted phone that I definitely can't break".<br>Peter.</blockquote></div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 9 Jun 2020 at 20:00, <<a href="mailto:messaging-request@moderncrypto.org">messaging-request@moderncrypto.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Send Messaging mailing list submissions to<br>
        <a href="mailto:messaging@moderncrypto.org" target="_blank">messaging@moderncrypto.org</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://moderncrypto.org/mailman/listinfo/messaging" rel="noreferrer" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:messaging-request@moderncrypto.org" target="_blank">messaging-request@moderncrypto.org</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:messaging-owner@moderncrypto.org" target="_blank">messaging-owner@moderncrypto.org</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Messaging digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Re: Crypto standards in modern-day consumer apps (Mike Hearn)<br>
   2. Re: Crypto standards in modern-day consumer apps (Thom Wiggers)<br>
   3. Re: Crypto standards in modern-day consumer apps (Daniel Lublin)<br>
   4. Re: [FORGED] Crypto standards in modern-day consumer      apps<br>
      (Peter Gutmann)<br>
   5. Re: Crypto standards in modern-day consumer apps (Jasper Spaans)<br>
   6. Re: Crypto standards in modern-day consumer apps (Mike Hearn)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Tue, 9 Jun 2020 02:18:47 -0700<br>
From: Mike Hearn <<a href="mailto:mike@plan99.net" target="_blank">mike@plan99.net</a>><br>
To: Mike Power <<a href="mailto:mike.power.casual@theguardian.com" target="_blank">mike.power.casual@theguardian.com</a>><br>
Cc: <a href="mailto:messaging@moderncrypto.org" target="_blank">messaging@moderncrypto.org</a><br>
Subject: Re: [messaging] Crypto standards in modern-day consumer apps<br>
Message-ID:<br>
        <CANEZrP2=Urg3YcaUWGYhPai5tY+gdp6uc_Bh=<a href="mailto:sACmDxb-yErOw@mail.gmail.com" target="_blank">sACmDxb-yErOw@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Interesting question.<br>
<br>
Unfortunately their website offers little more information than the<br>
Liverpool Echo article you link to. It appears to simply be a customised<br>
Android phone, with a few features that are especially useful for<br>
criminals. Without a doubt 95% of the tech in them is the same as you can<br>
get on a regular Android phone, but the remaining 5% of the integration and<br>
feature work is sufficiently valuable to justify the eyewatering cost.<br>
<br>
>From looking over the advertised feature set, my guess is the value comes<br>
from a very small number of features. The majority of advertised features<br>
are industry standard and nothing special, e.g. disk encryption, secure<br>
boot, tamper proofing, the message cryptography they discuss etc. They<br>
advertise them because they're security related, but they're not actually a<br>
competitive advantage.<br>
<br>
I'd dig in to this mysterious "notary" verification process, which is<br>
presumably some method of verifying public keys. They say:<br>
<br>
"All clients directly negotiate keys automatically with each other’s<br>
devices. Our servers, located offshore in our datacenter, never create,<br>
store, or decrypt keys, message conversations or user data."<br>
<br>
<br>
To me this implies some sort of Bluetooth based key transfer or key<br>
agreement, probably combined with the ability to send keys between users.<br>
Sort of like the PGP web of trust but integrated with the phone itself.<br>
<br>
The point of this would be to ensure police can't force EncroPhone to<br>
intercept messages by changing public keys, which is an issue for every<br>
centralised messenger otherwise.<br>
<br>
Users who buy this phone have demonstrated a huge willingness to make<br>
effort up front, as apparently to get one you have to know someone who can<br>
supply you. You can't buy them from shops. So, they can probably impose<br>
rules like "you may only communicate with someone you interacted with<br>
physically before, or someone they vouched for", whereas for normal<br>
consumer-oriented software it's all about maximum convenience so the<br>
messengers all use centralised public key directories linked to phone<br>
numbers.<br>
<br>
The other obvious eye-catching feature is the duress/capture stuff, like<br>
being able to request all your contact phones delete all your messages<br>
triggered by a panic PIN. There's even mention of a countdown which I<br>
suppose can be useful if you suspect you're walking into a trap - you could<br>
set up a timer, be grabbed immediately, your phone taken from you without<br>
even a chance to touch it at all, and all the evidence is still destroyed.<br>
Finally the ability to hide that you're using this phone via dual boot is<br>
quite clever.<br>
<br>
I'll now say something that may be a bit controversial for this list<br>
(though it's a point I've made before).<br>
<br>
It's worth observing that these sorts of features are in many ways a<br>
meaningless shell game. EncroPhone are a Dutch company with (presumably)<br>
known owners who can be found. All the fancy stuff they advertise is<br>
controlled by software. That makes it meaningless because EncroPhone can<br>
push a "security update" to their users that disables all of it, or adds<br>
arbitrary message interception facilities, without any visible change and<br>
at any time. For example, how do the users know the message deletions are<br>
really working? The only trustable evidence is complaints from the police.<br>
<br>
Even though stock Android will notify users that an update is available and<br>
ask them to apply it, users can't tell the difference between a real<br>
security update that makes their phone harder to hack by the police, and<br>
one that makes it easier. No matter what option they take (apply/ignore)<br>
there's a risk it's the wrong one.<br>
<br>
This is a fundamental problem with all end-to-end encrypted messaging<br>
services. Despite all the progress made in this space, it all still boils<br>
down to the trustworthiness of a brand because the service owners always<br>
have the option of just switching it off - and in ways users cannot<br>
actually detect except via some sort of hypothetical continuous reverse<br>
engineering effort, which nobody anywhere has ever mounted.<br>
<br>
Whilst pitched for privacy advocates, if that were true they'd presumably<br>
make it easier to buy them via their website and charge less. The fact that<br>
it's so expensive and that they're only leasable implies something odd is<br>
going on there. It won't surprise me if at some point EncroPhone gets<br>
silently taken over by the Dutch police and used in a sting operation, in<br>
the same way that Tor markets sometimes were. For them to be legally safe<br>
they'd have to avoid anything that could be used to prove a criminal<br>
conspiracy, which from your description of how they operate and the news<br>
articles sounds unlikely.<br>
<br>
W.R.T. your last question. All consumer messaging systems on smartphones<br>
route all messages via central datacenters. That's not unique to WhatsApp<br>
and is the entire motivation for the end-to-end encryption features to<br>
start with. The only "peer to peer" messaging system that works is SMS, and<br>
obviously it's peer to peer only in some pedantic technical sense that the<br>
telcos themselves communicate directly with each other (so e.g. messages<br>
stay in country). All app-based messengers route messages either via<br>
Google/Apple datacenters, or their own, or more typically a mix. Moreover<br>
most modern messengers use the same cryptography. Certainly Signal,<br>
WhatsApp and probably this EncroPhone thing (which sounds like it uses a<br>
modified version of Signal) all use the same underlying tech developed by<br>
the sort of people who are on this mailing list. Telegram I don't know,<br>
someone else can tell you about that, last I heard they were different and<br>
used their own thing.<br>
<br>
>From a pure cryptographic perspective none of them are really hiding the<br>
message metadata people care about and indeed cannot, as the Liverpool Echo<br>
story points out (police can still track EncroPhone users via cell sites<br>
and messengers must still route messages to the right devices).<br>
<br>
So with respect to what you can use that your contacts will trust, sorry<br>
but I have no idea.<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://moderncrypto.org/mail-archive/messaging/attachments/20200609/5b2151ca/attachment-0001.html" rel="noreferrer" target="_blank">http://moderncrypto.org/mail-archive/messaging/attachments/20200609/5b2151ca/attachment-0001.html</a>><br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Tue, 9 Jun 2020 12:08:14 +0200<br>
From: Thom Wiggers <<a href="mailto:thom@thomwiggers.nl" target="_blank">thom@thomwiggers.nl</a>><br>
To: Mike Hearn <<a href="mailto:mike@plan99.net" target="_blank">mike@plan99.net</a>><br>
Cc: Mike Power <<a href="mailto:mike.power.casual@theguardian.com" target="_blank">mike.power.casual@theguardian.com</a>>,<br>
        <a href="mailto:messaging@moderncrypto.org" target="_blank">messaging@moderncrypto.org</a><br>
Subject: Re: [messaging] Crypto standards in modern-day consumer apps<br>
Message-ID:<br>
        <<a href="mailto:CABzBS7mC-5TBA_%2BniPMZoJk-Jm5YBP6PcWjFUwurzePHxH5XXw@mail.gmail.com" target="_blank">CABzBS7mC-5TBA_+niPMZoJk-Jm5YBP6PcWjFUwurzePHxH5XXw@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Hi,<br>
<br>
You wrote:<br>
<br>
Op di 9 jun. 2020 om 11:19 schreef Mike Hearn <<a href="mailto:mike@plan99.net" target="_blank">mike@plan99.net</a>>:<br>
<br>
><br>
> Whilst pitched for privacy advocates, if that were true they'd presumably<br>
> make it easier to buy them via their website and charge less. The fact that<br>
> it's so expensive and that they're only leasable implies something odd is<br>
> going on there. It won't surprise me if at some point EncroPhone gets<br>
> silently taken over by the Dutch police and used in a sting operation, in<br>
> the same way that Tor markets sometimes were. For them to be legally safe<br>
> they'd have to avoid anything that could be used to prove a criminal<br>
> conspiracy, which from your description of how they operate and the news<br>
> articles sounds unlikely.<br>
><br>
<br>
It's maybe worth to note that Dutch police have done so in the past, see<br>
e.g. the Ennetcom case (<br>
<a href="https://www.theguardian.com/world/2016/apr/22/dutch-police-ennetcom-shut-down-owner-arrested" rel="noreferrer" target="_blank">https://www.theguardian.com/world/2016/apr/22/dutch-police-ennetcom-shut-down-owner-arrested</a><br>
)<br>
and IronChat (<br>
<a href="https://nakedsecurity.sophos.com/2018/11/09/258000-encrypted-ironchat-phone-messages-cracked-by-police/" rel="noreferrer" target="_blank">https://nakedsecurity.sophos.com/2018/11/09/258000-encrypted-ironchat-phone-messages-cracked-by-police/</a><br>
).<br>
<br>
Cheers,<br>
<br>
Thom Wiggers<br>
<br>
<br>
><br>
<br>
> _______________________________________________<br>
> Messaging mailing list<br>
> <a href="mailto:Messaging@moderncrypto.org" target="_blank">Messaging@moderncrypto.org</a><br>
> <a href="https://moderncrypto.org/mailman/listinfo/messaging" rel="noreferrer" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
><br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://moderncrypto.org/mail-archive/messaging/attachments/20200609/a7588142/attachment-0001.html" rel="noreferrer" target="_blank">http://moderncrypto.org/mail-archive/messaging/attachments/20200609/a7588142/attachment-0001.html</a>><br>
<br>
------------------------------<br>
<br>
Message: 3<br>
Date: Tue, 9 Jun 2020 12:26:22 +0200<br>
From: Daniel Lublin <<a href="mailto:daniel@lublin.se" target="_blank">daniel@lublin.se</a>><br>
To: <a href="mailto:messaging@moderncrypto.org" target="_blank">messaging@moderncrypto.org</a><br>
Cc: <a href="mailto:mike@plan99.net" target="_blank">mike@plan99.net</a>, Mike Power <<a href="mailto:mike.power.casual@theguardian.com" target="_blank">mike.power.casual@theguardian.com</a>><br>
Subject: Re: [messaging] Crypto standards in modern-day consumer apps<br>
Message-ID: <<a href="mailto:20200609102622.GB34825@ot.lublin.se" target="_blank">20200609102622.GB34825@ot.lublin.se</a>><br>
Content-Type: text/plain; charset=utf-8<br>
<br>
> All app-based messengers route messages either via Google/Apple<br>
> datacenters, or their own, or more typically a mix. Moreover most modern<br>
> messengers use the same cryptography.<br>
<br>
Perhaps you still mean app-based *consumer* messengers here (and the subject<br>
still does). Briar is arguably not among those, but it is indeed an<br>
interesting example of a peer-to-peer messenger that tries to avoid leaking<br>
of metadata. It has been presented on the list before.<br>
<br>
  <a href="https://briarproject.org/how-it-works/" rel="noreferrer" target="_blank">https://briarproject.org/how-it-works/</a><br>
<br>
--<br>
Daniel<br>
<a href="http://lublin.se" rel="noreferrer" target="_blank">lublin.se</a><br>
<br>
<br>
------------------------------<br>
<br>
Message: 4<br>
Date: Tue, 9 Jun 2020 12:11:46 +0000<br>
From: Peter Gutmann <<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>><br>
To: "<a href="mailto:messaging@moderncrypto.org" target="_blank">messaging@moderncrypto.org</a>" <<a href="mailto:messaging@moderncrypto.org" target="_blank">messaging@moderncrypto.org</a>><br>
Subject: Re: [messaging] [FORGED] Crypto standards in modern-day<br>
        consumer        apps<br>
Message-ID: <<a href="mailto:1591704707218.93122@cs.auckland.ac.nz" target="_blank">1591704707218.93122@cs.auckland.ac.nz</a>><br>
Content-Type: text/plain; charset="iso-8859-1"<br>
<br>
Mike Power <<a href="mailto:mike.power.casual@theguardian.com" target="_blank">mike.power.casual@theguardian.com</a>> writes:<br>
<br>
>Anyway, I'm researching a piece on Encro phones and crypto standards in<br>
>commercial phone software for a book i'm pitching, and also for a series of<br>
>planned articles.<br>
<br>
"Drown me! Roast me! Hang me! Do whatever you please," said Brer Cop. "Only<br>
please, Brer Criminal, please don't throw me into^H^H^H^Huse that specific<br>
brand of encrypted phone that I definitely can't break".<br>
<br>
Peter.<br>
<br>
<br>
------------------------------<br>
<br>
Message: 5<br>
Date: Tue, 9 Jun 2020 14:33:31 +0200<br>
From: Jasper Spaans <<a href="mailto:jasper@startmail.com" target="_blank">jasper@startmail.com</a>><br>
To: Mike Power <<a href="mailto:mike.power.casual@theguardian.com" target="_blank">mike.power.casual@theguardian.com</a>><br>
Cc: <a href="mailto:messaging@moderncrypto.org" target="_blank">messaging@moderncrypto.org</a><br>
Subject: Re: [messaging] Crypto standards in modern-day consumer apps<br>
Message-ID: <<a href="mailto:676E5E86-D49E-49B7-B7ED-307EE59913EC@startmail.com" target="_blank">676E5E86-D49E-49B7-B7ED-307EE59913EC@startmail.com</a>><br>
Content-Type: text/plain;       charset=us-ascii<br>
<br>
Hi,<br>
<br>
> On 8 Jun 2020, at 19:45, Mike Power <<a href="mailto:mike.power.casual@theguardian.com" target="_blank">mike.power.casual@theguardian.com</a>> wrote:<br>
> <br>
> Almost every murder case or major drug bust in Liverpool involves these devices. <br>
> <a href="https://encrophone.com/en/" rel="noreferrer" target="_blank">https://encrophone.com/en/</a><br>
<br>
Completely off-topic and I have no knowledge of this product, but "encro" sounds like a poor play on the words "encryption" and "Mocro" - the latter being slang for Morocco/Moroccan, popularised some time ago in Dutch by rappers of Moroccan descent, and currently by the book and TV-series "Mocro-maffia".<br>
<br>
Can't believe that would truly be the origin of this name...<br>
<br>
<br>
Cheers,<br>
Jasper<br>
<br>
------------------------------<br>
<br>
Message: 6<br>
Date: Tue, 9 Jun 2020 06:23:05 -0700<br>
From: Mike Hearn <<a href="mailto:mike@plan99.net" target="_blank">mike@plan99.net</a>><br>
To: Daniel Lublin <<a href="mailto:daniel@lublin.se" target="_blank">daniel@lublin.se</a>><br>
Cc: Mike Power <<a href="mailto:mike.power.casual@theguardian.com" target="_blank">mike.power.casual@theguardian.com</a>>,<br>
        <a href="mailto:messaging@moderncrypto.org" target="_blank">messaging@moderncrypto.org</a><br>
Subject: Re: [messaging] Crypto standards in modern-day consumer apps<br>
Message-ID:<br>
        <CANEZrP3PHf=agE=<a href="mailto:uWw1LV7DpxWmEnVknasZee4L_7wFOHj%2Bbxw@mail.gmail.com" target="_blank">uWw1LV7DpxWmEnVknasZee4L_7wFOHj+bxw@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Thanks! I didn't know about Briar. Sounds interesting. I used the Orchid<br>
library for integrating Tor into Java apps before, it's quite easy to do,<br>
surprising we don't see more of it. At least on Android.<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://moderncrypto.org/mail-archive/messaging/attachments/20200609/81d8b1d1/attachment-0001.html" rel="noreferrer" target="_blank">http://moderncrypto.org/mail-archive/messaging/attachments/20200609/81d8b1d1/attachment-0001.html</a>><br>
<br>
------------------------------<br>
<br>
Subject: Digest Footer<br>
<br>
_______________________________________________<br>
Messaging mailing list<br>
<a href="mailto:Messaging@moderncrypto.org" target="_blank">Messaging@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/messaging" rel="noreferrer" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
<br>
<br>
------------------------------<br>
<br>
End of Messaging Digest, Vol 576, Issue 1<br>
*****************************************<br>
</blockquote></div>

<br>
<div style="font-size:1.3em;font-family:Arial,Helvetica,sans-serif"><hr></div><div><font style="font-family:Arial;font-size:small">This e-mail and all attach</font><span style="font-family:Arial;font-size:small">ments are confidential and may also be privileged. If you are not the</span><font style="font-family:Arial;font-size:small"> named recipient, please notify the sender and delete the e-mail and all attachments immediately. Do not disclose the contents to another person. You may not use the information for any purpose, or store, or copy, it in any way.  Guardian News & Media Limited is not liable for any computer viruses or other material transmitted with or as part of this e-mail. You should employ virus checking software.</font></div><div><font size="2" face="Arial"> </font></div><div><font size="2" face="Arial">Guardian News & Media Limited is a member of Guardian Media Group plc. R<font>egistered Office: </font>PO Box 68164, Kings Place, 90 York Way, London, <font>N1P 2AP.  </font>Registered in England Number 908396</font></div><div style="font-size:1.3em;font-family:Arial,Helvetica,sans-serif"><font face="Arial, Helvetica, sans-serif" size="2"><br></font></div><div style="font-size:1.3em;font-family:Arial,Helvetica,sans-serif"><br></div>