If somebody was forced to implement backdoors for the government, do you think they would be allowed to tell you?<br><br>
<div><span class="gmail_quote">On 5/14/06, <b class="gmail_sendername">Adam Shostack</b> &lt;<a href="mailto:adam@homeport.org">adam@homeport.org</a>&gt; wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Niels Ferguson says &quot;over my dead body:&quot;<br><a href="http://blogs.msdn.com/si_team/archive/2006/03/02/542590.aspx">
http://blogs.msdn.com/si_team/archive/2006/03/02/542590.aspx</a>&nbsp;&nbsp;He's<br>also said as much to me in person, as has Peter Biddle.<br><br>Adam<br><br><br>On Sun, May 14, 2006 at 10:43:22AM -0700, Ringo Kamens wrote:<br>| I'm not saying the AES is weak. I'm saying that Microsoft might have
<br>| implemented a back-door for governments. They could store the private keys and<br>| passwords in videocard memory or in the boot sector or something like that.<br>|<br>| On 5/14/06, Tony &lt;<a href="mailto:Tony@tdrmail.co.uk">
Tony@tdrmail.co.uk</a>&gt; wrote:<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; 2. The restrictions on encryption were removed some years ago. The best<br>|&nbsp;&nbsp;&nbsp;&nbsp; encryption software comes from outside the USA anyway so it was always a<br>|&nbsp;&nbsp;&nbsp;&nbsp; pointless exercise in futility.
<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; Unless a vulnerability is found in 256 bit AES it would take them longer<br>|&nbsp;&nbsp;&nbsp;&nbsp; than the ages of the universe to crack a key by brute force no matter how<br>|&nbsp;&nbsp;&nbsp;&nbsp; many terraflops of power they have to task on your key (not to mention the
<br>|&nbsp;&nbsp;&nbsp;&nbsp; many others they might want to crack)<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; 3. Filtering content is not quite the same as signing code and pretending<br>|&nbsp;&nbsp;&nbsp;&nbsp; it comes from Microsoft. Such a piece of code would have a changed checksum
<br>|&nbsp;&nbsp;&nbsp;&nbsp; would likely be spotted and then analysed. I can't see Microsoft doing that<br>|&nbsp;&nbsp;&nbsp;&nbsp; unless required by law.<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; 4. TPM is part of the trusted computing concept. It just makes it much<br>|&nbsp;&nbsp;&nbsp;&nbsp; harder. Not impossible.
<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; ---------------------------------------------------------------------------<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; From: <a href="mailto:owner-or-talk@freehaven.net">owner-or-talk@freehaven.net</a> [mailto:<a href="mailto:owner-or-talk@freehaven.net">
owner-or-talk@freehaven.net</a>] On<br>|&nbsp;&nbsp;&nbsp;&nbsp; Behalf Of Ringo Kamens<br>|&nbsp;&nbsp;&nbsp;&nbsp; Sent: 14 May 2006 18:31<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; To: <a href="mailto:or-talk@freehaven.net">or-talk@freehaven.net</a><br>|&nbsp;&nbsp;&nbsp;&nbsp; Subject: Re: Some legal trouble with TOR in France
<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; There are a few key points that you are overlooking.<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; 1. In support of the photocopying money scandal, most printers have yellow<br>|&nbsp;&nbsp;&nbsp;&nbsp; dots imprinted on them that track date printed, serial number, etc.
<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; 2. By US export law, US companies are not allowed to export encryption<br>|&nbsp;&nbsp;&nbsp;&nbsp; larger than 56 bit (although it might have jumped to 128 a few years ago),<br>|&nbsp;&nbsp;&nbsp;&nbsp; unless it has been certified by the government.&nbsp;&nbsp;That means unless it has a
<br>|&nbsp;&nbsp;&nbsp;&nbsp; backdoor. Plus, governments have thousands of teraflops of idle computer<br>|&nbsp;&nbsp;&nbsp;&nbsp; cycles waiting to crack your keys.<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; 3. How can you honestly think Microsoft wouldn't bend over for the US<br>
|&nbsp;&nbsp;&nbsp;&nbsp; government. They bent over for China. Look at PGP. They moved to closed<br>|&nbsp;&nbsp;&nbsp;&nbsp; source after version 6.0 with no valid reason. The reason is probably the<br>|&nbsp;&nbsp;&nbsp;&nbsp; government.<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; 4. In terms of using checksums to ensure your system hasn't been tampered
<br>|&nbsp;&nbsp;&nbsp;&nbsp; with, the computer hardware could have a defense system against that such<br>|&nbsp;&nbsp;&nbsp;&nbsp; as trusted computing.<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; Ringo Kamens<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; On 5/14/06, Mike Zanker &lt; <a href="mailto:mike@zanker.org">
mike@zanker.org</a>&gt; wrote:<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; On 14/5/06 15:10, Tony wrote:<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; &gt; Nb- failure to disclose keys is up to two years in prison. Not 10.<br>|&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>|&nbsp;&nbsp;&nbsp;&nbsp; &gt; (5) A person guilty of an offence under this section shall be liable-
<br>|&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>|&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp; (a) on conviction on indictment, to imprisonment for a term not<br>|&nbsp;&nbsp;&nbsp;&nbsp; &gt; exceeding two years or to a fine, or to both;<br>|&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp; (b) on summary conviction, to imprisonment for a term not exceeding
<br>|&nbsp;&nbsp;&nbsp;&nbsp; &gt; six months or to a fine not exceeding the statutory maximum, or to both.<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; Furthermore, that's part III of RIPA which hasn't been enacted yet.<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; Mike.<br>|<br>|<br>|<br>|&nbsp;&nbsp;&nbsp;&nbsp; This message has been scanned for viruses by MailController -
<br>|&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://www.MailController.altohiway.com">www.MailController.altohiway.com</a><br>|<br>|<br>|<br>|<br></blockquote></div><br>