It is suggested that those that REQUIRE the security offered by SSL's party verfication would have the knowledge to understand that SSL's party verficiation CAN FAIL. And that those that have that require such a degree of security could likely find something else.<div>

The one who suggested the idea therefore assumes others assume SSL to be broken by design, although that seems fairly obvious to me it's a big suprise to many others. Such unclarity is dangerous and might lead/have lead to sincere consequences, it might also not have. If it has then we are unlikely to ever find out.</div>

<div><br></div><div>For those that do not understand my point take the following senario: I'm a stupid person doing things others would kill me for. I know others want to kill me for it so I hide it. I download Truecript and follow all the advice there is on the subject, really figure out how to use it. Suddenly, Truecript turns out to be broken (by design even), I didn't know or expect it. Noone warned me. I am now hunted by those that wanted to kill me. Who is to blame? Me for not knowing? Others for lying to me?</div>

<div>Truth be told it would be my fault, I should've known what I was doing. Yet it would've been preferable if it would've been avoided.</div><div><br></div><div>TL;DR: Saying SSL is broken by design is true but still sad. Let's all get over it and figure something better out. </div>

<div><br></div><div>Lewis</div><div><br><div class="gmail_quote">2011/9/17 M.R. <span dir="ltr"><<a href="mailto:makrober@gmail.com">makrober@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

On 17/09/11 14:03, Peter Gutmann wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
... What you're saying is that no-one working in an<div class="im"><br>
environment where they actually need SSL should trust SSL.<br>
</div></blockquote>
<br>
I honestly don't understand why you would say "...where they<br>
actually need SSL...".<br>
<br>
Let's first assume we agree on what we mean by various terms here:<br>
<br>
That "environment" is one where people who are failed by<br>
their computer communication security system suffer consequences<br>
harsher (much, much harsher!) than a few hundred (or even a few<br>
thousand) dollars of a monetary loss, and where their adversary<br>
is a government unbridled by any need to subject their surveillance<br>
projects to an approval by an independent judiciary.<br>
<br>
"SSL" is a system that depends on the security on a large bunch<br>
of "trusted third parties", all of which are selected by various<br>
software vendors and any single one of them can completely subvert<br>
the security of the said communication system.<br>
<br>
It is obvious to me then that they ~don't need~ SSL; they should<br>
be instructed to ~avoid~ SSL. Or am I wrong in my understanding<br>
of what SSL is?<br>
<br>
Mark R.<div><div></div><div class="h5"><br>
______________________________<u></u>_________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net" target="_blank">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/<u></u>mailman/listinfo/cryptography</a><br>
</div></div></blockquote></div><br></div>