<div dir="ltr">On Fri, Sep 13, 2013 at 12:23 PM, Perry E. Metzger <span dir="ltr"><<a href="mailto:perry@piermont.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=perry@piermont.com&cc=&bcc=&su=&body=','_blank');return false;">perry@piermont.com</a>></span> wrote:<br>


<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I strongly suspect that delivering them securely to the vast number<br>



of endpoints involved and then securing the endpoints as well would<br>
radically limit the usefulness. Note that it appears that even the<br>
NSA generally prefers to compromise endpoints rather than attack<br>
crypto.<br></blockquote><div><br></div><div>Yes, even airgapping keys within an organization scales poorly (I say this as an employee of a company that has built a high availability encryption service around HSMs). While USB drives are certainly large enough to store huge pads, the fact remains that OTP is only better than other systems if we can keep the keys off the wire. This means that we need a sneakernet to move keys around.</div>

<div><br></div><div>The payments industry in the US has done this somewhat successfully. They do things like shipping fragments of the keys through different shipping companies, having the recipient reassemble them at their end. Even then it's difficult to know if they've been intercepted: you can encrypt them, and put the drives in tamper evident bags, but at least the latter can be thwarted.</div>

<div><br></div><div>Obviously the Public Key Infrastructure scales a lot better than this approach.</div><div><br></div></div>-- <br>Tony Arcieri<br>
</div></div>