<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">Jerry Leichter <<a href="mailto:leichter@lrw.com">leichter@lrw.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>
Message: 24<br>
Date: Wed, 4 Jun 2014 17:53:21 -0400<br>
From: Jerry Leichter <<a href="mailto:leichter@lrw.com">leichter@lrw.com</a>><br>
To: Bill Cox <<a href="mailto:waywardgeek@gmail.com">waywardgeek@gmail.com</a>><br>
Cc: "<a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a>" <<a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a>><br>
Subject: Re: [Cryptography] Fork of TrueCrypt<br>
<br>
<br>
On Jun 3, 2014, at 7:05 AM, Bill Cox <<a href="mailto:waywardgeek@gmail.com">waywardgeek@gmail.com</a>> wrote:<br>
> An auto-update feature pinging the server would alert any network snooper of exactly who was using the TrueCrypt fork.  From a security point of view, auto-update is DOA.<br></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

On the other hand, regularly checking a public location on which the latest versions of a wide variety of products are listed reveals pretty much nothing.;<br></blockquote><div><br></div><div>Can you name one for TC? That is to say, a page which lists the current versions of (for example)  TC, Safari, Opera, and Firefox, and which was in place before the recent commotion? I'm not aware of such a page.<br>
<br>> If you act on what you find and go looking for the new version, of course, you reveal your interest.  But that's true *no matter how <br>> you check for or download new versions*:  The metadata about where you connect reveals your interests.  Shock, horror.  Tor.<br>
</div><br><div>It's important to remember that TC and other FDE and file encryption systems are used by people with a wide range of threat models. Sure, it includes corporations protecting IP and/or sensitive customer data, who are mainly worried about the data being stolen. However, it also includes political dissidents, foreign correspondents, and others who may be Not At All Popular with the powers that be where they operate, including locations where the rubber hose is regarded as a cryptanalytic tool. <br>
<br></div><div>For the latter, not raising flags that they are crypto users is critical, and plausible deniability when that fails a Good Thing. While you rightly note that using Tor is difficult to hide, it is a network protocol - it MUST communicate on the net. FDE and file encryption doesn't have to. Automatic checks and updates are a nice-to-have feature, but aren't an essential requirement.<br>
<br></div><div>If the userbase includes people who are trying to maintain a low profile, it is essential that any application-specific communication with the net take place only when and where the user OKs it.<br><br></div>
<div>Even a low profile user can usually find routes to safely perform checks and and obtain updates; that's how TC has been used up till now.<br></div></div><div class="gmail_quote"><br></div><div class="gmail_quote">
Peter Trei<br><br></div></div></div>