<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Sep 18, 2014 at 7:44 AM, Derek Atkins <span dir="ltr"><<a href="mailto:derek@ihtfp.com" target="_blank">derek@ihtfp.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">*THAT* is the problem that needs to be solved.  You need to convince<br>
every MUA out there to make generating keys (and/or a certificate) as<br>
easy as PGP, and also make encryption the default.  Indeed, you need to<br>
get to a point where the MUA would pop up a dialog saying "You are about<br>
to send email unencrypted.  Anyone (like the NSA) could read this.  Are<br>
you sure?  y/N"<br></blockquote><div><br></div><div>As I've been learning more about U2F, I'm growing hopeful that Google End-to-End encryption (which I understand is an ECC-only OpenPGP implementation integrated with the Chrome browser) is designed for integration with the upcoming FIDO/Google U2F devices (which I understand are ECC-based smartcards -- that Google is also deeply integrating into the Chrome browser). </div><div><br></div><div>My understanding is that U2F implements a public key system where each website/service/account/device generates unique keys (the design is claimed to prevent tracking actual U2F devices). If U2F succeeds perhaps in the future any website you register with using U2F will effortlessly gain the ability to message to you securely via the U2F public key? I think I've seen foreshadowing of this in the documents I've read so far. Yubico recently announced public availability of U2F yubikey USB tokens are expected october-ish (the U2F yubikeys are claimed to be widely used within Google already). I have been very impressed with the usability of yubikey and I'm optimistic it can support a UI that works well with "general public" types.</div><div><br></div><div>--judd</div></div></div></div>