<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jan 3, 2015 at 11:48 PM, Christoph Anton Mitterer <span dir="ltr"><<a href="mailto:calestyo@scientia.net" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=calestyo@scientia.net&cc=&bcc=&su=&body=','_blank');return false;">calestyo@scientia.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Sat, 2015-01-03 at 14:53 -0800, Tony Arcieri wrote:<br>
> SSH has a generally weaker model (TOFU) than at least a privately<br>
> maintained X.509 hierarchy (the answer for a stronger/more agile<br>
> approach on the SSH side is X.509-like SSH CAs). Likewise, TOFU<br>
> handles key agility poorly:<br></span><br>
No one forces users to blindly trust a remote host key on first<br>
encountering it, that's why there are fingerprints and people should<br>
validate those - if people are stupid and don't validate them, well then<br>
you can't help such folks.<br></blockquote><div><br></div><div>This is exactly why we have TLS used by the public, and SSH used by power users. Basic security for the web means not having to verify fingerprints for every service or person you want to interact with.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
And legacy protocols? LOL? I don't think that either of the two will get<br>
away soon.<br></blockquote><div><br></div><div>I hope we're not still stuck throwing bandaids on 1990s ideas in the 2030s.</div><div> </div><div>-- Eric</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Cheers,<br>
Chris.<br>
<br>_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=cryptography@metzdowd.com&cc=&bcc=&su=&body=','_blank');return false;">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" target="_blank">http://www.metzdowd.com/mailman/listinfo/cryptography</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br></div></div></div></div></div></div></div>
</div></div>