<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 14, 2015 at 3:33 AM, Ray Dillinger <span dir="ltr"><<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>
<br>
On 09/13/2015 07:28 PM, Phillip Hallam-Baker wrote:<br>
<br>
> Still, how do we do AM right with cryptography? That should be the thing we<br>
> look at!<br>
<br>
</span>Hmmm.  What set of services are needful to provide?<br>
<br>
Obviously people want to be able to use their browsers to see<br>
HTML pages that get regularly updated.  And they want deniability,<br>
which is specifically an avoidance of anything like authentication,<br>
so SSL certificates on the server side are okay but not on the<br>
client side.<br>
<br>
But those HTML pages, images, etc, can be on their own filesystems,<br>
yes?  So they could get a big encrypted package daily-or-so that<br>
contains the site updates - probably via bittorrent or equivalent,<br>
which gets unpacked directly onto their filesystem in encrypted<br>
form.  Then they can browse using their browser with a local-system<br>
proxy that decrypts the material without ever writing the plaintext<br>
to the filesystem.  If and as they answer or write ads, their proxy<br>
uploads a relatively tiny update, no more than once per hour, to<br>
the server - possibly via Tor or encrypted and tucked into an ICMP<br>
packet.<br>
<br>
Obviously this won't work if the site services need to include very<br>
time sensitive things like live chat, and very heavy datastreams<br>
like streaming movies, but it would certainly work for a relatively<br>
simple private website a heck of a lot more resistant to traffic<br>
analysis and account hacks than AM ever was.<br>
<br>
If the central server sees your searches in plaintext, then it could<br>
tailor an update for you depending on your searches - but there's a<br>
privacy issue with the trusted central server where someone can<br>
demand to see those searches.  Otherwise, users would need to select<br>
a subsite to browse (a torrent seed, basically) based strictly on<br>
statistical data or general interests, and have searches be local-<br>
only.<br>
<br>
Obviously anybody will be able to subscribe and get the daily update<br>
bundles, so the ads people place should not be considered to be<br>
private material.  But who placed which ad, I believe, is information<br>
that is legitimately private and should be withheld from anyone who<br>
declines to answer the ad and meet face to face.<br></blockquote><div><br></div><div><br></div><div>This is at a lower level than I was thinking. Sure Tor is an OK technology. But lets architect on a clean sheet of paper and then decide on the best fit.</div><div><br></div><div>I see a number of requirements here:</div><div><br></div><div>1) Ability to advertise a service / interest / etc. anonymously.</div><div><br></div><div>2) Ability to review advertisements anonymously.</div><div><br></div><div>3) Ability to express an initial interest in connecting to someone via some sort of restricted, reputation filtered channel designed to mitigate spam.</div><div><br></div><div>4) Ability to respond to such requests with accept / reject.</div><div><br></div><div><br></div><div>I think 1 & 2 can be served by any old Web / Blog hosting service. So all we need is the link in to 3. Which I think need be no more than a handle on some network that binds to a public key:</div><div><br></div><div><span style="font-size:11pt;line-height:107%;font-family:Calibri,sans-serif;color:black"><a href="mailto:MB2GK-6DUF5-YGYYL-JNY5E-RWSHZ@cheaters-r-us.com">MB2GK-6DUF5-YGYYL-JNY5E-RWSHZ@cheaters-r-us.com</a></span><br></div><div><span style="font-size:11pt;line-height:107%;font-family:Calibri,sans-serif;color:black"><br></span></div><div><span style="font-size:11pt;line-height:107%;font-family:Calibri,sans-serif;color:black"><br></span></div><div><span style="font-size:11pt;line-height:107%;font-family:Calibri,sans-serif;color:black">So I pull the profile for </span><span style="color:black;font-family:Calibri,sans-serif;font-size:11pt;line-height:107%">MB2GK-6DUF5-YGYYL-JNY5E-RWSHZ from 'somewhere' (doesn't need to be the hook-up point). That gives me a description of how to contact that person that is signed by a key that is signed under the root of trust with the UDF fingerprint </span><span style="color:black;font-family:Calibri,sans-serif;font-size:11pt;line-height:107%">MB2GK-6DUF5-YGYYL-JNY5E-RWSH.</span></div><div><span style="color:black;font-family:Calibri,sans-serif;font-size:11pt;line-height:107%"><br></span></div><div><span style="color:black;font-family:Calibri,sans-serif;font-size:11pt;line-height:107%">The contact details could simply be, 'here is a dead drop box, send me a message'. </span><span style="color:black;font-family:Calibri,sans-serif;font-size:11pt;line-height:107%">Or it could require a proof of work to deter spam and so on.</span></div><div><span style="color:black;font-family:Calibri,sans-serif;font-size:11pt;line-height:107%"><br></span></div><div><span style="color:black;font-family:Calibri,sans-serif;font-size:11pt;line-height:107%"><br></span></div><div><span style="color:black;font-family:Calibri,sans-serif;font-size:11pt;line-height:107%">Hard one to deal with is reputation. Sites that work tend to use reputation. If you use reputation it becomes very easy to map out the social network and that tells you everything.</span></div></div></div></div>