<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 4, 2015 at 10:37 AM, Thierry Moreau <span dir="ltr"><<a href="mailto:thierry.moreau@connotech.com" target="_blank">thierry.moreau@connotech.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi!<br>
<br>
Is paranoia a productive feeling?<br>
<br>
Two propositions:<br>
a) you missed a simple explanation for delays and apparent non-sense,<br>
b) irrespective of your findings, you will remain suspicious of what's inside these boxes full of firmware with peripheral access to potential subliminal channels.<br></blockquote><div><br></div><div>Well I would not use the box for code development. This is a RAID array for the home theater. The source code is going to be managed on SourceForge and there is a firewall between my office and the rest of the house.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Is your day job about designing crypto key management schemes where the most critical operations are performed in computing environments (e.g. an "open source HSM") where critical secret leakage risk is manageable?<br></blockquote><div><br></div><div>Yes it is.</div><div><br></div><div>Which is why I do not have any connection to the operational environment.</div><div><br></div><div>I am very interested in open source HSM efforts. But that isn't currently my focus.</div><div><br></div><div><br></div><div>What is in my scope is considering supply chain security and the risks of precisely this type of compromise. I do build my development machines myself but that only ups the work factor rather than being a protection. I like these Raspberry Pi devices as I can load them with an O/S build of my choice from a reasonably secure media. Again, not perfect proof.</div><div><br></div><div>Thing is that I have attended MIT workshops where we discuss this sort of thing with people who retired from the most senior positions of certain three letter agencies. One of the hypotheses I put forward at that meeting is that </div><div><br></div><div>1) China has good reason to fear cyber attack from Russia (look at a map, all those countries between them are highly unstable and have large Russian and Han minorities)</div><div><br></div><div>2) China's policy of stealing IP has prevented the country developing a native design capability. We hire lots of Chinese engineers who can't find work at home to do anything apart from reverse engineering.</div><div><br></div><div>3) Therefore, China has to get the US/Germany/etc. to do the R&D for the cyber defense technologies it needs so it can steal them.</div><div><br></div><div>4) China has no purchasing power because it steals everything.</div><div><br></div><div>5) Therefore China's optimal cyber strategy is to attack the West in the very open manner we see in the expectation that this causes us to develop the cyber defense technologies they need.</div><div><br></div><div><br></div><div>So maybe they are just attempting to use the strategy I suggested to apply my thought to the supply chain problem they would like to see me solve rather than the other problems they do not want to see solved.</div></div></div></div>