<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 6, 2016 at 2:49 PM, Jeff Burdges <span dir="ltr"><<a href="mailto:burdges@gnunet.org" target="_blank">burdges@gnunet.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Taler is basically a modernization of Chaum's original blind signature<br>
scheme from like 30 years ago.<br>
<br>
Taler drops Chaum's trick by which double spending results in<br>
deanonymization.  Instead, Taler does online detenction of double<br>
spending, and so does not support offline merchants like Chaum did.  It<br>
follows that a Taler exchange (mint) and merchant cannot be defrauded by<br>
customers in the way Chaum allowed, so a Taler exchange does not need a<br>
collections department the way Chaum and did, and Credit Cards do.<br>
This, along with not using wasteful proof-of-work, makes Taler suitable<br>
for "micro-transactions."  Of course, this also removed the most natural<br>
category of deanonymization attacks on customers in Chaum's scheme.<br></blockquote><div><br></div><div>This is something that I see as a trend in modern crypto that is worth reminding people of.</div><div><br></div><div>Back in the 1980s, we faced some really difficult deployment challenges:</div><div><br></div><div>1) Machines were slow. Even RSA1024 was slow enough to have a serious impact on your application.</div><div><br></div><div>2) Network connectivity was the exception. Applications had to be written so that someone could dial into their ISP, upload their outgoing mail and download their incoming and disconnect without any user interaction.</div><div><br></div><div>3) Some idiots thought that ASN.1 was actually useful.</div><div><br></div><div>None of these restrictions apply to the vast bulk of machines and network users today. Yes there are parts of rural Montana and remote parts of Nigeria where connectivity is still 'batch mode'. But those folk are not going to be early adopters for anything. Yes there are more 8 bit CPUs being produced this year than at any time in the past. But those devices never supported IP and never will.</div><div> </div></div>It is very easy for people to look at the legacy crypto applications and assume that those represent timeless design truths. They don't. Those systems were designed around constraints that no longer exist.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Whit Diffie originally proposed a public key directory. Lauren Kohnfelder invented certificates as a mechanism to make PKI practical with unreliable connectivity. Now that we have reliable connections we have infrastructures like OCSP and XKMS that are actually trying to bend the model back to Diffie's directory.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Oh and BTW, CAs sell management of PKI credentials, not certificates. Whatever you try to replace PKI with, there will be a market for services that establish trust.</div></div>