<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Jun 29, 2016 at 7:46 AM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">Salz, Rich <<a href="mailto:rsalz@akamai.com">rsalz@akamai.com</a>> writes:<br>
<br>
>> On the Impending Crypto Monoculture<br>
> ===================================<br>
><br>
>So, Peter, TL;DR -- is this a good thing or not?<br>
<br>
</span>It's not really a comment either way, more of a food-for-thought article.  We<br>
need usable, non-brittle crypto, <br></blockquote><div> </div><div>On brittleness.  One omission in these discussions is a way to refresh, </div><div>and repair the tools and recover from damage.</div><div><br>It is logical and convenient to have a monoculture for a class of</div><div>communications.   However if that monoculture gets infected (Dutch Elm style).</div><div>Then a non infected reliable infrastructure (scaffolding) is needed to quickly </div><div>and reliably deploy a replacement and protect the uninfected.   If scaffolding </div><div>is cracked it can be rebuilt by the primary method.</div><div><br></div><div>In the discussions on TLA's desire for their own side door is an omission.</div><div>The omission is a failure to address detection and replacement of the TLA</div><div>specific keys and access.  Ignoring mathematical impossibility, the reality is that</div><div>a side door will be opened by hook or crook and then that set of keys</div><div>needs to be replaced in a safe, speedy, secure and reliable way.<br><br>Detection of attack and compromise is also ignored.  I can almost live with a TLA </div><div>holding a flaw secret if and only if they can also effectively monitor and discover others</div><div>exploiting the secret.   On discovery that the secret is known by others perhaps </div><div>bad guys then that flaw needs to be technically repaired at the speed of the internet</div><div>and faster than the bad guys can act on it.  Dutch Elm management took</div><div>half a century plus to get to where we are today.  Internet time collapses </div><div>that to days and hours.  If infrastructure is involved minutes and seconds.  <br><br>Currently managing illegal and criminal activity seems to seek anchors in litigation, prosecution </div><div>and other slow legal methods.  National and infrastructure security involves issues outside</div><div>the law and often has great urgency.   For law enforcement to apply law enforcement</div><div>methods and time frames to technical issues embrittles these technologies.  A mindset </div><div>change is needed.</div><div><br><a href="http://www.dutchelmdisease.ca/history/">http://www.dutchelmdisease.ca/history/</a></div></div></div>Lot of lessons:<br><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div class="gmail_extra"><div class="gmail_quote"><div>"Sounds lofty to say, but think about it: Dutch elm disease has affected everything from the way </div><div>we view monoculture street plantings to our understanding of invasive pests. It forever altered </div><div>urban forestry policy and law, and certainly changed the public’s awareness of street tree management.</div></div></div><div class="gmail_extra"><div class="gmail_quote"><div>...."</div></div></div></blockquote><div class="gmail_extra"><div class="gmail_quote"><div><br></div></div><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>