<div dir="ltr"><div class="gmail_default" style="font-size:small">On Mon, Nov 14, 2016 at 5:45 PM, Ray Dillinger <span dir="ltr"><<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>></span> wrote:<br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">In response to recent discussion on the list:<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small;display:inline">​...​</div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
How can we change that?  What can we do to make it easier to do, provide<br>
a transition path toward, and get pinning, certificate checking, and<br>
revocation list checking integrated on hosts and cert generation/use<br>
integrated into clients?  And make it simple and easy for consumers to<br>
share their certs from multiple devices, reliably remove them from<br>
devices before loan or sale, and revoke-and-replace whenever one of<br>
their devices with a copy of their cert gets stolen?<br><br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">​This is exactly what I am working to do with the Mathematical Mesh.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><a href="http://prismproof.org">http://prismproof.org</a></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I have just uploaded a new site with all new content. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The Mesh is a user centric PKI for managing client side keys. It makes using computers easier by making them more secure.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The only configuration the user is ever asked to do is to confirm fingerprints when adding or removing devices. That is it. Everything else is automatic. Certificate enrollment, renewal, everything. The code supports X.509, SSH and OpenPGP format keys.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">​Keys are rigorously separated by function and device. So if you are logging in to a machine using Mesh authentication, each device you own has a separate authentication key. That makes it possible to de-authorize the key if the device is lost or stolen without having to do anything drastic. </div></div></div></div></div>