<div dir="ltr"><div class="gmail_default" style="font-size:small">On Mon, Sep 3, 2018 at 1:45 PM Christian Huitema <<a href="mailto:huitema@huitema.net">huitema@huitema.net</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div text="#000000" bgcolor="#FFFFFF">
    <div class="m_2733710939104763725moz-cite-prefix">On 9/2/2018 7:17 PM, Phillip
      Hallam-Baker wrote:<br>
    </div>
    <blockquote type="cite">
      <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">And a design
        brief where a random nation state can create a<br>
        certificate for <a href="http://microsoft.com" rel="noreferrer" target="_blank">microsoft.com</a> is a
        good one?!?<br>
      </blockquote>
      <div><br>
      </div>
      <div>
        <div style="font-size:small">It enabled
          Amazon and online commerce. It has worked for 20 years. Nation
          state attacks tend to be mitigated by their reluctance to get
          caught. Though not always. Skripal was obviously attacked with
          the nerve agent to leave no doubt as to who was behind it.
          Though that game is rather more desperate and higher stakes
          than most.</div>
      </div>
    </blockquote>
    <br>
    There was a nation state, Iran, behind the Diginotar attack. The
    attack enabled them to create fake certs for Google, so as to spy on
    Gmail traffic. I would not say that all nation states exhibit
    "reluctance to get caught".<br></div></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">I said 'tend to be'. The US govt has been risk averse in this respect, the Snowden papers clearly show that they did exactly what they thought they could get away with without being caught. Which was a heck of a lot!</div><br></div><div><div class="gmail_default" style="font-size:small">The Iranian govt had a different objective in that they wanted their population to know that they were being watched. In fact that was their chief goal above and beyond actually catching people. If they catch people, they have to do something with them and that is actually rather hard in the Shi'ia theology because the legitimacy of the ruler depends on how they rule.</div><br></div><div><div class="gmail_default" style="font-size:small">The problem with the Iranian approach is that it was externally visible and didn't last very long as a result. It lasted for a critical period when the regime was under huge pressure though.</div><br></div></div></div>