<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 22, 2019 at 12:59 PM Arnold Reinhold <<a href="mailto:agr@me.com">agr@me.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
On Thu, 21 Mar 2019 21:57 Phillip Hallam-Baker wrote:<br>
<br>
...<br>
> Because if security is going to be any use to people it has to be easy<br>
> enough that a 60+ year old grandmother who left school before the Internet<br>
> arrived can use it because she is the US Secretary of State. ...<br>
<br>
There are a number of security issues related to the Hillary Clinton email story that seem to have gotten lost. <br>
<br>
The Secretary of State’s job involves sensitive negotiations where complete confidentiality is essential. The unclassified State Department email system was widely reported as having been hacked by the Chinese, to the point where it took a long time to purge the system. The classified email system was, of course, run by the NSA, which is part of the Department of Defense. Rivalries between DOD and State are legion and there was no reason for Secretary Clinton to trust that her email would be kept confidential from the Secretary of Defense, not to mention dozens of system administrators and other civil servants. She was reportedly advised by outgoing Secretary of State Colin Powell to get a private email account. <br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">This is very close to my theory which is that she didn't trust the GSA staff. Nor should she as the behavior of the NYC FBI proved. If she had used the GSA server, her emails would have been leaked to the Republicans in the House for their Benghazi treachery.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">All of which is why I have spent the past five years working on making end to end email security practical and easy to use. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I can now make end to end encryption exactly as easy as regular email. Just put the email address in the message as normal and send.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">OK so there is some magic: I change the email address to embed the fingerprint of the recipient:</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-weight:700">alice@example.com.mm--mb2gk-6duf5-ygyyl-jny5e-rwshz </span>  <br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"></div><div class="gmail_default" style="font-size:small">If the email client is Mesh enabled, it can recognize this as a SIN and work out that it needs to apply a security policy (OpenPGP or S/MIME) that has the fingerprint mb2gk--</div><br></div><div><div class="gmail_default" style="font-size:small">The Mesh code is all open source. I am currently working methodically through the documentation. If someone would write an SMTP proxy that intercepts the outbound email and applies enhancements, we could get this into people's hands sooner than if I write all the code on my own.</div><div class="gmail_default" style="font-size:small"></div><br></div></div></div>