<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small">On Sat, May 2, 2020 at 7:33 AM Whitfield Diffie <<a href="mailto:whitfield.diffie@gmail.com">whitfield.diffie@gmail.com</a>> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> The problem with 'end to end' encryption is that it isn't the same as end to end<br>
> security and the developers may have a different definition of what an 'end' is.<br>
<br>
    The problem is with the term `end-to-end encryption.'  All<br>
encryption is from one end of something to another.  Link encryption<br>
is from one end of a link to the other.  Perhaps the term we need here<br>
is ``user-to-user encryption.''<br>
<br>
                           Whit<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">Zoom have released more details of their protocol which I looked at in the video. Will try to do a write up as well at some point. But this is one of those 'among the problems' situations. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Zoom have a lot of problems but most of them are relatively easy to fix given money and the will to do so. Some are not. The reason Zoom is so easy to use is in part the almost complete lack of authentication. They just give you a meeting id and a 'password' which might as well just be part of the meeting ID given the way it is handled.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I don't think user-to-user encryption is the term we need because that is what a lot of the video conferencing systems have AES running from one user to the other. But they don't have user to user security because the key exchange is happening in a cloud service they control completely (people using ECB mode probably aren't using threshold techniques).</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">That is one reason I think we need to go to 'security' rather than just 'encryption'.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">For certain applications, we do need to recognize ends other than users. If Alice is talking to Bob the Broker, the conversation is with an organization, not just Bob the person. So the endpoints are Alice and the Brokerage.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">But random datacenters run by cloud service providers should never be an endpoint.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">One of the really odd things about the Zoom situation is they seem to have a thing about wanting to stamp out zoom sex parties using AI to detect images breaking their 'terms of service'. Suggests a failure to understand their role.</div></div></div>