<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Aug 20, 2020 at 8:58 PM Sid Spry <<a href="mailto:sid@aeam.us">sid@aeam.us</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Aug 20, 2020, at 5:47 PM, John Denker via cryptography wrote:<br>
> Has anybody vetted flowcrypt?  It purports to provide PGP for gmail.<br>
> <br>
>   <br>
> <a href="https://chrome.google.com/webstore/detail/flowcrypt-encrypt-gmail-w/bnjglocicdkmhmoohhfkfkbbkejdhdgc" rel="noreferrer" target="_blank">https://chrome.google.com/webstore/detail/flowcrypt-encrypt-gmail-w/bnjglocicdkmhmoohhfkfkbbkejdhdgc</a><br>
> <br>
> It claims to provide "end to end" crypto, but as we've seen lately,<br>
> that doesn't always mean what we might want it to mean.<br>
> <br>
<br>
Well, I see a few problems, most of them unrelated to the actual implementation:<br>
1. Updates pushed from Chrome app store. Updates that compromise the encryption<br>
could be pushed to targeted users.<br>
2. The plugin runs in the browser and could likely side channel message info via<br>
analytics/tracking APIs, etc.<br>
<br>
> It also claims to be easy to set up and use.<br>
> <br>
<br>
As I'm sure you know this good for getting people to actually use it. I think Telegram<br>
or Signal fare better, but are not suitable for all conversations perhaps.<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">Telegram and Signal have the same issue with the possibility of downloading a poisoned update. Signal in particular demands weekly updates. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The only way to be confident of the code is if there is a genuinely open standard and open service model. Neither Signal nor Telegram qualified.</div><div class="gmail_default" style="font-size:small"></div></div></div>