<div dir="ltr"><div dir="ltr"><div style="box-sizing:border-box"><p style="font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px;margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">Despite PGP and S/MIME having been designed zillions of years ago,  it seems like end-to-end email encryption/integrity protection are not widely used.  Which of the following is reasonably close to the truth? </span></span></span></p>



<ul style="font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px">

        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">Of course they are widely used.  I'm just not aware.</span></span></span></li>
        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">The usability issues were not worked out.  How would a user obtain a public key?  How would a user get a certificate?  How would a user know the public key of someone they are receiving from/sending to?</span></span></span></li>
        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">It never reached critical mass…there were never enough people who could receive encrypted email that it was worth trying to figure out how to send it.</span></span></span></li>
        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">Big companies do not want end-to-end encryption of email.  They want to have middleboxes be able to scan for phishing links and perhaps they are legally required to keep records of all email sent to or from company email addresses.</span></span></span></li><li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">Even individual users need middleboxes to scan for spam and other services (such as maybe warning about dangerous links)</span></span></span></li>
        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">Ordinary users just aren't worried about having their email seen by others, at least not enough to figure out how to get an email client that can do encryption, obtain a key, etc.</span></span></span></li>
        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">Other solutions became popular, which (I think) involve a central server that a sender requests a secret key from, the sender encrypts with that secret key, and then the receiver needs to ask the central server for the key.  I think if a big company is using such a product, it is implemented in a way that lets the company see plaintext of all email to/from that company's email addresses. </span></span></span></li>
        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">People don't really know what different forms of "encrypted email" mean, so central-server-secret-key-style, vs end-to-end with user public keys, vs using TLS between mail transfer agents all count as "encrypted email"</span></span></span></li>
        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">Something else?</span></span></span></li></ul><div style=""><font face="Calibri, sans-serif"><span style="font-size:14.6667px">Thanks,</span></font></div><div style=""><font face="Calibri, sans-serif"><span style="font-size:14.6667px">Radia Perlman</span></font></div></div></div></div>