<div dir="ltr"><br>The sorta famous R Perlman said:<br>> " Despite PGP and S/MIME having been designed zillions of years <br>> ago, it seems like end-to-end email encryption/integrity protection <br>> are not widely used. Which of the following is reasonably close <br>> to the truth ?"<br><br>My not particularly humble opinions are indented under the reenumerated questions. Is 'reenumerated'<br>a real word ? -anyway- They are all good reasons it's a lead balloon.<br><br><br>R1: Of course they are widely used. I'm just not aware.<br>  dbk: Nobody uses it except strange hobbyists and computer science<div>         people we love to fuss over there stuff.<br><br><br>R2: The usability issues were not worked out. Hard to get magic strings from servers, share them.<br>  dbk: Average people figure its pretty complex, so why bother, but even<br>         more profoundly, doing 'stuff like that' just means trusting<br>         some other organization or people you don't know. Why do a hard<br>         thing to swap trusting one heap of people for a different heap.<br><br><br>R3: It never reached critical mass…there were never enough people.<br>  dbk: Yes.<br><br><br>R4: Big companies do not want end-to-end encryption of email. <br>  dbk: Of course. Anythign that empowers employess is entirely</div><div>          unwelcome. Add some; "Maybe its a little illegal", and its </div><div>          over. Companies can't even figure out they should protect t</div><div>          here heaps of computers, from regular crime. Anything like </div><div>          this looks and smells like a cost, So its a dead duck at work.<br><br><br>R5: Even individual users need middleboxes to scan for spam and other services.<br>  dbk: Spamboxes on free email work well enough that gloss a sheen of</div><div>          'somebody is doing security for me for nothing', over the issue.<br><br><br>R6: Ordinary users just aren't worried about having their email seen by others.<br>  dbk: They correctly ascertain unless there is an unusual reason,</div><div>          nobody cares enough to snag messages. Even more simply</div><div>          stealing there computer seems like how leaks would happen. </div><div>          so simply deciding to erase them seems like its doing a lot. It</div><div>          isn't. Its not like paper but all the terminology makes it seem </div><div>          like that. No copies = more secure.<br><br><br>R7: Other solutions became popular, which involve a central server...</div><div>  dbk: Trusting one heap of people you don't trust for antoher. Adds a</div><div>          cost, Kerberos is way to complicated for company upper</div><div>          management to understand unless its a solid I.T. company.<br><br><br>R8: People don't really know what different forms of "encrypted email" mean.<br>  dbk: Careful studies of people applying end to end crypto show</div><div>          average people absolutely, totally don't understand the base</div><div>         ideas of PGP at all. Careful experiments show they constantly</div><div>         reveal secrets and comprimise there messaging forever, </div><div>         thinking there doing the  stuff correctly. <br><br><br>R9: Something else?<br>  dbk: Spook shops buy companies and tinker with international laws</div><div>          just a little but on an ongoing bases. Its no huge secret project, </div><div>          its a small secret project with infinite funding forever.</div><div>         You see companies change countries, disappear, etc in this </div><div>         field much more then other fields. A shopping bag of money </div><div>         with a threat is probably the usual approach.<br><br>Regards,<br>Old Dan </div><div>In Toronto with a PGP sales office right downtown </div><div><br></div><div>Document end 21 Aug 2021</div><div><br></div><div><br><br></div></div>