<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Sep 21, 2021 at 11:07 PM Jonathan Thornburg <<a href="mailto:jthorn4242@gmail.com">jthorn4242@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, Sep 21, 2021 at 12:37:38PM -0400, Phillip Hallam-Baker wrote:<br>
> The expiry agent publishes a series of public keys that expire daily,<br>
> weekly, monthly, yearly etc. Daily keys for the next three years, weekly<br>
> for the next ten, after that monthly, and so on. Maybe 10,000 in all.<br>
> <br>
> Forget the internal mechanism for a moment, assume its threshold with<br>
> Shamir/Lagrange stuff goin' on. Point is that the service will perform a<br>
> key exchange up to the predetermined expiry date/time. At some point after<br>
> the expiry date/time it will physically erase the keying material<br>
> completely.<br>
<br>
But what do you do about the NSA having acquired a copy of the expiry<br>
agent's private keys via a secret-to-everyone-except-one-expiry-agent-VP<br>
"national security letter"?  It seems to me that as soon as any 3rd party<br>
(e.g., the expiry agent) has information -- *particularly* high-value<br>
keying material -- you have to assume that $GOVERNMENT can get a copy.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">That is why you need threshold.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Consider the case where there are three threshold services in US, Netherlands and Iran with public keys x.P, y.P and z.P</div><br></div><div><div class="gmail_default" style="font-size:small">You create the ephemeral {e.P, e} and encrypt to e.(x.P + y.P + z.P)</div><br></div><div><div class="gmail_default" style="font-size:small">To decrypt using e.P, you require  x.(e.p) + y.(e.p) + z.(e.p)</div><br></div><div><div class="gmail_default" style="font-size:small">[Alternatively, we can use Shamir/Lagrange techniques to the same effect and have 2 out of 3 type threshold constraints.]</div><br></div><div><br></div><div><div class="gmail_default" style="font-size:small">So the only way that the data is available in breach of the escrow conditions is if the holders of x and y and z collude. in what circumstances short of invasion by hostile extra-terrestrials is such collusion likely?</div><br></div><div><br></div><div><div class="gmail_default" style="font-size:small">Of course, separation of roles does not eliminate the trust issues but it does make collusion necessary.</div><br></div><div><br></div><div><br></div><div> </div></div></div></div></div>