<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 26, 2021 at 9:15 PM Howard Chu <<a href="mailto:hyc@symas.com">hyc@symas.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Phillip Hallam-Baker wrote:<br>
> <br>
> <br>
> On Tue, Oct 26, 2021 at 3:22 AM Howard Chu <<a href="mailto:hyc@symas.com" target="_blank">hyc@symas.com</a> <mailto:<a href="mailto:hyc@symas.com" target="_blank">hyc@symas.com</a>>> wrote:<br>
> <br>
>     Phillip Hallam-Baker wrote:<br>
>     > On Sun, Oct 24, 2021 at 8:40 AM Howard Chu <<a href="mailto:hyc@symas.com" target="_blank">hyc@symas.com</a> <mailto:<a href="mailto:hyc@symas.com" target="_blank">hyc@symas.com</a>> <mailto:<a href="mailto:hyc@symas.com" target="_blank">hyc@symas.com</a> <mailto:<a href="mailto:hyc@symas.com" target="_blank">hyc@symas.com</a>>>> wrote:<br>
>     ><br>
>     >     Phillip Hallam-Baker wrote:<br>
>     >     > April King started a thread on Twitter about how to use SSH in the enterprise: Why aren't people using the SSH PKI, why do people roll their own key<br>
>     >     > provisioning scripts knowing these are almost certain to be disaster areas?<br>
>     ><br>
>     >     Good question. Pretty much every pain point you outline here is already solved in enterprises by LDAP.<br>
>     >     Rolling any other solutions just sounds like pointless protocol proliferation.<br>
>     ><br>
>     ><br>
>     > Since a major concern I raised was insider threat and since LDAP is a single point of trust, I fail to see how LDAP is remotely relevant.<br>
> <br>
>     You cannot eliminate that central point. You have to give someone authority to terminate<br>
>     or disable an employee's access. Anyone who can do so can also reset their credentials.<br>
> <br>
> <br>
> Yet the Mesh does exactly that. It is a Threshold Key Infrastructure.<br>
<br>
So how does this Mesh infrastructure solve the problem of HR staff needing to be able to provision and<br>
de-provision accounts for hiring/firing employees, without allowing them to set arbitrary creds<br>
on those accounts?<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">Threshold signatures. The signature key is split into n parts such that t are required to sign a document.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Shares are usually split either between an administrator and a service or multiple administrators. At the moment, the Mesh is focused on threshold decryption but the architecture is designed to support threshold sigs as well. Just waiting on CFRG to make some progress on the spec.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">So an administrator cannot simply add a person to a decryption group or provision them with credentials, these operations are gated. There is cryptographic separation of roles.</div><div class="gmail_default" style="font-size:small"><br></div></div><div class="gmail_default" style="font-size:small"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
You have to bootstrap somehow, if you never used any form of PKI at all before. Once users are<br>
enrolled you can remove/disable their old passwords.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">Threshold key distribution is more secure. I do not make use of passwords. Every interaction is zero user effort and has a work factor of 2^128.</div></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The only time passwords are involved with the Mesh is when people make use of the Mesh credential catalog as a password vault. And that is designed to provide an off ramp from password use. Every device that can access the password vault is provisioned with a public key it can use to authenticate itself directly. So the strategy is to enable a transition:</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">1) Alice uses the password vault to remember her existing passwords.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">2) Alice has the password vault on every machine she uses and starts making use of long and strong passwords.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">3) User base of Mesh grows to the point that sites support use of the Mesh authentication keys (e.g. with Fido)</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Perhaps you might want to re-read my original proposal in the light of the fact that I am using a set of technologies you were previously unaware of.</div></div></div>