<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace">On Sun, Oct 30, 2022 at 7:27 PM Ralf Senderek <<a href="mailto:crypto@senderek.ie">crypto@senderek.ie</a>> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
On Sun, 30 Oct 2022, John Denker wrote:<br>
<br></blockquote><div><span class="gmail_default" style="font-family:monospace,monospace"><snip></span> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> When there are two apps, if I want to find a message, I have<br>
> to look in two places. Half the time this doubles the workload.<br>
> This is a step backwards in terms of usability.<br>
<br>
> By the same token, if I want to send a message, I have to<br>
> choose which app to use. If I choose the SMS app, I will<br>
> send an insecure message, even when it would have been<br>
> possible to send a secure message. So this is backwards in<br>
> terms of security as well as usability.<br>
<br>
I think this assessment isn't plausible, because using two different<br>
apps would certainly also split the set of users anyone communicates<br>
with into people like Alice, who uses the new Signal and blokes<br>
like Bob who never intends to send and receive a secure message.<br>
So you'd know where to look when you search for a person's<br>
message. And if you don't find Alice in the insecure app this is<br>
a good reminder not to send her insecure messages as she don't <br>
want that to happen. I don't see why this would be a step<br>
backwards in terms of security.<br></blockquote><div> </div><div><span class="gmail_default" style="font-family:monospace,monospace">I think it's a little more complicated than that if Signal wants to continue to use group texts.</span></div><div><span class="gmail_default" style="font-family:monospace,monospace">Because there will be scenarios in group texts where some of the recipients are using Signal and some of them are not. Plus, that could vary over time and some recipients who are using Signal may stop (it happens) and some who were not originally start to use it.</span> <span class="gmail_default" style="font-family:monospace,monospace"> So if you have to use 2 different apps, that will complicate knowing where to look.</span></div><div><span class="gmail_default" style="font-family:monospace,monospace"><br></span></div><div><span class="gmail_default" style="font-family:monospace,monospace">I suppose there are other UI/UX alternatives though, maybe like choosing different colored fonts for secure vs insecure messages.</span></div><div><span class="gmail_default" style="font-family:monospace,monospace"><br></span></div><div><span class="gmail_default" style="font-family:monospace,monospace">-kevin<br></span></div></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Blog: <a href="https://off-the-wall-security.blogspot.com/" target="_blank">https://off-the-wall-security.blogspot.com/</a>    | Twitter: @KevinWWall | OWASP ESAPI Project co-lead<br>NSA: All your crypto bit are belong to us.</div></div></div></div>