<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Aug 5, 2024 at 11:03 PM Ralf Senderek <<a href="mailto:crypto@senderek.ie">crypto@senderek.ie</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I firmly believe that Peter's conclusion [1] is correct:<br>
<br>
  "COMPLEXITY IS THE ENEMY OF SECURITY"<br>
<br>
So we must find practical ways to solve the complexity<br>
problem or at least to tackle it. But bear in mind what<br>
Einstein once said:<br>
<br>
  "Everything should be made as simple as possible *but no simpler.*"<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">There is a tendency for people to design systems that fail to meet essential requirements in the mistaken belief this will reduce complexity.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Often times you cannot eliminate the complexity, you just shift it about. Ignoring revocation makes PKI a lot simpler but means your disaster recovery processes will be a lot more complex.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The lack of consideration for private key management is a major shortcoming in traditional PKIs. Of course it is simplest to assume the private keys magically provision themselves and the public key credentials are properly provisioned.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div></div></div>