
Again, it is not 100 ways. <div><br></div><div>You keep spreading that claim even though it has been demonstrated to be false.</div><div><br></div><div>What the observatory measured was intermediate certificates with different subject names. An intermediate certificate does not imply a CA or even an RA capability.</div>

<div><br></div><div>Repeating a false claim does not make it true.</div><div><br></div><div><br></div><div><br><div class="gmail_quote">On Mon, Sep 26, 2011 at 2:22 AM, Matt McCutchen <span dir="ltr"><<a href="mailto:matt@mattmccutchen.net">matt@mattmccutchen.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">On Thu, 2011-09-22 at 13:22 -0400, Phillip Hallam-Baker wrote:<br>

> That is why I refuse to accept the US controlled DNSSEC hierarchy as<br>

> the ultimate PKI authority. Whatever the claims to the contrary, the<br>

> ICANN root CA is under defacto US government control.<br>

<br>

Yes, absolutely; I pointed this out before<br>

(<a href="http://www.ietf.org/mail-archive/web/keyassure/current/msg01179.html" target="_blank">http://www.ietf.org/mail-archive/web/keyassure/current/msg01179.html</a>).<br>

But DNSSEC is enough of an improvement over the current 100-odd-way<br>

disjunction that I think I'll do more good by first pushing for DNSSEC<br>

and then pursuing the deeper changes that will be necessary to<br>

completely dispense with all-powerful third parties.<br>

<br>

> Russia, China and Iran would be fools not to lobby for the DNSSEC<br>

> scheme because once a single point of control is established it will<br>

> be a trivial matter for them to usurp it within their own territories.<br>

<br>

Huh?  If you have the real IANA public key, any attempted usurpation<br>

outside the CCTLDs controlled by the respective countries is obvious.<br>

Whereas with the disjunction of 100+ CAs, if Russia has one CA, it can<br>

defraud users with respect to the entire namespace.  If you were<br>

thinking of a different scenario, could you spell out the outcomes under<br>

the two systems to help me understand?<br>

<br>

I appreciate your intentions of providing distributed control through<br>

multiple CAs.  But as long as the system is structured as a disjunction,<br>

all it provides is increased attack surface, some of which may lie right<br>

in the countries in question.  Do you propose to change that?<br>

<br>

> The only way to control for the threat of government coercion is to<br>

> ensure that there is transparency in the control mechanism so that a<br>

> default can be detected and there is an alternative means of providing<br>

> authentication in the case that a default occurs.<br>

<br>

And if the alternative mechanism is weaker, the government will just<br>

cause the main mechanism to default all the time, so you haven't really<br>

explained how to reduce the problem.  Phill, if you're interested in<br>

working on this seriously, please poke me and maybe I'll actually set up<br>

a mailing list like I was thinking of before...<br>

<br>

> What is (I think) at issue here is the question of whether a CA would<br>

> be legally coerced to issue false credentials in order to enable a<br>

> lawful intercept.<br>

<br>

Agreed, that is what I am interested in.<br>

<font color="#888888"><br>

--<br>

Matt<br>

<br>

</font></blockquote></div><br><br clear="all"><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br><br>

</div>