<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small">TLDR; If any of you here will be at the Singapore IETF, we need to talk.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">S/MIME and OpenPGP both have userbases of roughly 3 million registered keys and probably about a million actual active users.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">These userbases are distinct because the validation processes for one do not work for the other. OpenPGP is a better approach to authenticate Alice, S/MIME is the better way to authenticate Bob's Bank.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The reason almost nobody is using S/MIME on Thunderbird today is that obtaining and installing a certificate is utterly awful. It took me 15 minutes to complete and I have 25 years experience. Those who do are probably working in the federal government or its principal contractors.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I have been looking at ways to get the Internet to use end-to-end secure email and my conclusion was that it is a BetaMax vs VHS issue, both camps are completely locked in and neither is ever going to budge. So if we want to support end-to-end secure, the only long term strategy to achieve that is to do what ended the BetaMax/VHS battle and move to DVD.</div><div class="gmail_default" style="font-size:small"></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">If this is going to work, we really need to bring those legacy user communities along with us. So to move to something better we have to first fix S/MIME and OpenPGP. And that means fixing the way keys are registered and the way they are managed across devices.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I have a proposal to do exactly that. It is called the Mathematical Mesh and if my proposal was accepted, the IETF will be discussing forming a working group on it at the Singapore IETF this November.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The Mesh makes configuring the email client really easy whether the user has one device for email or ten. It allows the use of any trust model including the OpenPGP and S/MIMe models. It also supports configuration of any application with cryptography.  <br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I am currently finishing production of some videos that will introduce the Mesh. Naturally, the Mesh is open at every level as I explain in the second video. But it is not limited to end to end secure email and the question you might want to ask is whether this is a slippery slope you want to go down carefully or on skis.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Right now, the only way to have an end to end secure conversation is to find out if the other party uses keybase, Signal, Telegram, etc. log into the one they use and chat.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">What if Thunderbird was also an end-to-end secure chat client and it wasn't limited to a single service provider?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">What if the same end-to-end secure protocol that supported synchronous messaging also supported asynchronous (i.e. mail)?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The Mesh is not the only proposal that has been made in this space but it is the first that makes use of 'meta-cryptography' which is a bit of marketecture for some techniques invented in the 1990s that have not been used in commercial cryptography to date.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 8, 2019 at 8:49 AM Kai Engert <<a href="mailto:kaie@kuix.de">kaie@kuix.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 08.10.19 14:02, Ludovic Hirlimann wrote:<br>
> but is s/mime support worth keeping ?<br>
<br>
I wouldn't consider the barrier of entry to actively use it as a<br>
sufficient reason to remove it.<br>
<br>
Even if not using S/MIME actively, Thunderbird users can passively<br>
benefit from S/MIME support, by being able to verify the digital<br>
signature in emails. I frequently receive digitally signed S/MIME email<br>
sent to me by banks, companies, insurances or the post office.<br>
<br>
Also, I assume there are many corporate Thunderbird users who are still<br>
happy that we support S/MIME.<br>
<br>
Kai<br>
_______________________________________________<br>
tb-planning mailing list<br>
<a href="mailto:tb-planning@mozilla.org" target="_blank">tb-planning@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/tb-planning" rel="noreferrer" target="_blank">https://mail.mozilla.org/listinfo/tb-planning</a><br>
</blockquote></div></div>