<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix"><br>
    </div>
    <blockquote type="cite"
      cite="mid:b82520c4-7d81-01e3-7bf3-168e35a4c548@iki.fi">Berna
      inquired if there are more thoughts on doing a code audit (related
      to crypto).</blockquote>
    <p><br>
    </p>
    <p>An important addition from the security standpoint: If you want
      to secure the crypto users, the scope of an audit must be not only
      code related to crypto, but 100% all of Thunderbird, when it comes
      to critical security holes. Per <a moz-do-not-send="true"
        href="https://www.mozilla.org/en-US/security/advisories/">definition</a>,
      any critical hole anywhere in Thunderbird allows an attacker to
      also read the private keys, install a keylogger, and read all
      stored mail, and not only that, but most other documents owned of
      that user on that computer, even outside of mail. So, a security
      audit only of crypto related code is not the right perspective.</p>
    <p>The best start is to look for critical holes first, before
      looking for crypto audits.<br>
    </p>
    <p>Of course, given that all the crypto code is new, it's a good
      idea to look at that as well.<br>
    </p>
  </body>
</html>