<div dir="ltr">Hmm, guys, could please make it clear for me what do strong deniability and weak deniability mean? <div>And what's the difference between repudiation/non-repudiation and deniability? I may lack some knowlege of English here.</div>
<div><br></div><div>And how this all matches up with the basic idea to mimic real-world private conversations? </div><div>As far as I can see all the things we are trying to do with chat transcript are aimed to mimic the situation that no such transcript have ever existed. </div>
<div><br></div><div><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">>However, in a more complex scenario that is IMO closer to the real world, even</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">though J understands B/M may not be honest, they might assume partial honesty -</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">i.e. that it is costly to forge evidence, and that the sheer amount of evidence</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">can count for "proof" even though it technically could be forged. Here, we want</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">strong-deniability.</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px"><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">This is why Big Brother can't just claim that all of Larry Leaker's documents</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">are made up - the amount of information revealed makes this claim unplausible.</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">I</span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">t's also why anonymity is hard, because all you need there is balance of</span></div>
<div><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">probabilities.</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px"><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">Even in real-world meetings, someone can record your voice. They could forge</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">the recording, but a high-enough quality recording would be analogous to a</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">cryptographic signature - the amount of effort to produce it would be thought</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">of as "infeasible", and the balance of probabilities swings in the favour of</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><span style="font-family:arial,sans-serif;font-size:13.333333969116211px">the attacker.</span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px">
<span style="font-family:arial,sans-serif;font-size:13.333333969116211px">></span><br style="font-family:arial,sans-serif;font-size:13.333333969116211px"><br></div><div><font face="arial, sans-serif">Of course if someone makes a record of conversation *real-world situation* and then gives it to the judge </font></div>
<div><font face="arial, sans-serif">it'll be a strong proof of a claim that some person participated in chat or said something that is recorded and smth like that.</font></div><div><span style="font-family:arial,sans-serif">But do we count such situations?  Don't we assume that we mimic only off-the-record conversations? </span><br>
</div><div><span style="font-family:arial,sans-serif">Because in real world this situation would mean that you were a fool to trust such a person and to invite him to your private meeting.</span><span style="font-family:arial,sans-serif"><br>
</span></div><div><font face="arial, sans-serif">Can we take this formula for mpOTR too?</font></div><div><font face="arial, sans-serif"><br>May be I didn't get something, sorry then</font></div><div><font face="arial, sans-serif"><br>
</font></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/12/18 Ximin Luo <span dir="ltr"><<a href="mailto:infinity0@gmx.com" target="_blank">infinity0@gmx.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 17/12/13 20:56, Jacob Appelbaum wrote:<br>
> Ximin Luo:<br>
>> However, *even if you achieve it*, I would still strongly propose that we stop calling it "deniability" or "off-the-record", for the "misleading-users" reasons I detailed elsewhere.<br>

><br>
> Generally speaking, we discuss protocols in terms of repudiation and<br>
> non-repudiation. The word deniable is a mapping of common understanding<br>
> with the less than common meaning of the word repudiation.<br>
><br>
<br>
</div>I'm fine with equating repudiable/deniable; my complaint was instead directed<br>
at using these labels without any sort of qualifier. There are lots of<br>
non-cryptographic information leaks, which make certain forms of OTR<br>
transcripts non-repudiable in a court.<br>
<br>
As I mentioned elsewhere, "no reduction in deniability (compared with plaintext<br>
chat)" is more appropriate. However, to call OTR simply "deniable",<br>
"repudiable", "off-the-record" or any similar thing, implies that it has an<br>
*advantage* in this area over plaintext chats, when it does not.<br>
<br>
By contrast, the (theoretical[1]) plausible-deniability property of a<br>
censorship-resistant publishing platform like Freenet *does* have an advantage<br>
over plaintext storage - since the node operator doesn't have the keys to<br>
decrypt the documents he is hosting, he cannot be held responsible for them.<br>
<br>
[1] yes, I'm aware that in practise Freenet probably has holes; my argument is<br>
abstract. You can replace "Freenet" with the theoretical "Eternity service" if<br>
that makes you more comfortable.<br>
<div class="im"><br>
> SILC exists for group chats if you want an encrypted multi-party chat<br>
> protocol with non-repudiation (in a court, from a forensics perspective,<br>
> etc etc).<br>
><br>
> If people are going to re-invent SILC, why not ensure that they don't<br>
> make the same mistakes?<br>
><br>
<br>
</div>I only heard about SILC today, but browsing the RFCs[1][2][3], I don't see<br>
mpOTR as simply "SILC with deniability". SILC has these deficiencies compared<br>
to mpOTR:<br>
<br>
- end-to-end encryption is optional and not well-specified [1#section-5]: "if<br>
the client requires .. not trusting any of the servers .. it can be<br>
accomplished by negotiating private secret keys outside the SILC Network"<br>
<br>
- message source authenticity is also an afterthought [3#section-2.3.2.6]:<br>
"This flag indicates that the message is signed with sender's private key .. A<br>
separate document should define [this]." This is consistent with the security<br>
section [1#section-5] omitting that clients might not trust *each other*.<br>
<br>
[1] <a href="http://tools.ietf.org/html/draft-riikonen-silc-spec-09" target="_blank">http://tools.ietf.org/html/draft-riikonen-silc-spec-09</a><br>
[2] <a href="http://tools.ietf.org/html/draft-riikonen-silc-ke-auth-09" target="_blank">http://tools.ietf.org/html/draft-riikonen-silc-ke-auth-09</a><br>
[3] <a href="http://tools.ietf.org/html/draft-riikonen-silc-pp-09" target="_blank">http://tools.ietf.org/html/draft-riikonen-silc-pp-09</a><br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
GPG: 4096R/1318EFAC5FBBDBCE<br>
git://<a href="http://github.com/infinity0/pubkeys.git" target="_blank">github.com/infinity0/pubkeys.git</a><br>
<br>
</div></div><br>_______________________________________________<br>
OTR-dev mailing list<br>
<a href="mailto:OTR-dev@lists.cypherpunks.ca">OTR-dev@lists.cypherpunks.ca</a><br>
<a href="http://lists.cypherpunks.ca/mailman/listinfo/otr-dev" target="_blank">http://lists.cypherpunks.ca/mailman/listinfo/otr-dev</a><br>
<br></blockquote></div><br></div>