home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3894 < prev    next >
Encoding:
Text File  |  1992-07-29  |  2.1 KB  |  48 lines
  1. Newsgroups: comp.protocols.tcp-ip
  2. Path: sparky!uunet!shearson.com!snark!pmetzger
  3. From: pmetzger@snark.shearson.com (Perry E. Metzger)
  4. Subject: Re: SMTP mail
  5. Message-ID: <1992Jul29.152351.23424@shearson.com>
  6. Sender: news@shearson.com (News)
  7. Organization: /usr/local/lib/news/organization
  8. References: <92209.190519KKEYTE@ESOC.BITNET> <1992Jul29.021534.6708@mp.cs.niu.edu> <92211.092548KKEYTE@ESOC.BITNET>
  9. Date: Wed, 29 Jul 1992 15:23:51 GMT
  10. Lines: 36
  11.  
  12. In article <92211.092548KKEYTE@ESOC.BITNET> Karl Keyte <KKEYTE@ESOC.BITNET> writes:
  13. >
  14. >& that's not a security hole?  It is if you want to believe mail that you
  15. >receive.  Paper mail is usually signed.
  16.  
  17. And you are enough of an expert on handwriting that you can check the
  18. signatures of all the mail you get and know its really from the
  19. person, eh? Keep reference signatures for everyone you correspond
  20. with, too, I assume. Good trick. I can forge most people's signatures
  21. with about 2 minutes of practice, not significantly more effort than
  22. it takes to forge SMTP mail. Paper mail is just as insecure as EMail,
  23. if not more so because almost anyone can forge paper mail but it takes
  24. someone who groks SMTP to forge email.
  25.  
  26. >The point is, SMTP is stupidly simple (as we all know) in it's
  27. >"authentication".
  28.  
  29. Relying on paper signatures is also stupidly simple. Signatures are
  30. not there on legal documents as an identity verification, you know,
  31. but as proof of concent; if you sign (and its shown that you indeed
  32. were the one who signed) its taken to mean that you understood you
  33. were entering in to a contract. If you want identity verification you
  34. are supposed to go to a notary public.
  35.  
  36. >My question still stands.
  37.  
  38. Look, if you want real authentication, you need to go to public key
  39. cryptography. You won't find any other technique that really works,
  40. and you aren't going to find PEM implementations that interoperate on
  41. your platforms. Fine, shut off SMTP and deprive your users of a
  42. valuable service if you like, but you aren't doing them any favors.
  43. --
  44. Perry Metzger        pmetzger@shearson.com
  45. --
  46.           Just say "NO!" to death and taxes.
  47.              Extropian and Proud.
  48.