
<div dir="ltr">Uh-oh, you're part of The Cabal now, coderman! </div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 15, 2016 at 5:45 PM, coderman <span dir="ltr"><<a href="mailto:coderman@gmail.com" target="_blank">coderman@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2/14/16, Malcolm Matalka <<a href="mailto:mmatalka@gmail.com">mmatalka@gmail.com</a>> wrote:<br>

>...<br>

> Can you go into some detail on this?  I was always under the impression<br>

> that the Tor code was open source and heavily audited.  Is the critique<br>

> that this is not true or something else?<br>

<br>

<br>

clarification in order.<br>

<br>

1) government funding of Tor means they get dibs on development<br>

priorities.  censorship circumvention over dead-easy Tor Routers.<br>

Translations in Tor Browser over endpoint-hardened solutions like<br>

Whonix-Qubes around your Tor Browser. etc, etc.  this does not imply<br>

the Tor code itself is made vulnerable. For example, 8 hour patch on<br>

control port vuln, and first to force disable RDRAND-sole-source in<br>

OpenSSL. not the behavior of group at behest of NSA and IC...<br>

<br>

2) critique of existing hardware and software in terms of strong<br>

security against well resourced attackers. there is serious<br>

vulnerability across the entire spectrum of technology. the assumption<br>

that your malware laden WinXP box can run "Tor Browser" and be secure,<br>

is laughable. we're finding more than ever that personal security,<br>

operational security, and information security are all tied up in<br>

complex interdependence. Tor doesn't even try to address this, because<br>

frankly, no one has! it's the constantly evolving terrain of<br>

specialized experts, long bought over to $Private or $Gov not Public<br>

work.<br>

<br>

3) Tor made trade-offs for end-user adoption and wide applicability.<br>

we don't have have a fancy UDP Tor with traffic analysis resistance,<br>

and some argue such a thing can't exist. this would be great to get<br>

funded, but even past efforts have yielded detail around how much<br>

remains to be researched, let alone implemented in proof-of-concept.<br>

<br>

<br>

Tor well deserves their reputation for solid development in the public<br>

interest, and their behavior regarding serious vulnerabilities is<br>

exceptional across industry. actions above words, and they walk the<br>

walk.  i am also glad to see their first fund raiser to diversify<br>

sources of support haul in hundreds of thousands for use without<br>

strings attached. more of this!<br>

<br>

<br>

best regards,<br>

<br>

</blockquote></div><br></div>