<div dir="ltr">On Thu, Jul 25, 2013 at 3:41 AM, Ben Laurie <span dir="ltr"><<a href="mailto:ben@links.org" target="_blank">ben@links.org</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div class="im">On 25 July 2013 11:22, Nick <<a href="mailto:liberationtech@njw.me.uk">liberationtech@njw.me.uk</a>> wrote:<br>
> On Thu, Jul 25, 2013 at 11:19:22AM +0200, Eugen Leitl wrote:<br>
>> (See also <a href="https://en.wikipedia.org/wiki/Convergence_(SSL)" target="_blank">https://en.wikipedia.org/wiki/Convergence_(SSL)</a> )<br>
><br>
> Would Convergence help here? I can't see how. If a government<br>
> secretly aquired the SSL private keys for a site, and the site<br>
> continued using them, then no convergence notary would know any<br>
> cause not to vouch for the key.<br>
<br>
</div>What helps here is perfect forward secrecy.<br></blockquote><div><br></div><div>Could you describe how PFS helps here - the article didnt mesh with my understanding here?</div><div><br></div><div>My understanding was that PFS was primarily a defense against (non-real-time) cryptographic attacks on stored traffic - if PFS is not used the attacker could decrypt much more traffic with the same compute power, since the same session key is used for much more data, wheras with PFS the session is tiny, meaning that the attacker only gets a tiny bit of data for the same level of juice.</div>

<div><br></div><div>As far as I can see with SSL private keys:</div><div>- If an attacker has both the SSL private key for a host, and a MITM position, then it would seem that as far as the client is concerned (without doing additional sniffing) they are talking to the host directly, and their connection is fully compromised regardless of PFS.</div>

<div>- If an attacker has both the SSL private key for a host, but not a MITM position, then it would seem that the client is safe, since the SSL key is only used for identity and data encryption keys are negotiated separately. PFS is obviously still a benefit in this situation (in case the attacker can capture traffic, but not run MITM attacks), but this is independent from the status of the SSL private key.</div>

<div><br></div><div>Thanks!</div><div>- Owen</div><div><br></div></div>
</div></div>