<span style="font-family: Arial; font-size: 14px; line-height: 150%;"><br><br>On 2/26/2019 at 10:29 AM, "Stefan Claas" <sac@300baud.de> wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><div><style type="text/css"></style></div><div lang="DE"><div class="WordSection1"><p class="MsoNormal"> </p><div style="border:none;border-top:solid #E1E1E1 1pt;padding:3pt 0 0;"><p class="MsoNormal" style="border:none;"><b>Von: </b><a>vedaal via Gnupg-users</a><br><b>Gesendet: </b>Montag, 25. Februar 2019 22:09<br><b>An: </b><a>justina colmena</a>; <a>gnupg-users@gnupg.org</a><br><b>Betreff: </b>Re: Ok this is a stupid questions</p></div><p class="MsoNormal" style="line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;"> </span></p><blockquote style="border:none;border-left:solid #CCC 1pt;margin-left:7.5pt;margin-top:5pt;margin-bottom:5pt;padding:0 0 0 8pt;"><div><p class="MsoNormal" style="line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">Why do you think GnuPG is useless if you check the source-code, run it on hardware you trust, and a Linux variant you trust, with a Chromium/Iron browser, and avoid anything google or microsoft or apple or any non-FOSS product? </span></p></div></blockquote><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;"> </span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span style="font-size: 10.5pt;">I have learned in the past trust nobody. Therefore I would not rely</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">on  people from the GnuPG ecosystem and what they say.</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;"> =====</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">It depends on how realistic your threat model is.</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">For someone in a politically repressive regime who is being targeted, yes, trust should be very limited, and clearly earned.</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">For those  whose threat model is criminal hacking by individual opportunists,  there is a certain leeway.</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">When i first started out, I knew people who read every single line of PGP 2.x sourcecode, and even today, refuse to migrate to gnupg because they haven't the time to read all the code.</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">(Although some have considered that if there would be a minimalist version, with a small enough code to read, they would definitely use it.)</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">These people routinely 'airgap' their encrypting functions.</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">I respect it, </span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">but there is literally no end to how paranoid one can be ...</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">For example, has anyone you know, ever checked how the compilers work?  (Reviewed gcc's source code, and the hardware necessary to make it run, to ensure that nothing is 'added/subtracted/altered' when it gets to machine language? </span><span style="font-size: 10.5pt;">Even more difficult when it is a proprietary compiler.)</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">GnuPG is offering a FOSS privacy tool.</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">One can scrutinize it, appreciate it, and say thank you,</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">or be paranoid enough to never use it,</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><span lang="EN-US" style="font-size:10.5pt;line-height:150%;">or some other in-between balance, that's comfortable for the individual's threat model.</span></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><br></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;">The gnupg-users list can help with clearing up technical questions and let the users decide for themselves.</p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;"><br></p><p class="MsoNormal" style="margin-right:36pt;margin-bottom:5pt;line-height:150%;">vedaal</p></div></div></blockquote></span>