<div>It seems kinda cheeky to find one (fixed) bug in the least secure implementation of the program and act like that disqualifies it.  All programs have bugs.  Most implementations of GPG have had some pretty bad bugs over the years.  No programs are going to be free of security flows - the question is whether the app or platform was built with security as a priority and what happens when those flaws are discovered.  I'd argue Signal was built with security it mind and that they're pretty swift at fixing issues as they arise.  <br></div><div><br></div><div>Also, not that it makes the bug any less impactful, but I know very few people who make regular use of the desktop implementation of Signal; it's mostly meant for mobile devices.  <br></div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-user"><div>-Ryan McGinnis <br></div><div>https://bigstormpicture.com <br></div><div>PGP: 5C73 8727 EE58 786A 777C 4F1D B5AA 3FA3 486E D7AD<br></div><div>Sent with ProtonMail<br></div></div><div class="protonmail_signature_block-proton protonmail_signature_block-empty"><br></div></div><div><br></div><div>‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐<br></div><div> On Tuesday, July 23, 2019 3:32 AM,  <mercuryrising@hush.ai> wrote:<br></div><div> <br></div><blockquote class="protonmail_quote" type="cite"><span style="font-family:Arial"><span style="font-size:13px"><div>Again, Signal is touted as better than PGP.<br></div><div>Why?<br></div><div>Look at this problem with signal. Looks really serious.<br></div><div><br></div><div><span style="font-family:Arial"><span style="font-size:13px"><div><div>Signal Desktop Leaves Message Decryption Key in Plain Sight<br></div><div><a target="_blank" href="https://www.bleepingcomputer.com/news/security/signal-desktop-leaves-message-decryption-key-in-plain-sight/">https://www.bleepingcomputer.com/news/security/signal-desktop-leaves-message-decryption-key-in-plain-sight/</a><br></div></div><div><br></div></span></span></div><div>I don't think PGP does THIS !<br></div><div><br></div><div>Elwin<br></div><div><br></div><div><br></div><div>Sent using Hushmail<br></div><div> <br></div><div><br></div><div>On 7/22/2019 at 7:53 PM, "Ryan McGinnis via Gnupg-users" <gnupg-users@gnupg.org> wrote:<br></div><blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><div>I’m not so sure that it does.  I think that’s the point security researchers like Schneier have been trying to make: it is easy for all people — from grandparents who still think they need AOL to chipheads who can install Arch without watching a YouTube tutorial — to screw up encrypted email in a way that exposes the cleartext.   Encrypted email is fundamentally unsafe as it currently exists.  It’s really hard to screw up some of the new E2E encrypted messengers.  Sure, if your method for secure communications is dropping stego’d memes with encrypted payloads on imgur, then simple tools like Signal and WhatsApp won’t do.  But if you’re trying to securely communicate like a normal person who is not pretending to be Mister Robot, then PGP for email is one of the least adopted, least safe ways to do so and Signal/iMessage/WhatsApp are decent solutions.  <br></div><div><br></div><div id="protonmail_signature_block" class="protonmail_signature_block"><div><div>-Ryan McGinnis <br></div><div><a href="https://bigstormpicture.com" target="_blank">https://bigstormpicture.com</a> <br></div><div>PGP: 5C73 8727 EE58 786A 777C 4F1D B5AA 3FA3 486E D7AD<br></div><div>Sent with ProtonMail<br></div></div></div><div><br></div><div><br></div><div id="protonmail_mobile_signature_block"><div>Sent from ProtonMail Mobile<br></div></div><div><br></div><div><br></div><div>On Mon, Jul 22, 2019 at 15:00, Mark H. Wood via Gnupg-users <<a class>gnupg-users@gnupg.org</a>> wrote:<br></div><blockquote class="protonmail_quote"><div>On Mon, Jul 22, 2019 at 03:46:18PM +0000, Ryan McGinnis via Gnupg-users wrote:<br></div><div>>    [1]<a href="https://www.schneier.com/blog/archives/2018/05/details_on_a_ne.html" target="_blank">https://www.schneier.com/blog/archives/2018/05/details_on_a_ne.html</a><br></div><div>><br></div><div>>     3. Why is anyone using encrypted e-mail anymore, anyway? Reliably and<br></div><div>>    easily encrypting e-mail is an insurmountably hard problem for reasons<br></div><div>>    having nothing to do with today's announcement. If you need to<br></div><div>>    communicate securely, use Signal. If having Signal on your phone will<br></div><div>>    arouse suspicion, use WhatsApp.<br></div><div><br></div><div>Depends on your threat model.  For mine, reliably and easily<br></div><div>encrypting email is almost absurdly simple:<br></div><div><br></div><div>1) Use PGP<br></div><div>2) Don't send secrets to people I don't trust to keep them.<br></div><div><br></div><div>Anyway, 99% of my PGP use is for the opposite of secrecy: I sign my<br></div><div>emails so that (if you care enough to install PGP) you can be highly<br></div><div>assured that they're from me.<br></div><div><br></div><div>--<br></div><div>Mark H. Wood<br></div><div>Lead Technology Analyst<br></div><div><br></div><div>University Library<br></div><div>Indiana University - Purdue University Indianapolis<br></div><div>755 W. Michigan Street<br></div><div>Indianapolis, IN 46202<br></div><div>317-274-0749<br></div><div><a href="http://www.ulib.iupui.edu" target="_blank">www.ulib.iupui.edu</a><br></div><div>_______________________________________________<br></div><div>Gnupg-users mailing list<br></div><div>Gnupg-users@gnupg.org<br></div><div><a href="http://lists.gnupg.org/mailman/listinfo/gnupg-users" target="_blank">http://lists.gnupg.org/mailman/listinfo/gnupg-users</a><br></div></blockquote><div><br></div><div><br></div></blockquote></span></span></blockquote><div><br></div>