<div dir="ltr">My statement was specifically related to the recent revelations around the NSAs focus on third parties not to the strengths of the encryption which I agree are essentially identical.<div><br></div><div>As long as you trust the central authority (you self sign certificates for example) there's no reason to think S/Mime is less secure.  But if you're going to do that though you may as well stick with GPG it's designed to be used without a central authority.</div>
<div><br></div><div>I stand by my original statement.  if you're goal is to prevent the NSA from reading your email.  Using any protocol that puts trust in a third party certificate authority is a horrible mistake.  They may not be compromised but it's certainly possible given recent revelations.  The only reasonable option is to avoid them.</div>
<div><br></div><div>I stand by my original statement.  GPG is preferable.</div><div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Sep 11, 2013 at 9:28 AM, Jay Kline <span dir="ltr"><<a href="mailto:jay@slushpupie.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=jay@slushpupie.com&cc=&bcc=&su=&body=','_blank');return false;">jay@slushpupie.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Sep 11, 2013 at 8:50 AM, Michael Greenly <<a href="mailto:mgreenly@gmail.com" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=mgreenly@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">mgreenly@gmail.com</a>> wrote:<br>

><br>
> S/Mime uses a centralized certificate authority.  PGP/GPG is decentralized.  There's no question that PGP/GPG is preferable over S/Mime because of this<br>
><br>
><br>
<br>
</div>S/MIME and GPG/GPG use the same crypto. So from the standpoint of<br>
protecting the message content, they will be identical. Using a CA<br>
does not provide the private key to the authority.  Thus, having<br>
access to the CA does not allow you to decrypt things from<br>
certificates it signs- it only permits you to generate another<br>
certificate that would be trusted the same way, making a future<br>
man-in-the-middle attack possible.  But it wont help you on any<br>
existing/past messages, and it wont do any good if the two parties in<br>
the exchange continue to use the keys they already had.<br>
<span class="HOEnZb"><font color="#888888"><br>
Jay<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
TCLUG Mailing List - Minneapolis/St. Paul, Minnesota<br>
<a href="mailto:tclug-list@mn-linux.org" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=tclug-list@mn-linux.org&cc=&bcc=&su=&body=','_blank');return false;">tclug-list@mn-linux.org</a><br>

<a href="http://mailman.mn-linux.org/mailman/listinfo/tclug-list" target="_blank">http://mailman.mn-linux.org/mailman/listinfo/tclug-list</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Michael Greenly<br><a href="http://logic-refinery.com/" target="_blank">http://logic-refinery.com</a>
</div></div>