А кто сказал что хотим давать? Пользователи вольны не использовать шифрование, сервисы вольны принимать решение в интересах своих клиентов, те кто не хочет пользоваться выбором параметров безопасности сервиса - может пройти на йух и сделать себе сервис с блэкджеком. Контроль за пользовательскими данными дают законы страны, сервисы их просто выполняют, но законы тоже пишутся в интересах конкретных стран и территорий, не нравится такая практика - можете пройти... Это уже было выше.

Никто же не даёт пользователям выбирать параметры эллиптической кривой или алгоритмы/количество раундов преобразования для хэша

Конечно, тут надо запостить картинку про "мы и они", но под рукой нету.

офигенно!

Спасибо ;) именно ее

Обязательно!

Ну а серьезно - вы искренне считаете что автор призыва открывать секретные ключи после ротации, преследует положительные цели своим воззванием?

Без понятия, что там автор считает.

Но то, что про это неизвестно широкой публике, наверное, неидеально.

А это техническая реализация механизмов между почтовыми серверами, она публике не особо известна и обычно не нужна. Ну это как рассказывать домохозяйке про разные алгоритмы шифрования и чем они отличаются

Техническая реализация с серьёзными последствиями: кто угодно, получивший доступ к почтовому ящику на небольшое время, может не просто слить вообще всё содержимое, а ещё и с доказательствами. Даже если потом эти письма удалить.

Нигде ещё я такого свойства не видел. Подтвердить через компанию-владелец подлинность, возможно, с судебным ордером — да.

Она сама по себе не говорит что Вася отослал, она говорит что с сервера А было отправлено вот такое письмо и вот такой набор полей имеет вот такую контрольную сумму. И только вкупе с доказательством что ящик васи не взломали и что админы компании не misuse ключ - оно становится таким доказательством

А что помешает злоумышленнику наотправлять писем отвашего имени, если он получил легитимный доступ?

Ему этот доступ закрыли через пять минут, не успел. Плюс это разные атаки.

В смысле не видели такого свойства ? Пгп подпись обладает ровно теми же качествами но не на уровне сервиса/домена а на уровне индивидуального аккаунта

Но она не включена для всех пользователей по умолчанию

Самому, конечно, подписать можно.

Как раз с целью подтверждения навсегда

Просто так случайно подписать не выйдет

Если атака направленнная - и 1 минуты хватит, это все демагогия про успел не успел, выкладывать в паблик свой пароль на 10 минут не менее опасно чем навсегда