methods.tex: mention NIST's review process
[ach-master.git] / src / methods.tex
index f8c67b1..976f744 100644 (file)
@@ -1,19 +1,29 @@
 \section{Methods}
 
-For many years, NIST was considered a reasonable choice for recommendations in
-the field of cryptography. However, the NSA leaks of 2013 showed that even
+Since many years, NIST\footnote{\url{http://www.nist.gov/}} is the most
+prominent standardisation institute industry would consult for recommendations
+in the field of cryptography. However, the NSA leaks of 2013 showed that even
 certain NIST recommendations were
-\cite{NSAEffortstoEvadeEncryptionTechnologyDamagedU.S.CryptographyStandard}{subverted
-by the NSA}.  Therefore a new approach has been chosen for producing these
-recommendations. 
+subverted\footnote{\url{http://www.scientificamerican.com/article.cfm?id=nsa-nist-encryption-scandal}}
+by the NSA.  As a consequence, NIST initiated a review process of their
+standardisation
+efforts\footnote{\url{http://csrc.nist.gov/groups/ST/crypto-review/index.html}}.
+However, for the purposes of this document and at the time of this writing, we
+can not blindly trust NIST's recommendations on cipher and cipher suite
+settings at this very moment. 
 
-We chose to collect the most well known facts about crypto-settings and let as
-many trusted specialists as possible review these settings.  The review process
-is done on a public mailing list. The document is available (read-only) to the
-public on a git server. However, write permissions to the document are only
-granted to trusted people, preferably outside of the U.S.  Every write
-operation to the document is logged via the "git" version control system.  We
-do not trust an unknown git server. The git server is hardened itself.
+Instead, we chose to collect the most well known facts about crypto-settings
+and let as many trusted specialists as possible review these settings.  The
+review process is completely open and done on a public mailing list. The
+document is available (read-only) to the public Internet on a git server and
+open for public scrutiny. However, write permissions to the document are only
+granted to trusted people. The list of editors is made public.  Every write
+operation to the document is logged via the ``git'' version control system and
+thus can be traced back to a specific author.  We do not trust an unknown git
+server. 
+
+Public peer-review / ``multiple eyes'' checking our recommendation is the best
+strategy we can imagine at the moment.