<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Feb 26, 2019 at 9:51 AM <<a href="mailto:valdis.kletnieks@vt.edu">valdis.kletnieks@vt.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, 26 Feb 2019 08:36:11 -0800, Seth Mattinen said:<br>
> On 2/25/19 9:59 PM, Keith Medcalf wrote:<br>
> > Are you offering an indemnity in case that code is malicious?  What are the<br>
> > terms and the amount of the indemnity?<br>
<br>
> Anyone who is that paranoid should read the RFC and write their own TOTP <br>
> client that lets them indemnify themselves from their own code.<br>
<br>
I seem to recall that the 1983 Turing Award lecture referenced a 1974 pen test<br>
of Multics that proved conclusively that level of paranoia isn't sufficient....<br>
<br></blockquote><div><br></div><div> <div dir="auto">Well, the OP was probably just speaking in shorthand.</div><div dir="auto"><br></div><div dir="auto">What
 I'm sure they really meant was after developing your own silicon on 
your own hardware, and hand assembling your own compiler and linker, and
 then writing your own drivers for your hardware and building your own 
operating system, you could easily write your own TOTP implementation on
 your hardware running on your silicon with your operating system with 
your compiler and your linker...and then you could be sure.</div><div dir="auto"><br></div><div dir="auto">Right?</div><div dir="auto"><br></div><div dir="auto">Matt</div></div></div></div>