<p dir="ltr">> By default private internets are no more secure than the public one.<br></p>
<p dir="ltr">An inconvenient truth within the NHS.</p>
<br><div class="gmail_quote"><div dir="ltr">On Tue, 26 Jan 2016, 12:24 Dave Howe <<a href="mailto:davehowe.pentesting@gmail.com">davehowe.pentesting@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 24/01/2016 17:56, Roger Hayter wrote:<br>
<br>
> I was never important enough to be advised to do such a thing. It<br>
> does seem remarkably simple, but raises more questions.  Does it use<br>
> the same SSL libraries as used for encrypted web sites?<br>
<br>
  Yes, mostly. Generation will use the SSL library of your web browser,<br>
usage the SSL library of your email client. Underlying protocol is the same.<br>
<br>
> If Thawte issue a certificate which you then use, does this<br>
> potentially give them a way into your encrypted information or not?<br>
<br>
  Not - just as Thawte issuing a cert for your webserver doesn't give<br>
them a way to reach that traffic. The private key is generated locally<br>
by your web browser and never leaves your machine.<br>
<br>
<br>
> And is this the same system the English NHS use for end-to-end<br>
> encryption?<br>
<br>
  Yes<br>
<br>
> It would seem to render NHSnet irrelevant, unless its sole role is<br>
> to prevent you sending encrypted email or secret documents outside<br>
> NHSnet.<br>
<br>
  No. NHSnet/CfH/whatevertheyarecallingitthisweek isn't actually<br>
encrypted - it's a private internet, with access controls, but any<br>
security has to be layered onto that or traffic will be available to the<br>
BT engineers who maintain and support it. As always, HTTPS & SMTPS can<br>
protect point-to-point links, but S/MIME is recommended to protect data<br>
end-to-end. By default private internets are no more secure than the<br>
public one.<br>
<br>
<br>
</blockquote></div>