<div dir="ltr"><div dir="ltr"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>On Tue, Dec 31, 2019 at 8:54 AM Mark Lindsey <<a href="mailto:lindsey@e-c-group.com">lindsey@e-c-group.com</a>> wrote:<br></div></div></div></div></div></div></div></div></div></div></div></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;"><div><br></div>My presentation focused Bad Actors who don't register with anybody. But after my presentation, Jon Peterson (who wrote much of the SHAKEN RFCs) added another security gap in the American implementation: anybody can get an OCN and CLLI code, access to numbers, get a Service Provider Token and a signing Certificate from the PA/CA, and then sign every call they want to from any number they want to. <div><br></div><div><span style="color:rgb(0,68,121);font-size:9px;font-family:Helvetica"><font face="Arial Black" style="line-height:normal"><b>Mark R Lindsey, SMTS</b></font></span><span style="font-size:9px;font-family:"Arial Black""><span style="font-size:13px"><font color="#794800"> <span style="font-size:16px">|</span> </font></span></span><span style="color:rgb(0,68,121);font-size:9px;font-family:"Arial Black"">+1-229-316-0013</span><font color="#794800"><span style="font-size:9px;font-family:"Arial Black""><span style="font-size:13px"> </span></span><span style="font-size:9px;font-family:"Arial Black""><span style="font-size:13px"><span style="font-size:16px">|</span></span></span><span style="font-size:9px;font-family:"Arial Black""><span style="font-size:13px"> </span></span></font><span style="font-size:9px;font-family:"Arial Black""><font color="#004479"><a href="mailto:mark@ecg.co" target="_blank">mark@ecg.co</a></font><span style="font-size:13px"><font color="#794800"> </font></span></span><span style="font-size:9px;font-family:"Arial Black""><span style="font-size:13px"><span style="font-size:16px"><font color="#794800">|</font></span></span></span><font face="Arial Black"><span style="font-size:9px"><b><font color="#794800"> </font><font color="#004479" style="color:rgb(0,68,121)"><a href="https://ecg.co/lindsey/" style="color:rgb(0,68,121)" target="_blank">https://ecg.co/lindsey/</a></font></b></span></font></div></div></blockquote><div><br></div><div>I think the entire point of S/S (can we abbreviate this yet?) <i>is</i> the bad actors. Yes, an entity can go through all the hoops to sign calls, and their traffic will become immediately identifiable. It shouldn't take long for their certificate to get revoked while the FCC and others work on fining them out of existence with possible criminal charges with jail time. </div></div></div>