<html><body bgcolor="#FFFFFF"><div><br></div><div>On Sep 13, 2011, at 8:12 PM, Jesper Louis Andersen <<a href="mailto:jesper.louis.andersen@gmail.com">jesper.louis.andersen@gmail.com</a>> wrote:<br><font class="Apple-style-span" face="Helvetica, sans-serif"><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.292969); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); font-size: medium;"><font class="Apple-style-span" face="Helvetica" size="5"><span class="Apple-style-span" style="font-size: 17px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.300781); -webkit-composition-fill-color: rgba(175, 192, 227, 0.234375); -webkit-composition-frame-color: rgba(77, 128, 180, 0.234375);"><br></span></font></span></font></div><blockquote type="cite"><div><span>George Necula has written a paper on</span><br><span>proof-carrying-code. Here is the trick.</span><br><span></span><br></div></blockquote><div><br></div><div><br></div><div>I think PCC works only in theory, but would not work in reality. </div><div><br></div><div>Here's the reason: cost</div><div><br></div><div>To prove a system is correct must be cheaper than the cost of any damage done by a potential exploit. </div><div><br></div><div>The cost of proving a system correct is also an up front cost that requires your entire tool chain and infrastructure also be tested. </div><div><br></div><div>Since the cost of creating proofs for and validating those proof systems (replacing all existing infrastructure) exceeds the cost of not doing so, we are unlikely to ever see mass adoption. </div><div><br></div><div>And since the risk of economic damage due failure/compromise is relatively small, and the opportunity cost associated with not going to market quite high, there is always a disincentive to prove/test your new systems before entering production. </div><div><br></div><div>And so it is unlikely to ever be used outside of critical infrastructure and military application. </div><div><br></div><div>Security is fundamentally an economic issue, and it rarely makes sense to devote resources to securing systems with short lifetimes. </div><div><br></div><div>Dave</div></body></html>