
<html>

<body>

 This appears to be related specifically to PKCS11. 

Specifically, PKCS11 v2.20 has some ambiguity of the representation of an

EC point (which is different in the text than an ASN1 ECPoint).<br><br>

This is being clarified in v2.30 with the unencoded point format (e.g.the

format described in  X9.62, where the first octet indicates the

encoding and there are either N or 2N octets following)  being the

expected value, but with PKCS11 providers allowed - legacy - to accept

either.<br><br>

One of the reasons for going that way was how the JDK PKCS11 provider had

interpreted the issue and implemented its code.<br><br>

I don't support this fix - among other things, this fix only deals with

1/2 of the problem.  The other half is related to encoding the

value.  Also,  changing the code at decodePoint seems further

into the stack than needed and may affect other uses of that

method.<br><br>

There's an existing JDK bug on this coming at it from a different

direction  - 6763530 ... and there may be considerations at <br>

<pre>

<a href="https://bugzilla.mozilla.org/show_bug.cgi?id=480280" eudora="autourl">

https://bugzilla.mozilla.org/show_bug.cgi?id=480280

</a></pre> that should be looked at.  Also see 6779460 which is

mostly a duplicate of 6763530.<br><br>

<br>

It's probable that the fix I suggested at 6763530  (in comments

submitted 29 Nov 08) may be a better approach given the NSS fixes. 

I believe it will fix the keytool problem noted in the original

message.<br><br>

Mike<br><br>

<br><br>

<br><br>

At 04:39 PM 9/1/2009, Joe Darcy wrote:<br>

<blockquote type=cite class=cite cite="">Andrew John Hughes wrote:<br>

<blockquote type=cite class=cite cite="">2009/8/28 Andrew John Hughes

<gnu_andrew@member.fsf.org>:<br>

<blockquote type=cite class=cite cite="">In OpenJDK6, the elliptic curve

cryptography algorithms are available<br>

if the PKCS11 provider is configured to point to NSS. See:<br><br>

<a href="http://blogs.sun.com/andreas/entry/the_java_pkcs_11_provider" eudora="autourl">

http://blogs.sun.com/andreas/entry/the_java_pkcs_11_provider</a><br><br>

If NSS is configured as specified in this blog, keytool can be used

to<br>

generate a key as follows:</blockquote></blockquote><br>

Hello.<br><br>

Allowing keytool and friends to work in more cases if the provider is

capable seems fine to me.<br><br>

Security team, do you have concerns about this patch?<br><br>

Thanks,<br><br>

-Joe</blockquote></body>

<br>

</html>