<div dir="ltr"><div>Hi Valerie,</div><div><br></div><div> * <a href="http://cr.openjdk.java.net/~mbalao/webrevs/6913047/6913047.webrev.10/" target="_blank">http://cr.openjdk.java.net/~<wbr>mbalao/webrevs/6913047/<wbr>6913047.webrev.10/</a></div><div> * <a href="http://cr.openjdk.java.net/~mbalao/webrevs/6913047/6913047.webrev.10.zip" target="_blank">http://cr.openjdk.java.net/~<wbr>mbalao/webrevs/6913047/<wbr>6913047.webrev.10.zip</a></div><div><br></div><div>New in webrev 10:</div><div><br></div><div> * Bug fix when private DSA/EC keys are sensitive</div><div>  * I found this bug removing "attributes = compatibility" entry in NSS configuration file so keys were CKA_SENSITIVE.</div><div>  * This is really an NSS bug when unwrapping ephemeral keys (NSC_UnwrapKey function), because CKA_NETSCAPE_DB attribute is required but not used/needed. There was a similar bug when creating objects (NSC_CreateObject function), fixed many years ago [1].</div><div>  * In those cases in which the bug occurs (private keys, of DSA/EC type, sensitive and without CKA_NETSCAPE_DB attribute set), I store an empty CKA_NETSCAPE_DB attribute in the buffer that will later be used for key unwrapping. I'm not doing a C_SetAttributeValue call because keys are read-only. We can let users set CKA_NETSCAPE_DB attribute in NSS configuration file [2] but this would be a workaround on users side.</div><div>  * Changes in:</div><div>   * p11_keymgmt.c</div><div>    * L175-187, L212-214 and L275-278</div><div><br></div><div> * Bug fix when storing sensitive RSA keys in a keystore</div><div>  * CKA_NETSCAPE_DB attribute is not needed so we return it as null (instead of failing with an "Invalid algorithm" message)</div><div>  * Changes in:</div><div>   * P11KeyStore.java</div><div>    * L1909-1914</div><div><br></div><div> * Lines length was cut to improve code readability</div><div><br></div><div>Regression tests on jdk/sun/security/pkcs11 category passed. I ran my internal test suite too, that covers the following services (with SunPKCS11 provider): Cipher, Signature, KeyAgreement, Digest, Mac, KeyGenerator, KeyPairGenerator and Keystore.</div><div><br></div><div>Kind regards,</div><div>Martin.-</div><div><br></div><div>--</div><div>[1] - <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=309701#c6" target="_blank">https://bugzilla.mozilla.org/<wbr>show_bug.cgi?id=309701#c6</a></div><div>[2] - <a href="https://alvinalexander.com/java/jwarehouse/openjdk-8/jdk/test/sun/security/pkcs11/fips/fips.cfg.shtml" target="_blank">https://alvinalexander.com/<wbr>java/jwarehouse/openjdk-8/jdk/<wbr>test/sun/security/pkcs11/fips/<wbr>fips.cfg.shtml</a></div><div><br></div></div>