<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body>
<div>
<div dir="ltr" text-align="left">
<div></div>
<div>
<div>
<div style="direction: ltr;">Hello,</div>
<div><br>
</div>
<div style="direction: ltr;">Coming back to the message of Tobias, it looks* like even in 14 the Brainpool curves have not landed for JSSE, are there any plans for adding this? can you maybe share your incomplete patch, Tobias?</div>
<div><br>
</div>
<div style="direction: ltr;">* i don’t see them in ssl/NamesGroups: http://hg.openjdk.java.net/jdk/jdk/file/tip/src/java.base/share/classes/sun/security/ssl/NamedGroup.java</div>
<div style="direction: ltr;"></div>
<div style="direction: ltr;">Gruss</div>
<div style="direction: ltr;">Bernd</div>
</div>
<div><br>
</div>
<div class="ms-outlook-ios-signature">
<div><br>
</div>
<div style="direction: ltr;">-- </div>
<div style="direction: ltr;">http://bernd.eckenfels.net</div>
</div>
</div>
</div>
<div> </div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif"><b>Von:</b> security-dev <security-dev-bounces@openjdk.java.net> im Auftrag von Tobias Wagner <tobias.wagner@n-design.de><br>
<b>Gesendet:</b> Mittwoch, Juni 27, 2018 7:49 PM<br>
<b>An:</b> security-dev@openjdk.java.net<br>
<b>Betreff:</b> AW: RFR [11] CSR for "Add Brainpool ECC support (RFC 5639)"
<div> </div>
</font></div>
Hi Valerie and Bernd, <br>
Valerie is right, I tested my JTREG Tests against SoftHSM2 in March: <br>
http://mail.openjdk.java.net/pipermail/security-dev/2018-March/016863.html <br>
I don't think there are more PKCS#11 related issues, as SunEC is not a PKCS#11 implementation. There are only shared tests.
<br>
<br>
The JTREG known answer tests use the X9.62 key format as they are used in certificates as well. I assume, brainpool public keys would work in certificates as well.
<br>
<br>
I actually implemented the support for brainpool curves in TLS as well, but I had no time to provide proper JTREG tests for that, and therefore no patch yet.
<br>
<br>
Regards, Tobias <br>
<br>
-- <br>
phone: +49 221 222896 17 <br>
fax: +49 221 222896 11 <br>
keybase: https://keybase.io/toebix <br>
<br>
n - d e s i g n G m b H <br>
https://n-design.de <br>
Alpenerstr. 16 <br>
50825 Köln <br>
Deutschland / Germany <br>
<br>
Amtsgericht Köln HRB 33766 B <br>
Geschäftsführer Andy Kohl <br>
<br>
> -----Ursprüngliche Nachricht----- <br>
> Von: security-dev <security-dev-bounces@openjdk.java.net> Im Auftrag von <br>
> Valerie Peng <br>
> Gesendet: Donnerstag, 21. Juni 2018 01:07 <br>
> An: security-dev@openjdk.java.net <br>
> Betreff: Re: RFR [11] CSR for "Add Brainpool ECC support (RFC 5639)" <br>
> <br>
> Are you asking about CSR or existing bug for including Brainpool support <br>
> in TLS? <br>
> <br>
> I saw some bugs which mentions errors/exceptions which brainpool is <br>
> used, e.g. JSSE has https://bugs.openjdk.java.net/browse/JDK-7189107, <br>
> key tool has https://bugs.openjdk.java.net/browse/JDK-8201290. After <br>
> this brainpool support is integrated, it'll be easier to re-evaluate <br>
> these. <br>
> <br>
> <br>
> As for PKCS11, Tobias tested this against a 3rd party PKCS11 library and <br>
> the result is positive if I recall correctly. <br>
> <br>
> <br>
> Thanks, <br>
> Valerie <br>
> <br>
> <br>
> On 6/18/2018 1:26 PM, Bernd Eckenfels wrote: <br>
> <br>
> <br>
> Hello, <br>
> <br>
> <br>
> <br>
> not a Reviewer, but some Questions on the CSR: <br>
> <br>
> <br>
> <br>
> * Are there other CSRs for including in TLS? <br>
> * I also wonder if PKI (CA Signatures) will work out of the box <br>
> then (OID aliases?) <br>
> * Does PKCS11 require additional changes? (especially for the <br>
> Government use mentioned in the justification HSMs are often mandatory) <br>
> <br>
> <br>
> <br>
> Gruss <br>
> <br>
> Bernd <br>
> <br>
> -- <br>
> http://bernd.eckenfels.net <br>
> <br>
> <br>
> <br>
<br>
<br>
</div>
</body>
</html>