<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">2017-10-30 23:44 GMT+10:30 Peter Lebbing <span dir="ltr"><<a href="mailto:peter@digitalbrains.com" target="_blank">peter@digitalbrains.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">But, I agree that the reverse is not true: a compromised subkey does not<br>
compromise the primary key in any way I can think of. And systems<br>
checking for ROCA should not reject a certificate because there is<br>
something wrong with an already revoked key.<br></blockquote><div><br></div><div>I'm not sure that this is 100% correct.  The first part is true, but signatures of a key that has been revoked because it was superseded or lost are valid up to the revocation date, whereas ROCA-affected keys are compromised to some degree and so all signatures are suspect; the revocation status should, ideally, reflect this.</div><div><br></div><div>Thanks,</div><div>Lachlan</div></div></div></div>