<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
<title>
GitLab
</title>


<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">
<div>
<p dir="auto">If there aren't any other tools out there that are affected by the behavioral change in how the PIN callback is invoked, I think it wouldn't matter. People now just have to make sure to unset GNUTLS_PIN when using a well known SRK password, which is the behavioral change for certtool.</p>
<p dir="auto">I have a test case for all of this in the <code>swtpm</code> project but tpmtool and certtool are invoked by the tools there rather being explicitly on the command line: <a href="https://github.com/stefanberger/swtpm/blob/master/tests/test_samples_create_tpmca" rel="nofollow noreferrer noopener" target="_blank">https://github.com/stefanberger/swtpm/blob/master/tests/test_samples_create_tpmca</a></p>
<p dir="auto">I could try to build a similar test case derived from this for GnuTLS where we could set up <code>tcsd</code> (TrouSerS) to talk to <code>swtpm</code> over a socket and tpmtool creating keys and certtool doing operations with the keys. Then vary what passwords we are using.</p>
<p dir="auto">FYI: There's one more problem that I am aware of and haven't been able to fix (and haven't filed a bug for). It's related to a new key's password. Basically one has to supply two passwords when creating a key, one for the SRK and one for the key itself (child of SRK). However, when one creates the key, the SRK password is needed and then somehow the two passwords get mixed up. So I end up having to use the same password for the key and the SRK. It could be a tcsd design issue where the passwords are put into a cookie jar and the first password is taken out when a password is needed and then when another password is needed the next cookie is taken out... Somehow the passwords are not properly associate with the intended keys. So I end up always using --register with tpmtool, which doesn't need that key password but only the SRK password.</p>
</div>


</div>
<div class="footer" style="margin-top: 10px;">
<p style="font-size: small; color: #777777;">

<br>
Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/merge_requests/796#note_116247776">view it on GitLab</a>.
<br>
You're receiving this email because of your account on gitlab.com.
If you'd like to receive fewer emails, you can
<a href="https://gitlab.com/sent_notifications/5ba279a74a6461e3aeb1b804fed17683/unsubscribe">unsubscribe</a>
from this thread or
adjust your notification settings.
<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Merge request","url":"https://gitlab.com/gnutls/gnutls/merge_requests/796#note_116247776"}}</script>
</p>
</div>
</body>
</html>