<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">

<html lang="en">

<head>

<meta content="text/html; charset=US-ASCII" http-equiv="Content-Type">

<title>

GitLab

</title>

<style data-premailer="ignore" type="text/css">

a { color: #1068bf; }

</style>

<style>img {

max-width: 100%; height: auto;

}

body {

font-size: 0.875rem;

}

body {

-webkit-text-shadow: rgba(255,255,255,0.01) 0 0 1px;

}

body {

font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, "Noto Sans", Ubuntu, Cantarell, "Helvetica Neue", sans-serif, "Apple Color Emoji", "Segoe UI Emoji", "Segoe UI Symbol", "Noto Color Emoji"; font-size: inherit;

}

</style>

</head>

<body style='font-size: inherit; -webkit-text-shadow: rgba(255,255,255,0.01) 0 0 1px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, "Noto Sans", Ubuntu, Cantarell, "Helvetica Neue", sans-serif, "Apple Color Emoji", "Segoe UI Emoji", "Segoe UI Symbol", "Noto Color Emoji";'>

<div class="content">

<p style="color: #777777;">

<a href="https://gitlab.com/dueno" style="color: #1068bf;">Daiki Ueno</a>

commented on a

<a href="https://gitlab.com/gnutls/gnutls/-/merge_requests/1624#note_1055448801" style="color: #1068bf;">discussion</a>:

</p>

<div class="md" style="color: #303030; word-wrap: break-word;">

<p dir="auto" style="color: #303030; margin: 0 0 16px;" align="initial">I think we need more details on that to decide whether API is needed. Originally we intended to:</p>

<ul dir="auto" style="text-align: initial; list-style-type: disc; margin: 0 0 16px; padding: 0;">

<li style="margin-top: 0; line-height: 1.6em; margin-left: 25px; padding-left: 3px;">hard-disable verifying / signing with <2k RSA keys in FIPS mode</li>

<li style="line-height: 1.6em; margin-left: 25px; padding-left: 3px;">soft-disable <2k RSA keys through crypto-policies for more than just TLS through some future configuration file option</li>

</ul>

<p dir="auto" style="color: #303030; margin: 0 0 16px;" align="initial">Now, we are doing something like:</p>

<ul dir="auto" style="text-align: initial; list-style-type: disc; margin: 0 0 16px; padding: 0;">

<li style="margin-top: 0; line-height: 1.6em; margin-left: 25px; padding-left: 3px;">there is no hard-disablement</li>

<li style="line-height: 1.6em; margin-left: 25px; padding-left: 3px;">

<code style='font-size: 90%; color: #1f1f1f; word-wrap: break-word; background-color: #f0f0f0; border-radius: 4px; margin-top: 0; font-family: "Menlo", "DejaVu Sans Mono", "Liberation Mono", "Consolas", "Ubuntu Mono", "Courier New", "andale mono", "lucida console", monospace; white-space: pre-wrap; overflow-wrap: break-word; word-break: keep-all; padding: 2px 4px;'>min-rsa-size</code> option is provided to soft-disable RSA keys through crypto-policies (though it might not be mapped 1:1 to a specific crypto-policies keyword)</li>

<li style="line-height: 1.6em; margin-left: 25px; padding-left: 3px;">FIPS service indicator reports the usage of <2k RSA keys as non-approved in signature generation; this limitation is hard-coded in the library</li>

<li style="line-height: 1.6em; margin-left: 25px; padding-left: 3px;">FIPS service indicator reports the usage of <2k except 1024, 1280, 1536, 1792 RSA keys as non-approved in signature verification; this limitation is hard-coded in the library</li>

</ul>

<p dir="auto" style="color: #303030; margin: 0;" align="initial">So if we set <code style='font-size: 90%; color: #1f1f1f; word-wrap: break-word; background-color: #f0f0f0; border-radius: 4px; margin-top: 0; font-weight: inherit; font-family: "Menlo", "DejaVu Sans Mono", "Liberation Mono", "Consolas", "Ubuntu Mono", "Courier New", "andale mono", "lucida console", monospace; white-space: pre-wrap; overflow-wrap: break-word; word-break: keep-all; padding: 2px 4px;'>min-rsa-size</code> to the current status quo (1K?), I suspect the requirements from both FIPS and DNSSEC might be already satisfied.</p>

</div>

</div>

<div class="footer" style="margin-top: 10px;">

<p style="font-size: small; color: #666;">

—

<br>

Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/-/merge_requests/1624#note_1055448801" style="color: #1068bf;">view it on GitLab</a>.

<br>

You're receiving this email because of your account on <a target="_blank" rel="noopener noreferrer" href="https://gitlab.com" style="color: #1068bf;">gitlab.com</a>. <a href="https://gitlab.com/-/sent_notifications/05ef10abdfafd5953e06b245724f88e9/unsubscribe" target="_blank" rel="noopener noreferrer" style="color: #1068bf;">Unsubscribe</a> from this thread · <a href="https://gitlab.com/-/profile/notifications" target="_blank" rel="noopener noreferrer" class="mng-notif-link" style="color: #1068bf;">Manage all notifications</a> · <a href="https://gitlab.com/help" target="_blank" rel="noopener noreferrer" class="help-link" style="color: #1068bf;">Help</a>

<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Merge request","url":"https://gitlab.com/gnutls/gnutls/-/merge_requests/1624#note_1055448801"}}</script>

</p>

</div>

</body>

</html>