<p dir="ltr"><br>
On May 5, 2015 9:44 AM, "<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>" <<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>> wrote:<br>
><br>
> Here's a more fundamental question -- why do we need to introduce the concept of a "Random Value" for use in practical demonstrations?  It's not a requirement today.  Here's what current 11.1.1 (6) requires today:<br>
></p>
<p dir="ltr">While I should hope it was obvious, it is because today's method is not sufficiently or practically secure, nor objectively evaluatable as such.</p>
<p dir="ltr">Having reviewed several CA's practices in this area, it is clear security is not at the forefront of implementers minds, not even their area of experience or expertise, and that is unacceptable for organizations tasked with operating in the public trust for the core of online security.</p>
<p dir="ltr">That's why we are refining all of these methods. To have clear and objective security controls in place that meet a minimum bar for security.<br>
</p>