
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 14 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Tahoma;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


@font-face


        {font-family:Consolas;


        panose-1:2 11 6 9 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri","sans-serif";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.MsoPlainText, li.MsoPlainText, div.MsoPlainText


        {mso-style-priority:99;


        mso-style-link:"Plain Text Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri","sans-serif";}


pre


        {mso-style-priority:99;


        mso-style-link:"HTML Preformatted Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:10.0pt;


        font-family:"Courier New";}


p.MsoAcetate, li.MsoAcetate, div.MsoAcetate


        {mso-style-priority:99;


        mso-style-link:"Balloon Text Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:8.0pt;


        font-family:"Tahoma","sans-serif";}


span.PlainTextChar


        {mso-style-name:"Plain Text Char";


        mso-style-priority:99;


        mso-style-link:"Plain Text";


        font-family:"Calibri","sans-serif";}


span.HTMLPreformattedChar


        {mso-style-name:"HTML Preformatted Char";


        mso-style-priority:99;


        mso-style-link:"HTML Preformatted";


        font-family:Consolas;}


span.EmailStyle21


        {mso-style-type:personal-reply;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


span.BalloonTextChar


        {mso-style-name:"Balloon Text Char";


        mso-style-priority:99;


        mso-style-link:"Balloon Text";


        font-family:"Tahoma","sans-serif";}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="color:#1F497D">Here’s a reference from Microsoft:<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><a href="http://blogs.msdn.com/b/oldnewthing/archive/2012/05/23/10309199.aspx">http://blogs.msdn.com/b/oldnewthing/archive/2012/05/23/10309199.aspx</a><o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">If you’re running a CA, you already need to have access to a cryptographically strong random number generator.  Just ask it for 128 bits.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">-Tim<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org]


<b>On Behalf Of </b>kirk_hall@trendmicro.com<br>


<b>Sent:</b> Tuesday, May 05, 2015 12:44 PM<br>


<b>To:</b> Gervase Markham; CABFPub (public@cabforum.org)<br>


<b>Subject:</b> Re: [cabfpub] Definition of Random Value on draft ballot re new domain validation methods<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoPlainText">Here's a more fundamental question -- why do we need to introduce the concept of a "Random Value" for use in practical demonstrations?  It's not a requirement today.  Here's what current 11.1.1 (6) requires today:<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText" style="margin-left:.5in">6. Having the Applicant demonstrate practical control over the FQDN by making an agreed-upon change to information found on an online Web page identified by a uniform resource identifier containing the FQDN;<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">No random value, and the CA is control of the content to be posted to the Applicant’s website.  Why does it have to be a (defined) Random Value now?  Seems like overkill.  Just go back to a “value or content selected by the CA”, which


 could be a Random Value, a Random Token, or something else.<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">-----Original Message-----<br>


From: Gervase Markham [<a href="mailto:gerv@mozilla.org">mailto:gerv@mozilla.org</a>]


<br>


Sent: Tuesday, May 05, 2015 6:24 AM<br>


To: Kirk Hall (RD-US); CABFPub (<a href="mailto:public@cabforum.org">public@cabforum.org</a>)<br>


Subject: Re: [cabfpub] Definition of Random Value on draft ballot re new domain validation methods<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">On 05/05/15 02:37, <a href="mailto:kirk_hall@trendmicro.com">


<span style="color:windowtext;text-decoration:none">kirk_hall@trendmicro.com</span></a> wrote:<o:p></o:p></p>


<p class="MsoPlainText">> The problem is, one of the most common random number generating tool


<o:p></o:p></p>


<p class="MsoPlainText">> is the MS GUID generator, and my understanding is that it falls just


<o:p></o:p></p>


<p class="MsoPlainText">> short of 128 bits of entropy.<o:p></o:p></p>


<p class="MsoPlainText">><o:p> </o:p></p>


<p class="MsoPlainText">> <a href="http://scanmail.trustwave.com/?c=4062&d=7_PI1fHHiUswIu2yRBf50UZRDkrHCQJy9L3opLfrvw&s=5&u=http%3a%2f%2fen%2ewikipedia%2eorg%2fwiki%2fGlobally%5funique%5fidentifier">


<span style="color:windowtext;text-decoration:none">http://en.wikipedia.org/wiki/Globally_unique_identifier</span></a><o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">From the Wikipedia article "Cryptanalysis of the WinAPI GUID generator shows that, since the sequence of V4 GUIDs is pseudo-random, given full knowledge of the internal state, it is possible to predict previous and subsequent values."<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">Given that GUIDs can be both randomly and non-randomly generated, and given that the RNG used is not necessarily cryptographically strong, it seems an unwise thing to change the standard to accommodate GUIDs.<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">While we don't plan to mandate details of the RNG, I would hope that all CAs would be using cryptographically strong RNGs to generate any randomness required at any point in their cert-creation operations.<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">Gerv<o:p></o:p></p>


<table class="MsoNormalTable" border="0" cellpadding="0">


<tbody>


<tr>


<td style="background:white;padding:.75pt .75pt .75pt .75pt">


<table class="MsoNormalTable" border="0" cellpadding="0">


<tbody>


<tr>


<td style="padding:.75pt .75pt .75pt .75pt">


<pre><o:p> </o:p></pre>


<pre>TREND MICRO EMAIL NOTICE<o:p></o:p></pre>


<pre>The information contained in this email and any attachments is confidential <o:p></o:p></pre>


<pre>and may be subject to copyright or other intellectual property protection. <o:p></o:p></pre>


<pre>If you are not the intended recipient, you are not authorized to use or <o:p></o:p></pre>


<pre>disclose this information, and we request that you notify us by reply mail or<o:p></o:p></pre>


<pre>telephone and delete the original message from your mail system.<o:p></o:p></pre>


</td>


</tr>


</tbody>


</table>


</td>


</tr>


</tbody>


</table>


<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><o:p> </o:p></span></p>


</div>


<br>


<hr>


<font face="Arial" color="Gray" size="1"><br>


This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information


 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.<br>


</font>


</body>


</html>