<div dir="ltr"><div dir="ltr">On Tue, Apr 16, 2024 at 3:23 PM Rob Stradling <<a href="mailto:rob@sectigo.com">rob@sectigo.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-640214233672961655">




<div dir="ltr">
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
> Rob Stradling: I would like to import your repo to <a href="http://github.com/cabforum/Debian-weak-keys" target="_blank">github.com/cabforum/Debian-weak-keys</a>. May I have your permission to do so?</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
Hi Wayne.  I put together the repositories at <a href="https://github.com/CVE-2008-0166" id="m_-640214233672961655OWA6e28d323-bc9e-248e-04c0-4e9aa84b1c72" target="_blank">
https://github.com/CVE-2008-0166</a> a few years ago with the sole aim of providing a resource that would help CAs comply with the original version of this draft ballot, so I have no hesitation in giving my permission for CABForum to use these repositories
 in whatever way(s) are felt to make sense.</div>
</div></div></blockquote><div><br></div><div>Thank you Rob.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-640214233672961655"><div dir="ltr"><div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
There are currently 3 repositories under the <a href="https://github.com/CVE-2008-0166" id="m_-640214233672961655OWA02e9737b-98e4-f48b-a40d-295d6940d22f" target="_blank">
https://github.com/CVE-2008-0166</a> GitHub organization: key_generator, private_keys, and openssl_blocklists.  Which of these are you looking to "import" (fork?) into
<a href="https://github.com/cabforum" id="m_-640214233672961655OWA7cc18e3b-233e-95d2-3255-23d9c135523d" target="_blank">
https://github.com/cabforum</a> ?</div>
</div></div></blockquote><div><br></div><div>The intent of the ballot is to reference a set of weak keys, so my intention is to host the contents of your private_keys repository in the cabforum GitHub organization.</div><div><br></div><div>When creating a new repository, the GitHub UI provides the option to "import your project to GitHub". I'm happy to fork if that is the preferred approach.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-640214233672961655"><div dir="ltr"><div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
key_generator is useful if anyone wants to check my work, or if Debian weak keys of any other sizes need to be generated in the future.</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
private_keys holds the generated keys.  Cloning this repository requires 12GB of disk space (just over 3GB for each of the 3 architectures, plus another 3GB for the ".git" directory)!  Although each of the generated RSA keys has the public exponent 65537, it's
 important to note that every public exponent is equally vulnerable when used with a vulnerable modulus (as described in the key_generator
<a href="https://github.com/CVE-2008-0166/key_generator?tab=readme-ov-file#pregenerated-keys-and-blocklists" title="https://github.com/CVE-2008-0166/key_generator?tab=readme-ov-file#pregenerated-keys-and-blocklists" target="_blank">
README</a>).</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
openssl_blocklists holds blocklists of the generated keys that are compatible with the openssl_vulnkey tool that was made available by Debian back in 2008.   Only the weak RSA keys are supported, because openssl_vulnkey's file format is basically a list of
 SHA-1 hashes of RSA moduli.  Cloning this repository requires a mere 84MB of disk space though (18MB for each of the 3 architectures, plus 32MB for the ".git" directory).</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
To avoid having to deal with either an unwieldly 12GB repository or RSA-only blocklists, I'm considering creating another repository that would hold blocklists in a more focused format.  Perhaps SHA-256(Modulus) for RSA keys, and SHA-256(X_Coordinate) for EC
 keys?</div>
</div></div></blockquote><div><br></div><div>I would prefer to reference the raw keys in the BRs and allow CAs the flexibility to determine the format they want to use in their checks.<br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-640214233672961655"><div dir="ltr"><div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
Finally, I'm open to transferring control of the whole <a href="https://github.com/CVE-2008-0166" target="_blank">
https://github.com/CVE-2008-0166</a> GitHub organization to CABForum, if that might be considered a suitable alternative to "import"ing one or more of the repositories into
<a href="https://github.com/cabforum" target="_blank">https://github.com/cabforum</a>.</div></div></div></blockquote></div><div class="gmail_quote"><br></div><div class="gmail_quote">I'm not opposed, but I am concerned that this might further delay the ballot. If others prefer this approach, please speak up.<br><div><br></div><div>- Wayne<br></div></div></div>