attachment


<br><font size=2 face="sans-serif">Randy,</font>
<br>
<br><font size=2 face="sans-serif">The suggested mandate was for a cryptographically
secure hash, which is satisfied by either SHA256 or SHA512. &nbsp;Otherwise,
collisions will reduce the utility of Configuration State. </font>
<br>
<br><font size=2 face="sans-serif">dhw</font>
<br>
<br><font size=2 face="sans-serif">David H. Whitehead<br>
Development Engineer<br>
Lexmark International, Inc.<br>
859.825.4914<br>
davidatlexmarkdotcom</font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Randy Turner &lt;rturner@amalfisystems.com&gt;</b>
</font>
<p><font size=1 face="sans-serif">08/15/08 02:13 PM</font>
<td width=59%>
<table width=100%>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td><font size=1 face="sans-serif">Dave Whitehead &lt;david@lexmark.com&gt;</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td><font size=1 face="sans-serif">ids@pwg.org</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td><font size=1 face="sans-serif">Re: IDS&gt; DRAFT: IETF NEA proposal</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br>
<br><font size=3>Hi Dave,</font>
<br>
<br><font size=3>In the proposal, I just indicated that the &quot;value&quot;
is a hash - it's currently 32 bytes which only allows for a 256-bit hash.
If we mandate that it should be able</font>
<br><font size=3>to hold a SHA-512 as well, we'll have to double it's length.
&nbsp;I think just getting agreement for the existence of the attribute
is the goal, we can flex the size of the</font>
<br><font size=3>field once we have consensus on the acceptance of the
attribute.</font>
<br>
<br><font size=3>I agree with your comment about which values to include
in the hash, but from a protocol perspective, the mechanisms would work
pretty much the same way.</font>
<br><font size=3>Even though a vendor could allow customers to indicate
which parameters are included in the hash, the &quot;management tool in
the sky&quot; would have to know which</font>
<br><font size=3>parameters make up the hash, on a per-device basis, in
order to potentially remediate the situation. Given this constraint, I
think vendors should supply a factory</font>
<br><font size=3>default set of params that make up the hash, a set that
makes sense in the majority of cases, and allow customers to override this,
provided they &quot;sync up&quot; their</font>
<br><font size=3>remediation infrastructure with the same info...</font>
<br>
<br><font size=3>Randy</font>
<br>
<br>
<br><font size=3>On Aug 15, 2008, at 10:31 AM, Dave Whitehead wrote:</font>
<br>
<br>
<br><font size=2>Randy,</font><font size=3> </font>
<br>
<br><font size=3>Looks good. &nbsp;Two comments about Configuration State:
</font>
<br>
<br><font size=3>1&gt; &nbsp;We should mandate the use of a cryptographically
secure hash function (SHA256/512) </font>
<br>
<br><font size=3>2&gt; &nbsp;Vendors provide the set of available configuration
items but the customer selects which items to include in the hash -- some
they care about, some they don't. </font>
<br>
<br><font size=2>David H. Whitehead</font>
<br><font size=2>Development Engineer</font>
<br><font size=2>Lexmark International, Inc.</font>
<br><font size=2>859.825.4914</font>
<br><font size=2>davidatlexmarkdotcom</font><font size=3> </font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1><b>Randy Turner &lt;</b></font><a href=mailto:rturner@amalfisystems.com><font size=1 color=blue><b><u>rturner@amalfisystems.com</u></b></font></a><font size=1>
</font><font size=3>&nbsp;</font>
<br><font size=1>Sent by: </font><a href="mailto:owner-ids@pwg.org"><font size=1 color=blue><u>owner-ids@pwg.org</u></font></a>
<br>
<br><font size=1>08/15/08 04:02 AM</font><font size=3> </font>
<br>
<td width=59%>
<table width=100%>
<tr valign=top>
<td width=23%>
<div align=right><font size=1>To</font></div>
<td width=76%><a href=mailto:ids@pwg.org><font size=1 color=blue><u>ids@pwg.org</u></font></a><font size=3>
</font>
<tr valign=top>
<td>
<div align=right><font size=1>cc</font></div>
<td>
<tr valign=top>
<td>
<div align=right><font size=1>Subject</font></div>
<td><font size=1>IDS&gt; DRAFT: IETF NEA proposal</font></table>
<br>
<table width=100%>
<tr valign=top>
<td width=50%>
<td width=50%></table>
<br>
<br></table>
<br>
<br>
<br><tt><font size=2>Hi All,</font></tt>
<br><font size=3>&nbsp;</font>
<br><tt><font size=2>Please read the attached RTF and provide any feedback
you may have...</font></tt>
<br><font size=3>&nbsp;</font>
<br><tt><font size=2>Please excuse the VERY simple, raw formatting I'm
using - this has to be</font></tt>
<br><tt><font size=2>in the simplest ASCII text form possible for eventual
emailing to the</font></tt>
<br><tt><font size=2>NEA</font></tt>
<br><tt><font size=2>mailing list.</font></tt>
<br><font size=3>&nbsp;</font>
<br><tt><font size=2>For now, just concentrate on the content :) :)</font></tt>
<br><font size=3>&nbsp;</font>
<br><tt><font size=2>Thanks!</font></tt>
<br><tt><font size=2>Randy</font></tt>
<br><font size=3>&nbsp;</font>
<br>
<br><font size=2>[attachment &quot;draft-nea-proposal.rtf&quot; deleted
by Dave Whitehead/Lex/Lexmark] </font><font size=3>&nbsp;</font>
<br>