attachment-0001

<br><font size=2 face="sans-serif">Randy,</font>
<br>
<br><font size=2 face="sans-serif">Yes, I should have used ConfigurationState
as the example. </font>
<br>
<br><font size=2 face="sans-serif">No, your interpretation of CertificationState
is correct (and better thought out than our original) and we do need some
specifier for it to work. &nbsp;This would be a phase 2 work item for the
IDS group. &nbsp;However, note that this *could* be a CertificationState
if so defined.</font>
<br>
<br><font size=2 face="sans-serif">In the example I was just trying to
point out the usefulness of these elements and why I think they should
remain the specification. &nbsp;They can provide a level of remote attestation
that, I think, would be useful.</font>
<br>
<br><font size=2 face="sans-serif">dhw</font>
<br>
<br><font size=2 face="sans-serif">David H. Whitehead<br>
Development Engineer<br>
Lexmark International, Inc.<br>
859.825.4914<br>
davidatlexmarkdotcom</font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Randy Turner &lt;rturner@amalfisystems.com&gt;</b>
</font>
<br><font size=1 face="sans-serif">Sent by: ids-bounces@pwg.org</font>
<p><font size=1 face="sans-serif">06/23/09 07:17 PM</font>
<td width=59%>
<table width=100%>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td><font size=1 face="sans-serif">ids@pwg.org</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td><font size=1 face="sans-serif">Re: [IDS] CertificationState and remote
attestation</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><tt><font size=2>Hi Dave,<br>
</font></tt>
<br><tt><font size=2>I always thought &quot;certification state&quot; was
some value that was<br>
&quot;approved&quot; by some 3rd party certification organization.<br>
</font></tt>
<br><tt><font size=2>And I thought &quot;configuration state&quot; might
be something akin to what<br>
you have derived below.<br>
</font></tt>
<br><tt><font size=2>&quot;Certification State&quot; was something similar
to what I included in a<br>
previous email regarding FIPS certification. &nbsp;For &quot;products&quot;
that are<br>
certified, the certification is for a particular model number and<br>
software version. &nbsp;If you're just certifying a software module (like<br>
openssl), then you would provide the cert lab with a version and<br>
either source or binary module, pre-configured to execute the cert<br>
tests.<br>
</font></tt>
<br><tt><font size=2>That's why I stressed that any &quot;validation module&quot;
that wants to<br>
verify the HCD_configuration_state needs to know &quot;WHICH&quot; certification<br>
that this value reflects, and WHAT the correct value should be. &nbsp;For
a<br>
FIPS certification, this would be &quot;FIPS 140-2&quot; and &quot;FF02CH001F00&quot;
(a<br>
sample hash/fingerprint)<br>
</font></tt>
<br><tt><font size=2>Example certifications might be:<br>
</font></tt>
<br><tt><font size=2>Common Criteria (possibly multiple certifications)<br>
FIPS<br>
ICSA (for firewall/security appliances)<br>
&quot;Works with Vista&quot; or any of the half-dozen Microsoft logo certs
you<br>
can test against<br>
</font></tt>
<br>
<br><tt><font size=2>My interpretations of these HCD_configuration and
HCD_certification<br>
states are based on what I think are the original rationale (going way<br>
back) for these values...<br>
</font></tt>
<br><tt><font size=2>Based on my understanding of &quot;certification state&quot;,
we would need to<br>
support &quot;one or more&quot; certification states, depending upon how
many<br>
different types of certifications<br>
are maintained by the device.<br>
</font></tt>
<br><tt><font size=2>If my interpretation of the rationale for certification
and<br>
configuration states differs from the group, I'm sure someone will let<br>
me know :)<br>
</font></tt>
<br><tt><font size=2>Randy<br>
</font></tt>
<br>
<br><tt><font size=2>On Jun 23, 2009, at 8:39 AM, Dave Whitehead wrote:<br>
</font></tt>
<br><tt><font size=2>&gt;<br>
&gt; So, would something like the following be of use?<br>
&gt;<br>
&gt;<br>
&gt; Device with device certificate and key pair. &nbsp;(Same for SHV)<br>
&gt;<br>
&gt; Device also has certificate of SHV. &nbsp;(and vise versa)<br>
&gt;<br>
&gt; CertificationState = Hash(all required HCD attributes)<br>
&gt;<br>
&gt; CertificationStatement = CurrentDataTime + CertificationState<br>
&gt;<br>
&gt; CertificationIntegrity = Sign(CertificationStatement, Device[PrivKey])<br>
&gt;<br>
&gt; HCD_CertificationState = Encrypt(CertificationIntegrity, SHV[PubKey])<br>
&gt;<br>
&gt;<br>
&gt; Just wondering ...<br>
&gt;<br>
&gt; dhw<br>
&gt;<br>
&gt; David H. Whitehead<br>
&gt; Development Engineer<br>
&gt; Lexmark International, Inc.<br>
&gt; 859.825.4914<br>
&gt; davidatlexmarkdotcom<br>
&gt; --<br>
&gt; This message has been scanned for viruses and<br>
&gt; dangerous content by MailScanner, and is<br>
&gt; believed to be clean. _______________________________________________<br>
&gt; ids mailing list<br>
&gt; ids@pwg.org<br>
&gt; </font></tt><a href=https://www.pwg.org/mailman/listinfo/ids><tt><font size=2>https://www.pwg.org/mailman/listinfo/ids<br>
</font></tt></a>
<br>
<br>
<br><tt><font size=2>_______________________________________________<br>
ids mailing list<br>
ids@pwg.org<br>
</font></tt><a href=https://www.pwg.org/mailman/listinfo/ids><tt><font size=2>https://www.pwg.org/mailman/listinfo/ids</font></tt></a>
<br>
<br><br />-- 
<br />This message has been scanned for viruses and
<br />dangerous content by
<a href="http://www.mailscanner.info/"><b>MailScanner</b></a>, and is
<br />believed to be clean.

Comments are owned by the poster. All other material is Copyright © 2001-2024 The Printer Working Group. All rights reserved. IPP Everywhere, the IPP Everywhere logo, and the PWG logo are trademarks of the IEEE-ISTO.
About the PWG · Privacy Policy · PWG Webmaster