<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.6000.20996" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>Dear list,</FONT></DIV>
<DIV><FONT face=Arial size=2>I may indeed be biased since I run a private 
standardization effort coined KeyGen2 which is designed to replace 
&lt;keygen&gt;.</FONT></DIV>
<DIV><FONT face=Arial size=2>Anyway, it might be of some general&nbsp;interest 
knowing why I have started this thing.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Microsoft does not support &lt;keygen&gt;.&nbsp; If 
I were Microsoft I wouldn't bother since all CAs have adapted themselves to 
Microsoft's scheme.&nbsp; Microsoft's scheme (CertEnroll) is more flexible than 
&lt;keygen&gt;, albeit much more complex as well.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Now to the really problematic stuff:&nbsp; 
&lt;keygen&gt; is&nbsp;not really an HTML tag, it is actually 2 phases of a 
3-phase key provisioning protocol.&nbsp; I don't see why a protocol should be 
plugged into a page GUI.&nbsp; The alternatives all use APIs or specific plugins 
that indeed may be spawned from an HTML page but that's something completely 
different.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Just as a comparison I would like to mention the 
fact that the KeyGen2 schema is about 25 times the size of the &lt;keygen&gt; 
specification.&nbsp;&nbsp; Although that could indicate a major design error in 
KeyGen2, the truth (according to me of course...) is that &lt;keygen&gt; is 
way&nbsp;too limited to be used by serious issuers like banks and 
governments.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>I would also consider the "market" for 
&lt;keygen&gt;.&nbsp; For PCs, physical token distribution is the standard, 
that's why there has been so little interest in on-line provisioning.&nbsp; 
However, for mobile phones, on-line provisioning is really the only good method 
unless you are a government and buy into $200+ solutions like the 
following:</FONT></DIV>
<DIV><A 
href="http://www.trustdigital.com/downloads/TD_EMM_CAC_Pack_101008.pdf">http://www.trustdigital.com/downloads/TD_EMM_CAC_Pack_101008.pdf</A></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>A difference with mobile phones is that when the 
phone=token you can do much cooler things than you can on a PC, including 
trusted execution and provisioning.&nbsp; It seems a bit short-sighted to build 
on a 15 year old design without at least having investigated what is 
possible.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>HTML5 looks great but I think you should stick to 
page layout and leave protocols either to JavaScript or to some other extension 
mechanism.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Regards</FONT></DIV>
<DIV><FONT face=Arial size=2>Anders Rundgren</FONT></DIV>
<DIV><FONT face=Arial size=2><A 
href="http://keycenter.webpki.org">http://keycenter.webpki.org</A></FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV></BODY></HTML>