<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.6000.21023" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2><FONT face=Arial size=2>I don't know how far you 
have gotten with <keygen>.</FONT></FONT></DIV>
<DIV><FONT face=Arial size=2><FONT face=Arial size=2>You <EM>may</EM> be 
interested in knowing what the "competition" is doing :-)</FONT></DIV>
<DIV>
<DIV> </DIV>
<DIV>F<FONT face=Arial size=2>rom a provisioning point of view smart cards have 
a long way to go.  From the SKS paper:</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>     "</FONT><FONT face=Arial 
size=2><FONT face=Arial size=2>even if you buy a $100 card; it still doesn’t 
enable an </FONT></FONT><I><FONT face=Arial size=2><FONT face=Arial 
size=2>on-line issuer </FONT></FONT></I></DIV>
<DIV><FONT face=Arial size=2><FONT face=Arial 
size=2>      </FONT></FONT><FONT face=Arial 
size=2><FONT face=Arial size=2>to verify that keys were actually created in the 
card!"</FONT></FONT></DIV>
<DIV> </DIV>
<DIV>Since on-line provisioning is the norm for Information Cards, mobile 
device keys, etc, I have added something which I call "Air-tight Provisioning" 
to the USB memory stick design I'm working with.</DIV>
<DIV> </DIV><FONT face=Arial size=2>
<DIV><FONT face=Arial size=2><FONT face=Arial size=2>Air-tight provisioning, the 
basics:</DIV>
<DIV></FONT></FONT><A 
href="http://webpki.org/papers/keygen2/secure-key-store.pdf">http://webpki.org/papers/keygen2/secure-key-store.pdf</A></DIV>
<DIV>If you take a look at "Dual-use Device IDs", you will find a novel 
(?) use of device certificates.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV><FONT face=Arial size=2>
<DIV><FONT face=Arial size=2><FONT face=Arial size=2>Air-tight provisioning, 
core facility:</DIV>
<DIV></FONT></FONT><A 
href="http://webpki.org/papers/keygen2/session-key-establishment--security-element-2-server.pdf">http://webpki.org/papers/keygen2/session-key-establishment--security-element-2-server.pdf</A></DIV>
<DIV> </DIV>
<DIV>The most important conclusion drawn so far is that provisioning must be an 
<EM>integral</EM> part of a cryptographic sub-system, otherwise it will be full 
with quirks, security holes, and interoperability issues.  A good 
thing is that nothing prevents designs like the above to be used with 
conventional cryptographic APIs for the "execution" part of a key's life; it is 
"only" the provisioning and management operations that need a major 
overhaul.</DIV>
<DIV> </DIV>
<DIV>Is this standardization?  Not really.   After talking to 
literally hundreds of people, it is fairly clear that standardization takes too 
long time, is riddled by politics, and very often lacks real-world 
testing.  XKMS is an example of a standard that failed on the market in 
spite of being supported by all he big guns.  Open design, free code, and a 
community seems to be the most realistic way ahead.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Anders Rundgren</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV></FONT></DIV></BODY></HTML>