<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <title></title>

</head>

<body>

<br>

<span type="cite">Aleksey Sanin wrote:</span>

<p> </p>

<blockquote type="cite"

 style="border-left: thin solid blue; padding-left: 10px; margin-left: 0pt;">

  <meta http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">

  <title>

  <title></title>

  </title>

  <div> <br>

  <blockquote type="cite" cite="mid3EDE5328.7040904@netscape.com">

However, the very idea behind making this change is to eliminate the<br>

"unhygenic" practice of using private keys in the clear... <br>

  </blockquote>

I don't see big difference between using private key in clear and

private <br>

key in pkcs8 file with no password or with "password" password. If

someone<br>

do not understand what is s/he doing then someone always find a way to

screw up<br>

him/herself :)</div>

</blockquote>

If you give people a safe with a provision to lock it, but they want to<br>

leave it unlocked, not much you can do about it :).<br>

But if you refuse to give them a safe without&nbsp; a locking provision,

atleast<br>

you're doing your part in discouraging bad habits....<br>

<blockquote type="cite"

 style="border-left: thin solid blue; padding-left: 10px; margin-left: 0pt;">

  <div><br>

  <br>

  <blockquote type="cite" cite="mid3EDE5328.7040904@netscape.com"> But

if you insist....<br>

  </blockquote>

I insist on keeping xmlsec backward compatible now. I don't know who use<br>

and what kind of scripts are based on a fact that "--privkey-der" loads

a clear<br>

text private key. Changing the library/utility behaiviour w/o warning

seems<br>

wrong to me. And for me, the issue does not seem important enough to go <br>

to xmlsec 2.0 :)</div>

</blockquote>

Agree. This change is one of those "best practices" thing, and isn't<br>

critical. To some extent it helps crypto engines, that are religious

about not<br>

supporting bad habits, leverage the test harness fully.<br>

<blockquote type="cite"

 style="border-left: thin solid blue; padding-left: 10px; margin-left: 0pt;">

  <div><br>

  <br>

  <blockquote type="cite" cite="mid3EDE5328.7040904@netscape.com"> How

do --privkey-der-pkcs8 and --privkey-pem-pkcs8 sound?.<br>

  </blockquote>

What about simple "--pkcs8-pem" and "--pkcs8-der"? What else besides<br>

private key could be there?</div>

</blockquote>

Nothing else.<br>

The difference between --privkey and --pkcs8 is marginal really.<br>

I lean towards --privkey because it becomes immediately obvious<br>

what the arg is. "pkcs8" may not be common knowledge. <br>

<br>

In either case, your test scripts will need another parameter in order<br>

to support all pvt key formats (der, pem, pkcs8 der, pkcs8 pem).<br>

<br>

I'll send the changes in a few days.<br>

<br>

-Tej<br>

<br>

<blockquote type="cite"

 style="border-left: thin solid blue; padding-left: 10px; margin-left: 0pt;">

  <div><br>

  <br>

Aleksey<br>

  <br>

  <br>

  <br>

  <br>

  </div>

</blockquote>

</body>

</html>