Skip to Content.
Sympa Menu

cacert-policy - Re: AW: CCA - blue changes for Root Distribution License - call for vote!

Subject: Policy-Discussion

List archive

Re: AW: CCA - blue changes for Root Distribution License - call for vote!


Chronological Thread 
  • From: Morten Gulbrandsen <lordbyte7 AT aim.com>
  • To: cacert-policy AT lists.cacert.org
  • Subject: Re: AW: CCA - blue changes for Root Distribution License - call for vote!
  • Date: Mon, 18 Oct 2010 16:59:19 +0200
  • Openpgp: id=81802954; url=http://tinyurl.com/6lecto

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

ulrich AT cacert.org
 wrote:
> Hi Morten,
> 
>> openssl x509 -noout -in root.crt -md5 -fingerprint
>> MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
>> openssl x509 -noout -in root.crt -sha1 -fingerprint
>> SHA1
> Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
> 
> 
> 
>> If possible I'd like to create my own cap form, which has this:
>> md5  sha  sha1  sha224  sha256  sha384  sha512
> 
>> in Huge Fonts. Is that Legal?
> 
> Arbitration ruling on a20090303.1
> https://wiki.cacert.org/Arbitrations/a20090303.1
> states in short: There is NO "official" CAP form.
> 
> in detail:
> # There is currently no requirement for an APPROVED form.
> # There is no apparatus defined for APPROVING the form, nor is here a
> custom in use.
> # Any form that includes the elements listed in AP should be treated as
> valid.
>   Or more precisely, an assurance should not be challenged merely on the
> basis
>   that the paperwork is not of an APPROVED form
> 
> 
> 
> 
> 
>> A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
> 
> 
> regards, uli   ;-)

Interesting, I think I will write my own CAP md5 and SHA1 explanation to
give the next candidate.

I also tried with this one:

md5sum  root.crt
fb262d55709427e2e9acadf2c1298c99  root.crt

morten@debian504i386:~/CAcert$
 md5sum -b  root.crt
fb262d55709427e2e9acadf2c1298c99 *root.crt


Which gives a completely different hash.

This has for a long time caused me to feel like an alien.

Basically it should be possible to inspect and investigate before
downloading or installing anything to a trusted Server.


morten@debian504i386:~/CAcert$
 wget https://www.cacert.org/certs/root.crt
- --2010-10-18 16:24:58--  https://www.cacert.org/certs/root.crt
Resolving www.cacert.org... 213.154.225.245
Connecting to www.cacert.org|213.154.225.245|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2569 (2.5K) [application/x-x509-ca-cert]
Saving to: `root.crt'

100%[======================================>] 2,569       --.-K/s   in
0s

2010-10-18 16:24:58 (29.4 MB/s) - `root.crt' saved [2569/2569]


this one works fine, and

openssl x509 -noout -in root.crt -md5 -fingerprint
openssl x509 -noout -in root.crt -sha -fingerprint
openssl x509 -noout -in root.crt -sha1 -fingerprint
openssl x509 -noout -in root.crt -sha256 -fingerprint
openssl x509 -noout -in root.crt -sha384 -fingerprint
openssl x509 -noout -in root.crt -sha512 -fingerprint
openssl x509 -noout -in root.crt -ripemd160 -fingerprint

md5  sha  sha1  sha224  sha256  sha384  sha512 ripemd160

Is no more greek to CAcert, when I ask about this I use to get entropy
randomness and no smart replies.

MESSAGE DIGEST COMMANDS
       md2       MD2 Digest

       md5       MD5 Digest

       mdc2      MDC2 Digest

       rmd160    RMD-160 Digest

       sha       SHA Digest

       sha1      SHA-1 Digest

       sha224    SHA-224 Digest

       sha256    SHA-256 Digest

       sha384    SHA-384 Digest

       sha512    SHA-512 Digest


now it is all verifiable and I don't feel like an alien random hacker at
the wrong address anymore.

I did look up the EJB enterprise Java Beans CA and what else I could
find to digest this topic, and finally I found out what this means.

A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B

This is useful because the root distribution license gives us the right
to hack on the certificates. Hack is improve, modify and purify. As any
Monolithic kernel piece of software. Simply verifying the Authenticity.

I will not do so in public, but there can be an option that
1) given the public key and the fingerprint,
2) now create the secret key and start issuing bogus certificates.

for md5 this could be done.

Also hard disk encryption is a topic with mobile devices.

Intel has AES-256 crypto accelerator hardware on the Intel x86 i7 chip.

can a cacert certificate be used for Hard Disk Encryption?

PGP can encrypt and sign a file, a document, a message, and informally
it can also encrypt one Hard Disk partition, it is not supported and you
normally take something else for this purpose, but it can be done.

Can our certificates be used for this?

pdf has two different signatures, internal and external IIRC. will both
work for cacert? The applications for using CAcert should alo be in a
most general Policy. If a Policy is a Howto handbook, like I feel.


Sincerely yours,

藻留天   具留部覧度船
Morten Gulbrandsen
_____________________________________________________________________
Java programmer, C++ programmer
CAcert Assurer, GSWoT introducer, thawte Notary
Gossamer Spider Web of Trust http://www.gswot.org
Please consider the environment before printing this e-mail!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: For keyID and its URL see the OpenPGP message header

iEYEAREKAAYFAky8YMYACgkQ9ymv2YGAKVToOwCfVsfPlV/4tjfI9r362IdUQHiY
5DwAoObu9fmvyhh5zmgzStOgxmoQLSBo
=DoGZ
-----END PGP SIGNATURE-----



Archive powered by MHonArc 2.6.16.

Top of Page