
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Exchange Server">


<!-- converted from rtf -->


<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>


</head>


<body>


<font face="Arial" size="2">


<div>-----BEGIN PGP SIGNED MESSAGE-----</div>


<div>Hash: SHA256</div>


<div> </div>


<div>> By default, no. Default should be to have it not exportable. Flipping</div>


<div>> the 'exportable bit' must also be a one way function. You can switch</div>


<div>> from exportable to not exportable, but not from not-exportable to</div>


<div>> exportable.</div>


<div> </div>


<div>Yeah. This is something that can only be done when you are creating the key (setting the key to extractable).</div>


<div> </div>


<div>> In general, keys only need to be exportable when an HSM roll is due. By</div>


<div>> that time, a key can be generated that is exportable.</div>


<div>> </div>


<div>> > Just want to discuss this topic, so that we do not lock the user</div>


<div>> > down. Or is it better to protect against a potential threat of</div>


<div>> leaking keys?</div>


<div>> </div>


<div>> IMHO it is not a mutual exclusive choice. We need to protect against a</div>


<div>> potential threat of leaking keys all the time, but only enable the user</div>


<div>> to export the key as an explicit conscious choice.</div>


<div> </div>


<div>Ok, sounds like a feature for version 2.0. The HSMs are probably not going to be rolled in this time frame.</div>


<div> </div>


<div>// Rickard</div>


<div> </div>


<div>-----BEGIN PGP SIGNATURE-----</div>


<div>Version: 9.8.3 (Build 4028)</div>


<div>Charset: utf-8</div>


<div> </div>


<div>wsBUAwUBSwufPuCjgaNTdVjaAQieawf4iOwJ8vkb4ieLjt6weF4wVKe0eJgkVpZO</div>


<div>G7v5bC3hDBSTNrGl7IoTK/j3sF7Y3YkRFqco0YONWAxeP2k76qDuN4PaWv6s9AJB</div>


<div>2d8vNH2qXs8W6cdJX4xOvVREbUxLF2rTxPCMh7CUhYxpfsO/YaXDZqseJs8VyuLM</div>


<div>P+JHZa7GnfST2h0cNm7BkwT1T8QMGufoiKvZ73H+jYKoLOaDs755IV6A11Mduq1Y</div>


<div>2Uan6cw6Awba4bx4aU9FMsl2kUrIT4w+TKmD4vQVgvKFCPZOojGlQyMH3fZB4AmA</div>


<div>5ZMCt6XansaivN27CAOjCtdfFY2VfjsSydQl3o7wOmkpCJR6TlnS</div>


<div>=48AN</div>


<div>-----END PGP SIGNATURE-----</div>


<div> </div>


<div> </div>


</font>


</body>


</html>