<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Arial" size="2">
<div>-----BEGIN PGP SIGNED MESSAGE-----</div>
<div>Hash: SHA256</div>
<div> </div>
<div>> By default, no. Default should be to have it not exportable. Flipping</div>
<div>> the 'exportable bit' must also be a one way function. You can switch</div>
<div>> from exportable to not exportable, but not from not-exportable to</div>
<div>> exportable.</div>
<div> </div>
<div>Yeah. This is something that can only be done when you are creating the key (setting the key to extractable).</div>
<div> </div>
<div>> In general, keys only need to be exportable when an HSM roll is due. By</div>
<div>> that time, a key can be generated that is exportable.</div>
<div>> </div>
<div>> > Just want to discuss this topic, so that we do not lock the user</div>
<div>> > down. Or is it better to protect against a potential threat of</div>
<div>> leaking keys?</div>
<div>> </div>
<div>> IMHO it is not a mutual exclusive choice. We need to protect against a</div>
<div>> potential threat of leaking keys all the time, but only enable the user</div>
<div>> to export the key as an explicit conscious choice.</div>
<div> </div>
<div>Ok, sounds like a feature for version 2.0. The HSMs are probably not going to be rolled in this time frame.</div>
<div> </div>
<div>// Rickard</div>
<div> </div>
<div>-----BEGIN PGP SIGNATURE-----</div>
<div>Version: 9.8.3 (Build 4028)</div>
<div>Charset: utf-8</div>
<div> </div>
<div>wsBUAwUBSwufPuCjgaNTdVjaAQieawf4iOwJ8vkb4ieLjt6weF4wVKe0eJgkVpZO</div>
<div>G7v5bC3hDBSTNrGl7IoTK/j3sF7Y3YkRFqco0YONWAxeP2k76qDuN4PaWv6s9AJB</div>
<div>2d8vNH2qXs8W6cdJX4xOvVREbUxLF2rTxPCMh7CUhYxpfsO/YaXDZqseJs8VyuLM</div>
<div>P+JHZa7GnfST2h0cNm7BkwT1T8QMGufoiKvZ73H+jYKoLOaDs755IV6A11Mduq1Y</div>
<div>2Uan6cw6Awba4bx4aU9FMsl2kUrIT4w+TKmD4vQVgvKFCPZOojGlQyMH3fZB4AmA</div>
<div>5ZMCt6XansaivN27CAOjCtdfFY2VfjsSydQl3o7wOmkpCJR6TlnS</div>
<div>=48AN</div>
<div>-----END PGP SIGNATURE-----</div>
<div> </div>
<div> </div>
</font>
</body>
</html>