
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Exchange Server">


<!-- converted from rtf -->


<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>


</head>


<body>


<font face="Arial" size="2">


<div>-----BEGIN PGP SIGNED MESSAGE-----</div>


<div>Hash: SHA256</div>


<div> </div>


<div>Hi</div>


<div> </div>


<div>As we said in the last meeting, I should start an email thread about the "Invalid signature" problem. At one point we got a bad signature, but we could not reproduce it.</div>


<div> </div>


<div>Signer Engine will now check all of the signatures. And SoftHSM has a compiler option to verify the signature before returning it. Both has output to syslog.</div>


<div> </div>


<div>Signer Engine:</div>


<div>WARNING: HSM returned BOGUS signature! Abort signing, retry on next resign</div>


<div> </div>


<div>SoftHSM (in hexadecimal):</div>


<div>SoftHSM: C_Sign: Error: Could not verify signature. Data: 54657874 Sign: 2E3C50CDFFFC39F146D67730A982DC17C9C5EBBC77394425F3524F8547CE26AC1E13CF13534FCE7BE7FCFF263C8CD2C4DE9EBB295C790C1F989C18A32EF0D0853F7E38222FA6ACBC29E27692D382FB4CE387C5F171F81567EC0678176EFDB43F</div>


<div> </div>


<div>Signer Engine also outputs the bad signature into the tmp zone, which does not get distributed:</div>


<div>fprintf(output, "; signing failed: %s\n", ldns_get_errorstr_by_id(status));</div>


<div>ldns_rr_print(output, sig);</div>


<div> </div>


<div>I think Roy is setting up a test bed, right?</div>


<div> </div>


<div>What else can we do?</div>


<div> </div>


<div>And for how long should we keep the verifying on by default in the Signer Engine?</div>


<div> </div>


<div>// Rickard</div>


<div> </div>


<div>-----BEGIN PGP SIGNATURE-----</div>


<div>Version: 9.8.3 (Build 4028)</div>


<div>Charset: utf-8</div>


<div> </div>


<div>wsBVAwUBSxki+uCjgaNTdVjaAQjTKwf/QIysYWM6aEKNRvxNHKmL7XsWBHnestDC</div>


<div>vXzav+CD+AdhVH9w0RPCTd2TZafTixKm44A0un/e/Y7h1+OfdX8emoaANRHZ8/Rz</div>


<div>TJ6svJynD4cRGGGVZFpqzCbI3sqJgkpqrgoU64MD1tIeXYuWi4UUJU0pauHjMAFU</div>


<div>O0++MgRQ0mD2kDct9TUXCPhweeDzbPJe9dTC1DX+5lC/3l3uQ8R5VI0W6HKc1/La</div>


<div>+D1K9qDSRjh9fqoAJlBqSbFEXdcb3qkRUpKE3q8hPfz8EgU+j/0/2v+EmqADn2Be</div>


<div>BxnCoP1iCJmGOsF49lsTjVhsfRLm6wU+nIl7UU0LXwsE0bz5OWoNfg==</div>


<div>=g/GM</div>


<div>-----END PGP SIGNATURE-----</div>


<div> </div>


<div> </div>


</font>


</body>


</html>