<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252"><title>Re: [Opendnssec-develop] SHA-2 keys mixed up</title>
</head>
<body>
<blockquote><blockquote><font face="Calibri, Verdana, Helvetica, Arial"><span style="font-size:11pt">It looks like the signing was done exactly the other way around.<br>
</span></font></blockquote><font face="Calibri, Verdana, Helvetica, Arial"><span style="font-size:11pt"><br>
I can confirm that the Auditor switch the algorithms around during this check. The signer does what it should.<br>
<br>
Alex, is it possible to fix before rc2?<br>
<br>
<br>
Hang on...<br>
<br>
The Auditor requirements state :<br>
<br>
</span></font></blockquote><font face="Calibri, Verdana, Helvetica, Arial"><span style="font-size:11pt">“<br>
For each signed domain chosen for verification, the KA should check that: <br>
</span></font><ol><li><font face="Calibri, Verdana, Helvetica, Arial"><span style="font-size:11pt">There is an RRSIG record for each algorithm for which there is a DNSKEY RR (unless the domain is glue, an unsigned delegation or out of zone) [E] <br>
</span></font></ol><font face="Calibri, Verdana, Helvetica, Arial"><span style="font-size:11pt">“<br>
<br>
In this case, there isn’t an RRSIG for algorithm 8 – only one for algorithm 10. So the auditor is simply pointing that out.<br>
<br>
<br>
Alex.</span></font>
</body>
</html>