<div dir="ltr">On Wed, Feb 11, 2015 at 3:38 PM, Jakob Schlyter <span dir="ltr"><<a href="mailto:jakob@kirei.se" target="_blank">jakob@kirei.se</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On 11 feb 2015, at 15:36, Petr Spacek <<a href="mailto:pspacek@redhat.com">pspacek@redhat.com</a>> wrote:<br>
> The downside is that constants for AES_KEY_WRAP* were changed so it will cause<br>
> failures in applications which were not recompiled with new pkcs11.h and use<br>
> old CKM_ constant.<br>
><br>
> AFAIK OpenDNSSEC does not use AES at all and in FreeIPA we will manage the<br>
> change. I have no idea if somebody else is using the AES_KEY_WRAP* thing or not.<br>
<br>
</span>I suggest we go for 2.40 with SoftHSMv2 as a start; Rickard what say you?<br></blockquote><div><br></div><div>We have already incorporated some changes from 2.30/2.40 into SoftHSMv2. The full migration is part of <a href="https://issues.opendnssec.org/browse/SOFTHSM-6">https://issues.opendnssec.org/browse/SOFTHSM-6</a></div><div><br></div><div>For now, we could just update these values so that they match 2.40.</div><div><br></div><div>// Rickard</div></div></div></div>