Hello Viktor,<br><br>On Wednesday, May 6, 2015, Viktor Dukhovni <<a href="mailto:openssl-users@dukhovni.org">openssl-users@dukhovni.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, May 06, 2015 at 08:33:37PM +0300, Dmitry Belyavsky wrote:<br>
<br>
> > > I would like to suggest a small patch providing the necessary check for<br>
> > > RSA_METHOD_FLAG_NO_CHECK here.<br>
> ><br>
> > I am not convinced this change is correct.  The function would then<br>
> > not do what it is supposed to do.  The flag suppresses implicit<br>
> > checks only, but suppressing explicit checks seems unexpected.<br>
> ><br>
><br>
> Well, but what is the correct way to provide, for example, HSM key if we<br>
> have to check match without access to a private key?<br>
<br>
Well, one might argue that the checking function should support<br>
performing the check via engines.  Or that explicit checks should<br>
not be called when you don't want to check.  Perhaps openssl(1)<br>
should have a command-line option to suppress the explicit check.<br>
<br>
I'd still be surprised if calling the explicit check did nothing.<br>
However, I might not know enough of the history/intent.  Perhaps<br>
someone will comment...<br>
<br></blockquote><a href="https://www.mail-archive.com/openssl-dev@openssl.org/msg04370.html">https://www.mail-archive.com/openssl-dev@openssl.org/msg04370.html</a> - a very old thread concerning using smartcards with OpenSSL. <div><br></div><a href="http://code.google.com/p/chromium/issues/detail?id=395279">http://code.google.com/p/chromium/issues/detail?id=395279</a> - the solution selected in BoringSSL. <div><br><div> </div></div><br><br>-- <br>SY, Dmitry Belyavsky<br>