<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 12 May 2016 at 13:44, Dr. Stephen Henson <span dir="ltr"><<a href="mailto:steve@openssl.org" target="_blank">steve@openssl.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Thu, May 12, 2016, Matt Caswell wrote:<br>
<br>
><br>
><br>
> On 11/05/16 22:03, Russ Housley wrote:<br>
> > Today, the IETF uses OpenSSL to digitally sign Internet-Drafts.  If<br>
> > you care about the details, please see RFC 5485.<br>
> ><br>
> > We are looking to expand Internet-Draft signing, and start signing<br>
> > RFCs as well.  Someone has suggested that we support RFC 5126, "CMS<br>
</span>> > Advanced Electronic Signatures (CAdES)?.  This would mean including<br>
<span class="">> > some signed attributes that we do not currently use.<br>
> ><br>
> > A CAdES Basic Electronic Signature (CAdES-BES) must include these<br>
> > signed attributes:<br>
> ><br>
</span>> > - Content-type ? I know OpenSSL supports this one. - Message-digest ?<br>
> > I know OpenSSL supports this one. - ESS signing-certificate-v2 ? I<br>
<span class="">> > cannot tell if this is supported.<br>
> ><br>
> > The ESS signing-certificate-v2 attribute is defined in RFC 5035.  I<br>
> > am interested in using it with SHA-256.  Is it supported?  If not,<br>
> > what would need to happen to get it supported?<br>
><br>
> With the caveat that I know nothing about CAdES and haven't reviewed the<br>
> PR in question, you might want to look at this:<br>
><br>
> <a href="https://github.com/openssl/openssl/pull/206" rel="noreferrer" target="_blank">https://github.com/openssl/openssl/pull/206</a><br>
><br>
> If this PR were to be merged it would be a new feature and therefore<br>
> would not get incorporated until after the up-coming 1.1.0 release.<br>
><br>
<br>
</span>Note that that PR (which IMHO needs quite a bit of work before we should<br>
consider merging it) applies to the timestamping protocol. Something more<br>
suited to CMS would be better with command line support and automatic<br>
processing in CMS_verify et al.<br></blockquote><div><br>SigningCertificate(v1) attribute is currently defined in TS module too, 
thus it seems logical that people are adding SigningCertificateV2 
support there.<br>Similar (but IMO much better) patch adding support for SigningCertificateV2 attribute almost got merged in PR#771 - <a href="https://github.com/openssl/openssl/pull/771">https://github.com/openssl/openssl/pull/771</a> <br>Maybe it is time to consider a freeze exception? :)<br></div><div></div><div><br></div><div>Regards, Jaroslav<br></div></div></div></div>