<div dir="ltr">One more time,<div><br></div><div>I know that someone, somewhere is probably using any given feature of OpenSSL. I am looking to gather information about concrete, actively maintained applications that may be using one of those algorithms, to build a more complete picture.</div><div><br></div><div>If you are aware of a concrete use of MD2 or any of the other algorithms, please let us know!</div><div><br></div><div>Thanks,</div><div>Emilia</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 16, 2015 at 7:25 PM, Hubert Kario <span dir="ltr"><<a href="mailto:hkario@redhat.com" target="_blank">hkario@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Monday 16 November 2015 16:51:10 Emilia Käsper wrote:<br>
> IDEA, MD2, MDC2, RC5, RIPEMD, SEED, Whirlpool, binary curves<br>
><br>
> This isn't of course entirely representative of widespread usage.<br>
> However Google's multi-billion line codebase now builds against<br>
> BoringSSL and therefore largely does not depend on these algorithms.<br>
> Those billions of lines aren't all new and shiny code written in<br>
> 2015, and some of it does have to interoperate with the outside<br>
> world.<br>
><br>
> And here's the list gone from LibreSSL, from what I can tell:<br>
><br>
> MD2, MDC2, RC5, SEED<br>
><br>
> Neither have removed CAST, and there is presumably a good reason for<br>
> that. (PGP?)<br>
><br>
> It seems to me that these can pretty safely go:<br>
><br>
> MD2 - (The argument that someone somewhere may want to keep verifying<br>
> old MD2 signatures on self-signed certs doesn't seem like a<br>
> compelling enough reason to me. It's been disabled by default since<br>
> OpenSSL 1.0.0.) MDC2<br>
> SEED<br>
> RC5<br>
><br>
> These could probably stay (C only):<br>
><br>
> CAST<br>
> IDEA<br>
> RIPEMD (used in Bitcoin?)<br>
> WHIRLPOOL<br>
><br>
> as well as<br>
><br>
> BLOWFISH<br>
> MD4<br>
> RC2<br>
><br>
> I am on the fence about the binary curves: I am not aware of any<br>
> usage, really, and it's not about to pick up now.<br>
<br>
</div></div>I'm afraid you're too focused on TLS/SSL use case. And while it is<br>
important it's not the only use case the OpenSSL does serve.<br>
<br>
And for what it's worth, I'm very much *for* removing as much (and as<br>
fast as possible) support for the old junk (or unused stuff - like<br>
curves < 256 bit) in TLS. Search the archives for "Insecure DEFAULT<br>
cipher set" for an example.<br>
<br>
But stuff like this:<br>
<span class=""><br>
> The argument that someone somewhere may want to keep verifying<br>
> old MD2 signatures on self-signed certs<br>
<br>
</span>is not true. I was talking about document signatures, time stamps, CRL<br>
signatures and certificate signatures in general. Not the trust anchors<br>
or their self-signatures.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Regards,<br>
Hubert Kario<br>
Senior Quality Engineer, QE BaseOS Security team<br>
Web: <a href="http://www.cz.redhat.com" rel="noreferrer" target="_blank">www.cz.redhat.com</a><br>
Red Hat Czech s.r.o., Purkyňova 99/71, 612 45, Brno, Czech Republic</div></div></blockquote></div><br></div>