<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal">Hi Team,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I read through the content on “OpenSSL” page regarding the ‘hostage’, ‘ransom’ and ‘aftermath’ details.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">As I understand it, <o:p></o:p></p>

<p class="MsoNormal">the currently active ‘SE version’ or #2398 (2.0.12) has been validated/certified only on 23 new platforms (as per its ‘Security Policy’ pdf on NIST site)

<o:p></o:p></p>

<p class="MsoNormal">and the other 100+ platforms of cert-number #1747 & #2743 (TAR ball 2.0.10) will be considered as “vendor-affirmed" or "user-affirmed" (as per section ‘G5’ of NIST Implementation Guide pdf) for this “SE or 2.0.12" version;<o:p></o:p></p>

<p class="MsoNormal">because this 2.0.12 version "functionally supports all previous platforms" (but not listed/stated explicitly by NIST for 2.0.12 or 2.0.13 or 2.0.N version of the module).<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Is my understanding correct?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">If No, request you to provide inputs to correct my understanding.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">If Yes, then considering, we get a “Premium Level” support contract with OpenSSL Software services (commercial consulting entity);<o:p></o:p></p>

<p class="MsoNormal">can we again raise a NEW ‘Validation/certification request’ against an old platform that is already part of #1747 or #2743?

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The purpose of my above question is that, we don’t want to build 2 versions of our product, one that is built with 2.0.10 and another with 2.0.12 or higher for the same OS with different version (say FreeBSD 9.x and 10.x) to claim FIPS-validated

 status. <o:p></o:p></p>

<p class="MsoNormal">This way, we may be able to pay for re-asserting/revalidating by a CMVP for a dozen old platforms that are already part of #1747 or #2743 again in #2398 (2.0.12) or 2.0.N;<o:p></o:p></p>

<p class="MsoNormal">thereby we can build our product using #2398 or some NEW certificate number #xxxx and claim “FIPS-validated” status with just one TAR ball (say 2.0.12 or some 2.0.N).<o:p></o:p></p>

<p class="MsoNormal">So that my product documentation would be clear with just ONE certificate number (either #2398 or #2473 or a #Brand_new_num) for all platforms of my interest.<o:p></o:p></p>

<p class="MsoNormal">Because, there will be some skeptical customers who would go to the NIST site for the certificate number we quote (#xxxx) and look for a list of “NIST-CMVP-Validated” platforms against a given #xxxx as they may not agree to “user-affirmed”

 or “vendor-affirmed” platforms as “FIPS-Validated”.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Regards,<o:p></o:p></p>

<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">Murali Kamal</span></b><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><br>

</span><span style="font-size:12.0pt;color:black">Senior Software Engineer</span><o:p></o:p></p>

</div>

</body>

</html>