<div dir="ltr"><div dir="ltr">Hi Selva,<div><br></div></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jul 2, 2021 at 10:49 AM Selva Nair <<a href="mailto:selva.nair@gmail.com">selva.nair@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hi,</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jul 1, 2021 at 1:49 PM Reinier Torenbeek <<a href="mailto:reinier.torenbeek@gmail.com" target="_blank">reinier.torenbeek@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi,<div><br></div><div>For anyone interested in leveraging Windows CNG with OpenSSL 1.1.1, you may want to check out this new OpenSSL CNG Engine project on GitHub: <a href="https://github.com/rticommunity/openssl-cng-engine" target="_blank">https://github.com/rticommunity/openssl-cng-engine</a> . The associated User's Manual is on ReadTheDocs: <a href="https://openssl-cng-engine.readthedocs.io/en/latest/index.html" target="_blank">https://openssl-cng-engine.readthedocs.io/en/latest/index.html</a> .</div><div><br></div><div>The project implements the majority of the EVP interface, to leverage the BCrypt crypto implementations, as well as a subset of the STORE interface, for integration with the Windows Certificate and Keystore(s), via the NCrypt and Cert APIs. It has been tested with 1.1.1k on Windows 10, with Visual Studio 2017 and 2019. It is released under the Apache-2.0 license.</div><div><br></div><div>Any feedback is welcome, please send it to me or open an issue on GitHub.</div></div></div></div></div></blockquote><div><br></div><div>This is great, but limiting RSA signature to  RSA-PKCS#1 v 1.5 is a major limitation. It doesn't have to be that way as the OpenSSL engine interface does allow using EVP_PKEY_METHOD callbacks instead of rsa_priv_dec etc.</div></div></div></blockquote><div><br></div><div>Yes I agree the lack of support for RSA-PSS is significant. There is a discussion (which includes you, I see ) around the root cause of that here: <a href="https://github.com/openssl/openssl/issues/7341">https://github.com/openssl/openssl/issues/7341</a> , among other places.</div><div><br></div><div>It is not clear to me what you mean with "the OpenSSL engine interface does allow using EVP_PKEY_METHOD callbacks instead of rsa_priv_dec etc.". Can you elaborate (here or on the GitHub issue)?</div><div><br></div><div>Thanks,</div><div>Reinier</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><br></div><div>Selva</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
</blockquote></div></div>
</blockquote></div></div>