
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8">

<style>

div.plaintext { white-space: normal; }

body { font-family: sans-serif; }

h1 { font-size: 1.4em; }

h2 { font-size: 1.2em; }

h3 { font-size: 1.1em; }

blockquote { margin: 0 0 5px; padding-left: 5px; border-left: 2px solid #777777; color: #777777; }

blockquote blockquote { border-left-color: #999999; color: #999999; }

blockquote blockquote blockquote { border-left-color: #BBBBBB; color: #BBBBBB; }

blockquote a { color: #777777; }

blockquote blockquote a { color: #999999; }

blockquote blockquote blockquote a { color: #BBBBBB; }

@media (prefers-color-scheme: dark) { blockquote { border-left-color: #BBBBBB; color: #BBBBBB; }

blockquote blockquote { border-left-color: #999999; color: #999999; }

blockquote blockquote blockquote { border-left-color: #777777; color: #777777; }

blockquote a { color: #BBBBBB; }

blockquote blockquote a { color: #999999; }

blockquote blockquote blockquote a { color: #777777; }

}

math[display="inline"] > mrow { padding:5px; }

div.footnotes li p { margin: 0.2em 0; }

</style>

</head>

<body>

<div class="plaintext"><p dir="auto">On 3 Apr 2019, at 16:09, Joe Abley wrote:</p>

<blockquote><p dir="auto">On 3 Apr 2019, at 05:10, Olaf Kolkman <kolkman@isoc.org> wrote:<br>

</p>

<blockquote><p dir="auto">It occurs to me that the requirements are probably straight forward.</p>

</blockquote><p dir="auto">This seems like a bad sign!<br>

</p>

<blockquote><p dir="auto">Key N signs Key N+1 with a time of signature timestamp. Seems to me that writing down how the bits are stored is a short exercise.</p>

</blockquote><p dir="auto">Back when Wouter proposed a similar mechanism, years ago (TALINK? something like that) my objection to it was that a compromise of any key along the chain breaks it in ways that are not trivial to signal to a relying party, remembering that the kind of relying party we're apparently trying to accommodate include those that have been sitting on a shelf for five years but still have aspirations about being secure.<br>

<br>

I find Mike StJohn's cautionary shouting about key hoarding quite convincing.</p>

</blockquote><p dir="auto">I am not talking about keeping the private keys around. I am saying create a signature over the new key with a timestamp of signature and keep that around - a relatively clean variety of data that is already available anyway.</p>

<p dir="auto">That said I agree, all mechanisms to get from t(N) to t(N+i) (time when key N was in use to time when a future key is in use) by following a chain of signatures is not the best of ideas. But, if we ever want to go there, as methodology of last resort, having a clean blob of signed key material around may turn out to be useful.</p>

<p dir="auto">—Olaf</p>

</div>


</body>

</html>