<div dir="auto">Where is this notion coming from that OpenSSL is going to drop MD5 or SHA1 support any time soon? That's inconceivable to me.</div><div class="gmail_extra"><br><div class="gmail_quote">On Jan 27, 2017 3:21 PM, "Eric S. Raymond" <<a href="mailto:esr@thyrsus.com">esr@thyrsus.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Mark Atwood <<a href="mailto:fallenpegasus@gmail.com">fallenpegasus@gmail.com</a>>:<br>
> We do need to get wacking on the weeds on removing more of this thicket.<br>
<br>
Here are our constraints:<br>
<br>
* Daniel has stated that he prefers the OpenSSL implementations of MD5 and<br>
  SHA-1. He's our crypto expert, so he gets to make that call and I would<br>
  have no grounds to even argue with it.<br>
<br>
* We have beem warned that these might be removed from OpenSSL in the<br>
  unspecified future.<br>
<br>
* libsodium does not carry MD5 and SHA-1, and won't for the same reason<br>
  that they might be removed<br>
<br>
Therefore, here are our options:<br>
<br>
1. Make OpenSSL a required library and remove the local MD5/SHA-1.  Daniel gets<br>
   his optimizations, I get to remove code, and all is happy unless the axe<br>
   falls and MD5/SHA-1 are removed from OpenSSL.<br>
<br>
2. Do nothing.  OpenSSL remains optional and we're covered against OpenSSL<br>
   yanking those festures.<br>
--<br>
                <a href="<a href="http://www.catb.org/~esr/" rel="noreferrer" target="_blank">http://www.catb.org/~<wbr>esr/</a>">Eric S. Raymond</a><br>
______________________________<wbr>_________________<br>
devel mailing list<br>
<a href="mailto:devel@ntpsec.org">devel@ntpsec.org</a><br>
<a href="http://lists.ntpsec.org/mailman/listinfo/devel" rel="noreferrer" target="_blank">http://lists.ntpsec.org/<wbr>mailman/listinfo/devel</a><br>
</blockquote></div></div>