<div dir="ltr">Hi Adeola<div><br></div><div>I agree with the necessity of HMAC signature.</div><div><br></div><div>I have the following questions on the details:</div><div><ul><li>What's expected to appear in KeyLocator?</li><li>What's the benefit of using opad and ipad?</li><li>Why should SignatureValue contain two SHA256 hash functions? Why not use just "SHA256(KeyValue, Name, MetaInfo, Content, SignatureInfo)"?</li></ul></div><div><br></div><div>An accompanying document is needed to cover some guidance about how to design an application that makes use of HMAC signature and still guarantee a strong level of provenance.</div><div>In particular, is this scheme usable if producer and sender do not exist at the same time?</div><div><br></div><div>Yours, Junxiao​</div></div>