<div dir="ltr">Hi Tai-Lin<div><br></div><div>NFD trust model is <b>limited to management</b>, and does not apply to packets being forwarded.</div><div><br></div><div>NFD Management trust model is very simple: any and all keys to be trusted must be statically configured in the configuration file.</div>

<div><br></div><div>NFD Management is unable to support any "trust chain", because:</div><div><ul><li>Trust chain requires retrieving public keys over the network. To retrieve keys over the network, a correct FIB is needed.</li>

<li>ControlCommands are used to setup the FIB.</li><li>To validate the ControlCommands, NFD needs the keys in the trust chain.</li></ul></div><div>This is a circular dependency. To break this circle, we decide to require statically configured keys.</div>

<div><br></div><div><br></div><div>It's not a big limitation for NFD Management to require statically configured keys, because NFD Management can be used from localhost only, and very limited entities can interact with NFD Management via ControlCommand:</div>

<div><ul><li>configuration tools: nfdc</li><li>control plane: NRD</li></ul></div><div>Although ndn-cpp-dev has a ndn::nfd::Controller class that allows apps to interact with NFD Management via ControlCommand, this class is intended to be used by nfdc only.</div>

<div>Regular apps register prefixes with NRD. NRD can and should support more flexible trust model, including but not limited to a trust chain.</div><div><br></div><div><br></div><div>Yours, Junxiao</div></div><div class="gmail_extra">

<br><br><div class="gmail_quote">On Sun, Mar 30, 2014 at 11:44 AM, Tai-Lin Chu <span dir="ltr"><<a href="mailto:tailinchu@gmail.com" target="_blank">tailinchu@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">hi,<div>I discovered [this doc](<a href="http://irl.cs.ucla.edu/~yingdi/web/pub/Trust-Management-Library-v4.pdf" target="_blank">http://irl.cs.ucla.edu/~yingdi/web/pub/Trust-Management-Library-v4.pdf</a>)</div>

<div><br></div>
<div>questions:</div><div>1. does nfd treat the default.ndncert as root key? </div><div><br></div><div>2. If so, does it mean that the keylocator's name of this cert is not used?</div><div><br></div><div>3. If I want to express the signing chain, do I simply add required key to that cert dir and nfd will verify the chain?</div>


<div><br></div><div>e.g. <br></div><div>simple: default.cert --(sign)-> data </div><div>chain: default.cert --(sign)-> other.cert --(sign)-> data </div><div><br></div><div>Thanks.</div></div>
</blockquote></div><br></div>