<div dir="ltr">Hi Dave<div class="gmail_extra"><br></div><div class="gmail_extra">Yes, the laptop's certificate is issued by a CA who has authority over a shorter prefix.</div><div class="gmail_extra">For example, CA=/ndn/edu/arizona, laptop has /ndn/edu/arizona/cs/shijunxiao certificate issued by /ndn/edu/arizona. This laptop would be allowed to register /ndn/edu/arizona/cs/shijunxiao, or a prefix under this namespace.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Remote prefix registration uses the same RIB Management protocol <<a href="http://redmine.named-data.net/projects/nfd/wiki/RibMgmt">http://redmine.named-data.net/projects/nfd/wiki/RibMgmt</a>>.</div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">The laptop's top level certificate is published by the CA, and is already accessible from the router before the registration.</div><div class="gmail_extra">The router will verify the trust chain before accepting the registration.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Yours, Junxiao</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 7, 2015 at 7:42 AM, Dave Oran (oran) <span dir="ltr"><<a href="mailto:oran@cisco.com" target="_blank">oran@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>
> On May 7, 2015, at 10:02 AM, Junxiao Shi <<a href="mailto:shijunxiao@email.arizona.edu">shijunxiao@email.arizona.edu</a>> wrote:<br>
><br>
> Hi Dave<br>
><br>
> There's no risk of cache poisoning.<br>
> The gateway router registers a route to the laptop only if the laptop user owns the prefix, as proved by a certificate.<br>
</span>What you are saying is that the route registration is signed by a certificate specifically issued for that prefix to the user holding the corresponding private key, and this was done by a CA with authority over a shorter prefix, right?<br>
<br>
What is the exact protocol machinery for registration? (sorry if this is obvious and written down somewhere and I haven’t seen it).<br>
<span class=""><br>
><br>
> There's no increased risk of DoS'ing the certificate store (PIB service).<br>
</span>Agree<br>
<span class="">> The DoS risk is the same when a laptop registers at least one prefix onto the gateway router.<br>
</span>I’m not clear if there’s a hazard here. If the router checks that any prefix registered also has a path to the certificate registered and that the cert has been verified, I can see how this prevents DoS-by-fake-registrations. Is that in fact what’s done?<br>
<div class=""><div class="h5"><br></div></div></blockquote></div></div></div>