<div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace"><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Sep 3, 2013 at 7:27 PM, Bryan D. Payne <span dir="ltr"><<a href="mailto:bdpayne@acm.org" target="_blank">bdpayne@acm.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote"><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">

<div>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><div>

<p>> How can someone use your code without a key manager?<span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u><u></u></span></p></div><p><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Some key management mechanism is required although it could be simplistic. For example, we’ve tested our code internally with an implementation of the key manager interface that returns a single, constant key.</span></p>





</div></div></blockquote></div><div>That works for testing but doesn't address: "<span style="font-size:13px;font-family:arial,sans-serif">the current dearth of key management within OpenStack does not preclude the use of our existing work within a production environment" </span></div>



</div></div></div></blockquote><div><br></div></div><div>My understanding here is that users are free to use any key management mechanism that they see fit.  This can be a simple "return a static key" option.  Or it could be using something more feature rich like Barbican.  Or it could be something completely home grown that is suited to a particular OpenStack deployment.</div>



<div><br></div><div>I don't understand why we are getting hung up on having a key manager as part of OpenStack in order to accept this work.  Clearly there are other pieces of OpenStack that have external dependencies (message queues, to name one).</div>



<div><br></div><div>I, for one, am looking forward to using this feature and would be very disappointed to see it pushed back for yet another release.</div><div class="im"><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">



<div lang="EN-US" link="blue" vlink="purple"><div>

</div></div></blockquote></div><div>Is a feature complete if no one can use it?  </div><div><br></div><div>I am happy with a less then secure but fully functional key manager.  But with no key manager that can be used in a real deployment, what is the value of including this code?</div>



</div></div></div></blockquote><div><br></div></div><div>Of course people can use it.  They just need to integrate with some solution of the deployment's choosing that provides key management capabilities.  And, of course, if you choose to not use the volume encryption then you don't need to worry about it at all.</div>



<div><br></div><div>I've watched this feature go through many, many iterations throughout both the Grizzly and Havana release cycles.  The authors have been working hard to address everyone's concerns.  In fact, they have navigated quite a gauntlet to get this far.  And what they have now is an excellent, working solution.  Let's accept this nice security enhancement and move forward.</div>



<div><br></div><div>Cheers,</div><div>-bryan</div><div><br></div></div></div></div>
<br>_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><div class="gmail_default" style="font-family:'courier new',monospace">Do you have any docs or guides describing a reference implementation that would be able to use this in the manner you describe?</div>

<br></div></div>