<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Mon, Nov 13, 2017 at 10:57 AM Howard Chu <<a href="mailto:hyc@symas.com">hyc@symas.com</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The subject of this message thread ought to be "why are people still inventing<br>
serialization formats?" ASN.1 works well from network and CPU efficiency<br>
perspective, *and* is reliable for security-oriented usage.<br></blockquote><div><br></div><div>There's the langsec argument to be made that DER is fairly complicated to parse, and as a result many critical errors have been found in popular ASN parser generators. Specifically, the theory is that simpler Chomsky categories of languages should be used as protocol encodings, and that DER is context free. The largest proponents of this position, however, suggest using JSON on the grounds that it is context-sensitive - a claim which I've always been idly sure collapses if you insist on a normalized form, or even that fields not repeat.</div><div><br></div><div>That said, using a regular language for a secure protocol seems sensible, and the parsers have been with us for a long time.</div><div><br></div><div>Judson</div><div> </div></div></div>