<div id="geary-body" dir="auto"><div>Thank you reply, so any bad actor can't use as example with self sign certificates ?   So digital signature must be produced from well known authorized CA certificate key pair ?</div><div><br></div><div>Can you point on one of the well know CA authority which authorized for SHAKEN/STIR.</div><div><br></div><div>volga629 </div><div><br></div><div><br></div></div><div id="geary-quote" dir="auto"><br>On Tue, Dec 3, 2019 at 06:56, Liviu Chircu <liviu@opensips.org> wrote:<br><blockquote type="cite">
  
    <meta http-equiv="Content-Type" content="text/html;
      charset=windows-1252">
  
  
    <div class="moz-cite-prefix">On 03.12.2019 03:59, volga629 via Users
      wrote:<br>
    </div>
    <blockquote type="cite" cite="mid:1575338355.3038.7@skillsearch.ca">
      <div id="geary-body" dir="auto">
        <div><span style="font-variant-ligatures: normal; orphans: 2;
            widows: 2;"><span style="font-variant-ligatures: normal;
              background-color: rgb(255, 255, 255);">If call from
              originator is being replaced by middle with same source
              and destination and change Identity  header with keys and
              certificate location is possible that terminator will
              authorize it ?</span></span></div>
      </div>
    </blockquote>
    <p><tt>Hi Volga,</tt></p>
    <p><tt>Yes, it is perfectly possible to rebuild the Identity header
        and re-attribute the<br>
        asserted source/destination to yourself.  In order to do this,
        you only need to own<br>
        an officially recognized STIR/SHAKEN X509 cert along with its
        private key, issued by<br>
        a STIR/SHAKEN certification authority.</tt></p>
    <p><tt>So, while this is possible, I don't see why anyone in their
        right mind would do it.<br>
        Doing so would jeopardize the image of the carrier, putting
        their business at risk.<br>
        It's similar to how public IP routing in the internet works: 
        any ISP could MITM any<br>
        piece of traffic, yet none do.  Or do they? :)</tt></p>
    <p><tt>Best regards,<br>
      </tt></p>
    <pre class="moz-signature" cols="72">-- 
Liviu Chircu
OpenSIPS Developer
<a class="moz-txt-link-freetext" href="http://www.opensips-solutions.com">http://www.opensips-solutions.com</a></pre>
  

</blockquote></div>