<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div>
<div>On Nov 25, 2011, at 7:05 AM, Simon Hobson wrote:</div>
<blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">To
 the letter of the spec, that still doesn't fit the "cannot be changed" requirement. Most devices have some flash, if only to hold the MAC address, and whilst nominally static, such flash can usually be changed.</span></blockquote>
</div>
<br>
<div>If the official identifier is burned in ROM, or is effectively unchangeable even though stored in flash, it should be okay to use even if you can falsify a different address on the wire.   What you can't use is the address that's in the kernel that can
 be changed, for instance, because you can't know whether it was changed before you got to it.   So to use DUID-LL, your primary responsibility is to a good process, I think.</div>
<div><br>
</div>
<div>Of course, there are also manufacturers that do not actually ensure that their addresses are unique.   When you block out the enterprise ID, it's not *that* many devices.</div>
<div><br>
</div>
</body>
</html>