<p dir="ltr">Hmmm. Yeah, while obvious... <br></p>
<br><div class="gmail_quote"><div dir="ltr">On Wed, Dec 28, 2016, 16:44 Vladimir Dzhuvinov via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">New issue 1007: Registration: Client jwks / jwks_uri must not contain private key material<br class="gmail_msg">
<a href="https://bitbucket.org/openid/connect/issues/1007/registration-client-jwks-jwks_uri-must-not" rel="noreferrer" class="gmail_msg" target="_blank">https://bitbucket.org/openid/connect/issues/1007/registration-client-jwks-jwks_uri-must-not</a><br class="gmail_msg">
<br class="gmail_msg">
Vladimir Dzhuvinov:<br class="gmail_msg">
<br class="gmail_msg">
The client registration spec should state explicitly that the client JWK set must not contain any private or secret keys. The OP must also reject such registration requests, to make the client developers aware of the leakage.<br class="gmail_msg">
<br class="gmail_msg">
This can be stated in section 2 Client Metadata and in section 9 Security Considerations.<br class="gmail_msg">
<br class="gmail_msg">
Proposed text:<br class="gmail_msg">
<br class="gmail_msg">
> **2. Client Metadata**<br class="gmail_msg">
><br class="gmail_msg">
> ...<br class="gmail_msg">
><br class="gmail_msg">
> **jwks_uri** ... The JWK Set MUST contain public keys only.<br class="gmail_msg">
<br class="gmail_msg">
...<br class="gmail_msg">
<br class="gmail_msg">
> **9.2 Private and Secret Key Leakage**<br class="gmail_msg">
><br class="gmail_msg">
> The Client's JSON Web Key Set [JWK] document, as specified by the jwks_uri and jwks Client Metadata values, MUST be validated by the Server to ensure no private or secret key material is present in it. If such validation of the JWK set fails the Server MUST reject the registration request with an appropriate error message to make the Relying Party aware of the key leakage.<br class="gmail_msg">
<br class="gmail_msg">
I became aware of this problem in the OP cert tests, where the test RP tried to register itself with private key material in the "jwks" / "jwks_uri" parameter.<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
_______________________________________________<br class="gmail_msg">
Openid-specs-ab mailing list<br class="gmail_msg">
<a href="mailto:Openid-specs-ab@lists.openid.net" class="gmail_msg" target="_blank">Openid-specs-ab@lists.openid.net</a><br class="gmail_msg">
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" class="gmail_msg" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br class="gmail_msg">
</blockquote></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><p dir="ltr">Nat Sakimura</p>
<p dir="ltr">Chairman of the Board, OpenID Foundation</p>
</div>