<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Ah, thanks for the pointer! I didn’t see that in the issue tracker. That does answer my question and it looks like people came up with the same conclusions that I did. I didn’t realize the inputs for Ed448 though, so that’s good to know as well. Unfortunately this means we’ll need to change our implementation to take into account the key curve for this step, which is annoying but manageable.<div class=""><br class=""></div><div class=""> — Justin<br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On Jun 2, 2020, at 5:24 PM, Brian Campbell <<a href="mailto:bcampbell@pingidentity.com" class="">bcampbell@pingidentity.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=utf-8" class=""><div dir="ltr" class="">Not sure it's well-trodden exactly but <a href="https://bitbucket.org/openid/connect/issues/1125/_hash-algorithm-for-eddsa-id-tokens" class="">https://bitbucket.org/openid/connect/issues/1125/_hash-algorithm-for-eddsa-id-tokens</a> has some treatment of the subject. <br class=""></div><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 2, 2020 at 3:09 PM Justin Richer via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" class="">openid-specs-ab@lists.openid.net</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;" class=""><div class="">I haven’t been able to find a clean answer for this, but apologies if this is well-trodden already. </div><div class=""><br class=""></div>The ODIC spec defines at_hash (and c_hash and others) as using "the hash algorithm used is the hash algorithm
                  used in the <tt class="">alg</tt> Header Parameter
                  of the ID Token's JOSE Header”. This is clear enough for things like RS256 and the like.<div class=""><div class=""><br class=""></div><div class="">However, the definition of the “EdDSA” JOSE algorithm in RFC8037 (<a href="https://tools.ietf.org/html/rfc8037" target="_blank" class="">https://tools.ietf.org/html/rfc8037</a>) does not define a hash algorithm in the same way. Edwards signatures as defined in RFC8032 (<a href="https://tools.ietf.org/html/rfc8032" target="_blank" class="">https://tools.ietf.org/html/rfc8032</a>) seem to internally use SHA-512, but I’m not positive that’s every time or just in the case where you do the pre-hashing calculation. Regardless, the JOSE spec is silent on the matter. </div></div><div class=""><br class=""></div><div class="">So the question is: which hash algorithm do we use for an “EdDSA” signed token when calculating at_hash and its ilk?</div><div class=""><br class=""></div><div class=""> — Justin</div></div>_______________________________________________<br class="">
Openid-specs-ab mailing list<br class="">
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank" class="">Openid-specs-ab@lists.openid.net</a><br class="">
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank" class="">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br class="">
</blockquote></div>

<br class="">
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)" class=""><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600" class=""><font size="2" class="">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i></div></blockquote></div><br class=""></div></body></html>