<div dir="ltr"><br><div>Dear AB/C WG members: </div><div><br></div><div>Below is a draft proposal for OpenID Connect Ephemeral Identifier Subject Type. </div><div>It has been discussed as issue #1096. </div><div><br></div><div>I still think that incorporating it in the Core is better as that will inform the readers of the fact, but if it needs to be a new document, then this could be used as the basis for adoption in the WG and subsequently going to WG last call immediately. </div><div><br></div><div>Best, </div><div><br></div><div>Nat Sakimura</div><div><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><br></h1><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt">OpenID Connect Ephemeral Identifier Subject Type</h1><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">Abstract</span></h1><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">This document defines a new subject type to signal a client that the subject identifier changes whenever a new authentication request is made. </span></p><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">1. Introduction</span></strong></h1><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">OpenID Connect Core 1.0 defines in clause 8 two subject identifier types. Both of them are durable. However, there are cases where the use of an ephemeral identifier is desirable, such as only over-age or not is needed by the client. It is sometimes referred to as anonymous attribute-based authentication or unlinkable attribute-based authentication. While it was always in the use-case of OpenID Connect, the subject identifier type for it was never defined. This document defines it. </span></p><h2 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">1.1. Requirements Notation and Conventions</span></h2><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in </span><a style="background:transparent;margin-top:0pt;margin-bottom:0pt;color:rgb(74,110,224)" target="_blank" href="https://openid.net/specs/openid-connect-core-1_0.html#RFC2119" class="editor-rtfLink"><strong style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">RFC 2119</span></strong></a><span style="background:transparent;margin-top:0pt;margin-bottom:0pt"> [RFC2119].</span></p><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">2. Normative references</span></strong></h1><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">[OIDC] OpenID Connect Core 1.0</span></p><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">3. Terms and definitions</span></strong></h1><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">This document uses terms defined in [OIDC]. </span></p><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">4. Symbols and abbreviations</span></strong></h1><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">OIDC OpenID Connect</span></p><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">5. Subject Identifier Types</span></strong></h1><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">Subject identifier types are defined in clause 8 of [OIDC]. This document defines a new additional subject identifier type.</span></p><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">ephemeral</span></strong></p><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">This indicates that a different sub value will be returned to each authentication request by a Client, so as not to enable Clients to correlate the End-User's visits to it.</span></p><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><br></p><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">6. Security considerations</span></strong></h1><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">When an ephemeral identifier is created, it is often a case that a pseudo-random value is used. Depending on the function used, a duplicate value could result. This should be avoided by using a cryptographically random function. Use of date bound value may reduce the chance of duplication. </span></p><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">7. Privacy considerations</span></strong></h1><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">While the sub value provided in compliance with this document may protect the End User from correlation, it should be noted that other correlation methods are possible. For example, the client may collect IP Address, Browser cookie, Browser font-lists, etc. Such values combined collectively know as device-fingerprint may be sufficient to identify the End-user. OP should let the user know the fact. </span></p><h1 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">8.  Acknowledgement</span></strong></h1><h2 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">8.1 Author(s)</span></strong></h2><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">Nat Sakimura, NAT Consulting LLC</span></p><h2 style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt;font-weight:normal"><strong style="background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">8.2 Contributors</span></strong></h2><p style="color:rgb(14,16,26);background:transparent;margin-top:0pt;margin-bottom:0pt"><span style="background:transparent;margin-top:0pt;margin-bottom:0pt">TBD</span></p></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Nat Sakimura<div>NAT.Consulting LLC</div></div></div></div>