<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Thu, Aug 16, 2018 at 7:03 AM Torsten Lodderstedt <<a href="mailto:torsten@lodderstedt.net">torsten@lodderstedt.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
> Am 15.08.2018 um 21:44 schrieb Brian Campbell <<a href="mailto:bcampbell@pingidentity.com" target="_blank">bcampbell@pingidentity.com</a>>:<br>
> <br>
> 4.3 Processing Rules has "(OPTIONAL) The JWT is decrypted using the key material registered with the expected issuer of the response." <br>
> <br>
> But isn't decryption done with the client's own private key? <br>
<br>
Sure. What I wanted to say is the client should use its private key registered for that purpose with the AS (also fits your comment on client metadata parameters).<br></blockquote><div><br></div><div>Yeah, that. The AS has the client's public key(s) marked with a "use":"enc" via the client's metadata jwks or jwks_uri. And the client has the private part in a private place. <br></div><div><br></div><div>Very similar to <a href="http://openid.net/specs/openid-connect-core-1_0.html#Encryption">http://openid.net/specs/openid-connect-core-1_0.html#Encryption</a> and <a href="http://openid.net/specs/openid-connect-core-1_0.html#RotateEncKeys">http://openid.net/specs/openid-connect-core-1_0.html#RotateEncKeys</a> in many respects. <br></div></div></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>