<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<div>
<p dir="ltr">Maybe, we should move this into the section that talks about algorithms and enhance it to include key lengths.</p>
<p dir="ltr">There is a general reference to the GPG for TLS - is there something similar we can reference for signing keys as well ?<br>
</p>
<p dir="ltr"></p>
<p dir="ltr">-------- Original Message --------<br>
From: Joseph Heenan via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net">openid-specs-fapi@lists.openid.net</a>><br>
Date: Mon, 28 Jan 2019, 15:26<br>
To: "<a href="mailto:openid-specs-fapi@lists.openid.net">openid-specs-fapi@lists.openid.net</a>" <<a href="mailto:openid-specs-fapi@lists.openid.net">openid-specs-fapi@lists.openid.net</a>><br>
CC: Joseph Heenan <<a href="mailto:issues-reply@bitbucket.org">issues-reply@bitbucket.org</a>><br>
Subject: [Openid-specs-fapi] Issue #213: requirements on RSA/EC key sizes should apply to more situations (openid/fapi)</p>
</div>
<font size="2"><span style="font-size:10pt;">
<div class="PlainText">New issue 213: requirements on RSA/EC key sizes should apply to more situations<br>
<a href="https://bitbucket.org/openid/fapi/issues/213/requirements-on-rsa-ec-key-sizes-should">https://bitbucket.org/openid/fapi/issues/213/requirements-on-rsa-ec-key-sizes-should</a><br>
<br>
Joseph Heenan:<br>
<br>
Part 1 says the authorization server:<br>
<br>
- shall require a key of size 2048 bits or larger if RSA algorithms are used for the client authentication;<br>
<br>
- shall require a key of size 160 bits or larger if elliptic curve algorithms are used for the client authentication;<br>
<br>
I find it odd that I can't obviously find these requirements echoed for:<br>
<br>
1) client keys in other cases (e.g. request object signing key used for oauth-mtls)<br>
<br>
2) keys used by the AS (e.g.  to sign the id_token)<br>
<br>
<br>
_______________________________________________<br>
Openid-specs-fapi mailing list<br>
Openid-specs-fapi@lists.openid.net<br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
</div>
</span></font>
<br clear="both">
Please consider the environment before printing this email.<BR>
<BR>
This email is from Open Banking Limited, Company Number 10440081.  Our registered and postal address is 2 Thomas More Square, London, E1W 1YN.  Any views or opinions are solely those of the author and do not necessarily represent those of Open Banking Limited.  <BR>
<BR>
This email and any attachments are confidential and are intended for the above named only.  They may also be legally privileged or covered by other legal rights and rules.  Unauthorised dissemination or copying of this email and any attachments, and any use or disclosure of them, is strictly prohibited and may be illegal.  If you have received them in error, please delete them and all copies from your system and notify the sender immediately by return email. You can also view our privacy policy (https://www.openbanking.org.uk/privacy-policy).<BR>
</body>
</html>