<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body>
<div>
<div>
<div style="direction: ltr;">Hi Francis,</div>
<div><br>
</div>
<div style="direction: ltr;">There are two approaches. 1. Sign the entire registration request. Look a the obie dynamic client registration approach for an example of how this is performed.</div>
<div><br>
</div>
<div style="direction: ltr;">2. Craft and define an “initial access token” which can be defined as a jwt that a tpp can use as part of registration. I have examples of both approaches if you drop me a line.</div>
<div><br>
</div>
<div style="direction: ltr;">The obie is publishing a list of trusted qtsp certificates issuing and I believe the root authorities as well they is created by processing the EU list of trust listed.  banks should have no excuses for not being able to determine
 the set of issuing authorities to trust up front.</div>
<div><br>
</div>
<div style="direction: ltr;">Kind Regards,</div>
<div style="direction: ltr;">Ralph <span id="ms-outlook-ios-cursor"></span></div>
<div><br>
</div>
</div>
<div><br>
</div>
<div class="ms-outlook-ios-signature"></div>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Openid-specs-fapi <openid-specs-fapi-bounces@lists.openid.net> on behalf of Francis Pouatcha via Openid-specs-fapi <openid-specs-fapi@lists.openid.net><br>
<b>Sent:</b> Friday, July 31, 2020 3:09:15 AM<br>
<b>To:</b> Openid-specs Fapi <openid-specs-fapi@lists.openid.net><br>
<b>Cc:</b> Francis Pouatcha <fpo@adorsys.de><br>
<b>Subject:</b> [Openid-specs-fapi] PSD2 - FAPI Client Registration</font>
<div> </div>
</div>
<div>
<div dir="ltr">In our attempt to use FAPI to implement the NextGenPSD2 oAuth approach, we are facing the following problem.
<div><br>
</div>
<div>The PSD2 trust framework assumes each ASPSP maintains the list of legitimated certification authorities (rootCAs). This is, regulators expect ASPSP to accept requests from any licensed TPP that present a valid QWAC/QSealC certificate.</div>
<div><br>
</div>
<div>We have been looking for a way to use dynamic client registration to allow the TPP to register with ASPSP's OP/AS prior to sending their first requests.</div>
<div><br>
</div>
<div>OP can get access to TPP's authenticated information:</div>
<div>- If TPP uses mTLS (QWAC) at the OP interface.</div>
<div>- If TPP uses QSealC to sign the client registration request, seems to be the best approach, as it also provides non repudiation.</div>
<div>
<div><br>
</div>
<div>Request Signature:</div>
<div>Alt-1: I prefer signing the whole http request (see <a href="https://datatracker.ietf.org/doc/draft-ietf-httpbis-message-signatures/" target="_blank">https://datatracker.ietf.org/doc/draft-ietf-httpbis-message-signatures/</a>). Not sure if this is covered
 by FAPI.</div>
<div>Alt-2: QSealC could be used to produce a private_key_jwt that will be included to the registration request. QSealC can be added to the token, to avoid pre-registration. Digest of the request body could be added to the private_key_jwt to provide for non
 repudiation.</div>
<div><br>
</div>
<div>What am I missing? Are we still in the scope of OIDC/FAPI or getting out of bound?</div>
<div><br>
</div>
<div>Thanks in advance for feedback.</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div>Francis Pouatcha</div>
<div>Co-Founder and Technical Lead</div>
<div>adorsys GmbH & Co. KG</div>
<div><a href="https://adorsys-platform.de/solutions/" target="_blank">https://adorsys-platform.de/solutions/</a></div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>