<div dir="ltr"><div dir="ltr">Hello Dave, here is my feedback:<div><br></div><div>Section 3 and 4 are written as a summary of extracts of RFC7515 and RFC7797. This can be confusing when text is not transfered untempered. Both section summarize into following requirements:</div><div>-> compact serialization<br></div><div>-> unencoded payload</div><div>-> detached payload</div><div><br></div><div>Section 5.3.2 deals with key management, representation and validation. This is too tight to PSD2/eiDAS legislation. OBE is correct as the document is written for the PSD2 legislation area, but it makes the document unusable for other markets.</div><div><br></div><div>RECOMMENDATION-24 is confusing.<br></div><div><br></div><div>As for the canonicalization of the content to be signed (headers, boddy), I understand why OBE relies on draft-cavage-http-signatures-10 and RFC3230 as they will otherwise have to reinvent the wheel.</div><div><br></div><div>My suggestion:</div><div>- Suggest the draft of a legislation independent specification on how to sign FAPI messages. This spec shall abstracted from Key and Certificate specifics so as to allow each legislation to derive a profile fitting into it's trust framework (e.g. OBE/ETSI JAdES for PSD2). </div><div>- This specification could be hosted by FAPI, based on the current OBE draft and driven by OBE and current FAPI members.</div><div><br></div><div>Best regards.</div><div>/Francis</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 30, 2020 at 11:41 AM Dave Tonge via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net">openid-specs-fapi@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-family:"trebuchet ms",sans-serif">Dear WG<br clear="all"></div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">We discussed on the call today that it may be a good idea to prepare a response to Open Banking Europe based on their soon to be published JWS profile.</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">It would be good to get some feedback from WG members.</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">Discussion so far has been around:</div><div style="font-family:"trebuchet ms",sans-serif"> - base64 encoding</div><div style="font-family:"trebuchet ms",sans-serif"> - recommending that sensitive data is put in request body rather than headers</div><div style="font-family:"trebuchet ms",sans-serif"> - the reliance on draft-cavage for info on how to prepare the signing material</div><div><br></div><div><div style="font-family:"trebuchet ms",sans-serif">It would be good to get some further feedback so that we can agree on a response.</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">Please can members who have an interest in this area, review the attached and reply to this email.</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">Thanks</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">Dave Tonge</div><div style="font-family:"trebuchet ms",sans-serif">FAPI WG Co-Chair</div><div style="font-family:"trebuchet ms",sans-serif"></div><br></div><br></div>

<br>
<p dir="ltr" style="font-weight:bold"><font face="Arial" color="#808080" size="1">Moneyhub Enterprise is a trading style of Moneyhub Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Moneyhub Financial Technology is entered on the Financial Services Register (FRN 809360) at <a href="https://register.fca.org.uk/" target="_blank"><span>https://register.fca.org.uk/</span></a>. Moneyhub Financial Technology is registered in England & Wales, company registration number 06909772. Moneyhub Financial Technology Limited 2020 © Moneyhub Enterprise, Regus Building, Temple Quay, 1 Friary, Bristol, BS1 6EA. </font></p><p dir="ltr" style="font-weight:bold"><span style="color:rgb(128,128,128);font-family:Arial;font-weight:400"><font size="1">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Moneyhub Financial Technology Limited or of any other group company.</font></span></p><br>_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div>Francis Pouatcha</div><div>Technical Lead</div><div>adorsys GmbH & Co. KG</div><div><a href="https://adorsys-platform.de/solutions/" target="_blank">https://</a><a href="http://www.adorsys.com" target="_blank">www.adorsys.com</a></div></div></div></div></div></div></div></div></div></div></div>