<div dir="ltr"><div dir="ltr"><br></div><div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Oct 29, 2020 at 5:10 AM Francis Pouatcha <<a href="mailto:Francis.Pouatcha@adorsys.com" target="_blank">Francis.Pouatcha@adorsys.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">




<div dir="ltr">
<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
I agree with Dave we shall not define a new signature mechanism.</div>
</div></blockquote><div><br></div><div>As I understood the message that started this thread and the discussion about it during the call yesterday, Dave is very much proposing that we define a new mechanism. Maybe there's some semantic difference or miscommunication here but I'm confused by your statement. <br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">
<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
As for the replacement of RFC3230 with <a href="https://datatracker.ietf.org/doc/draft-ietf-httpbis-digest-headers/" style="margin:0px;font-size:14px;background-color:rgb(255,255,255)" id="gmail-m_3117359831006870745gmail-m_-5782288200654301967LPlnk789417" target="_blank">https://datatracker.ietf.org/doc/draft-ietf-httpbis-digest-headers/</a>,
 adding a signature header field to indicate the mechanism used to digest the http body might solve the problem.</div></div></blockquote><div><br></div><div>What problem? I just wanted to note that there was work underway to update/obsolete RFC3230 as it seemed relevant given Dave's initial proposal relied on RFC3230. But I don't understand what problem you're suggesting would be introduced by the new document or how that would solve it.</div><div><br></div><div>I am a bit concerned (or rather just don't really understand the implications of) about RFC3230 and it's successor digesting the "instance" or "representation" of the resource as opposed to the payload of the message itself. But as far as I can tell RFC3230 and <a href="https://datatracker.ietf.org/doc/draft-ietf-httpbis-digest-headers/">https://datatracker.ietf.org/doc/draft-ietf-httpbis-digest-headers/</a> are the same in this regard but just use different language to describe it.<br></div><div><br></div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">
<div id="gmail-m_3117359831006870745gmail-m_-5782288200654301967appendonsend"></div>
<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<hr style="display:inline-block;width:98%">
<div id="gmail-m_3117359831006870745gmail-m_-5782288200654301967divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>From:</b> Openid-specs-fapi <<a href="mailto:openid-specs-fapi-bounces@lists.openid.net" target="_blank">openid-specs-fapi-bounces@lists.openid.net</a>> on behalf of Brian Campbell via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>><br>
<b>Sent:</b> Monday, October 26, 2020 10:05 AM<br>
<b>To:</b> FAPI Working Group List <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>><br>
<b>Cc:</b> Brian Campbell <<a href="mailto:bcampbell@pingidentity.com" target="_blank">bcampbell@pingidentity.com</a>><br>
<b>Subject:</b> Re: [Openid-specs-fapi] A simpler signing solution</font>
<div> </div>
</div>
<div>
<div dir="ltr">
<div>As someone who has expressed distaste for pretty much every HTTP signature scheme attempted and also tried to keep the scope of DPoP to proof-of-possession so that it doesn't try to be yet another HTTP signature scheme, I don't actually hate this idea
 as much as you might expect. It does seem simpler than others and maybe finds a pragmatic place in the continuum of doing enough to address the basic need while not going overboard. Maybe anyway.
<br>
</div>
<div><br>
</div>
<div>Is there only need to have a signature for requests? It'd become a lot more than building on DPoP with one additional claim, if it needs to cover responses. 
</div>
<div><br>
</div>
<div>I've not looked at either in detail, TBH, but there is work underway that aims to obsolete RFC 3230
<a href="https://datatracker.ietf.org/doc/draft-ietf-httpbis-digest-headers/" target="_blank">https://datatracker.ietf.org/doc/draft-ietf-httpbis-digest-headers/</a> which should be considered if this is pursued.
<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
</div>
<br>
<div>
<div dir="ltr">On Fri, Oct 23, 2020 at 7:41 AM Dave Tonge via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> wrote:<br>
</div>
<blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">
<div style="font-family:trebuchet ms,sans-serif">Dear WG<br clear="all">
</div>
<div style="font-family:trebuchet ms,sans-serif"><br>
</div>
<div style="font-family:trebuchet ms,sans-serif">After looking in more detail at the proposed OBE signing spec, I'm really quite concerned and think that this WG should work on something else simpler as soon as possible.</div>
<div style="font-family:trebuchet ms,sans-serif"><br>
</div>
<div style="font-family:trebuchet ms,sans-serif">My suggestion is:</div>
<div style="font-family:trebuchet ms,sans-serif"> - abandon "detached" jwts</div>
<div style="font-family:trebuchet ms,sans-serif"> - build on dPoP by defining one additional claim - `htd` - the http body digest</div>
<div style="font-family:trebuchet ms,sans-serif"> - recommend that any info in headers that needs to be integrity protected is put in the body</div>
<div style="font-family:trebuchet ms,sans-serif"><br>
</div>
<div style="font-family:trebuchet ms,sans-serif">So you would end up with a JWT with a standard header (no need for any `crit` claims), and a body that would be something like this:</div>
<div>
<pre style="font-family:"trebuchet ms",sans-serif;font-size:13.3333px;margin-top:0px;margin-bottom:0px;break-before:page;color:rgb(0,0,0)">{
     "jti":"-BwC3ESc6acc2lTc",
     "htm":"POST",
     "htu":"<a href="https://server.example.com/payment" target="_blank">https://server.example.com/payment</a>",</pre>
<pre style="font-size:13.3333px;margin-top:0px;margin-bottom:0px;break-before:page;color:rgb(0,0,0)"><font face="trebuchet ms, sans-serif">     "htd":"SHA-256=+xeh7JAayYPh8K13UnQCBBcniZzsyat+KDiuy8aZYdI=",
     "iat":1562262616
}

</font><font face="arial, sans-serif">The `htd` value would be created according to the instructions in RFC3230</font></pre>
</div>
<div style="font-family:"trebuchet ms",sans-serif"></div>
<div style="font-family:"trebuchet ms",sans-serif">Verification rules would be the same as dPoP, but with the addition of the verification of the `htd` value.</div>
<div style="font-family:"trebuchet ms",sans-serif"><br>
</div>
<div style="font-family:"trebuchet ms",sans-serif">The advantage of this approach:</div>
<div style="font-family:"trebuchet ms",sans-serif"> - should be supported by all standard JWT libraries</div>
<div style="font-family:"trebuchet ms",sans-serif"> - should be much easier to get interoperability as there aren't the same serialisation problems as draft-cavage or the OBE profile.</div>
<div style="font-family:"trebuchet ms",sans-serif"> - only one additional claim needs to be registered in the IANA registry</div>
<div style="font-family:"trebuchet ms",sans-serif"><br>
</div>
<div style="font-family:"trebuchet ms",sans-serif">Any feedback?</div>
<div style="font-family:"trebuchet ms",sans-serif"><br>
</div>
<div style="font-family:"trebuchet ms",sans-serif">@anders - I know you will suggest rather using rfc8785, and I think that as a WG we should definitely keep monitoring support for that, but the reality is that at the moment there isn't
 widespread adoption. <br>
</div>
<div style="font-family:"trebuchet ms",sans-serif"><br>
</div>
<div style="font-family:"trebuchet ms",sans-serif">Thanks</div>
<div style="font-family:"trebuchet ms",sans-serif"><br>
</div>
<div style="font-family:"trebuchet ms",sans-serif">Dave</div>
<div style="font-family:"trebuchet ms",sans-serif"><br>
</div>
<div><br>
</div>
<br clear="all">
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">
<div style="font-size:1em;font-weight:bold;line-height:1.4">
<div style="color:rgb(97,97,97);font-family:"Open Sans";font-size:14px;font-weight:normal;line-height:21px">
<div style="font-family:Arial,Helvetica,sans-serif;font-size:0.925em;line-height:1.4;color:rgb(220,41,30);font-weight:bold">
<div style="font-size:14px;font-weight:normal;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal">
<div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4">
<div style="font-weight:400;color:rgb(51,51,51);line-height:normal">
<div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4">
Dave Tonge</div>
<div style="font-size:0.8125em;line-height:1.4">CTO</div>
<div style="font-size:0.8125em;line-height:1.4;margin:0px"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" style="color:rgb(131,94,165)" target="_blank"><img alt="Moneyhub Enterprise" title="Moneyhub Enterprise" style="border: medium none; padding: 0px; border-radius: 2px; margin: 7px;" src="http://content.moneyhub.co.uk/images/teal_Moneyhub-Ent_logo_200x50.png" width="200" height="50"></a></div>
<div style="padding:8px 0px">
<div style="padding:8px 0px">
<div style="letter-spacing:normal;line-height:normal">
<div style="padding:8px 0px"><span style="color:rgb(0,164,183);font-size:11px">Moneyhub Financial Technology, 5th Floor, 10 Temple Back, Bristol, BS1 6FL</span></div>
<span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold">t: </span><span style="font-size:11px;line-height:15.925px">+44 (0)117 280 5120</span><br style="color:rgb(0,164,183);font-size:11px;line-height:15.925px">
</div>
<div style="letter-spacing:normal;line-height:normal"><span style="font-size:11px;line-height:15.925px"><br>
</span></div>
<div style="color:rgb(97,97,97);font-family:"Open Sans";letter-spacing:normal">
<div style="line-height:1.4"><span style="color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;font-size:0.75em">Moneyhub Enterprise is a trading style of Moneyhub Financial Technology Limited which is authorised and regulated by the Financial
 Conduct Authority ("FCA"). Moneyhub Financial Technology is entered on the Financial Services Register </span><span style="color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;font-size:0.75em;background-color:transparent">(FRN </span><span style="color:rgb(0,164,183);font-family:lato,"open sans",arial,sans-serif;font-size:10.5px;font-weight:700">809360</span><span style="color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;background-color:transparent;font-size:0.75em">)
 at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. M</span><span style="color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;background-color:transparent;font-size:10.5px">oneyhub</span><span style="color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;background-color:transparent;font-size:0.75em"> Financial
 Technology is registered in England & Wales, company registration number </span><span style="color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;background-color:transparent;font-size:0.75em"> </span><span style="font-weight:bold;color:rgb(0,164,183);font-family:lato,"open sans",arial,sans-serif;background-color:transparent;font-size:0.75em">06909772</span><span style="background-color:transparent"><font face="lato, open sans, arial, sans-serif" color="#333333"><span style="font-size:0.75em"> .</span></font></span></div>
<div style="font-family:lato,"open sans",arial,sans-serif;color:rgb(51,51,51);line-height:1.4">
<span style="background-color:transparent;font-size:10.5px">Moneyhub</span><span style="background-color:transparent;font-size:0.75em"> Financial Technology Limited 2018 </span><span style="background-color:transparent;color:rgb(34,34,34);font-family:arial,sans-serif;font-size:x-small">©</span></div>
<div style="font-family:lato,"open sans",arial,sans-serif;color:rgb(51,51,51);line-height:1.4">
<span style="background-color:transparent;font-size:0.75em"><br>
</span></div>
<div style="font-family:lato,"open sans",arial,sans-serif;color:rgb(51,51,51);line-height:1.4">
<span style="background-color:transparent;font-size:0.75em;color:rgb(136,136,136)">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than
 by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may
 be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Moneyhub Financial Technology Limited
 or of any other group company.</span></div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<br>
<p dir="ltr" style="font-weight:bold"><font size="1" face="Arial" color="#808080">Moneyhub Enterprise is a trading style of Moneyhub Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Moneyhub Financial
 Technology is entered on the Financial Services Register (FRN 809360) at <a href="https://register.fca.org.uk/" target="_blank">
<span>https://register.fca.org.uk/</span></a>. Moneyhub Financial Technology is registered in England & Wales, company registration number 06909772. Moneyhub Financial Technology Limited 2020 © Moneyhub Enterprise, Regus Building, Temple Quay, 1 Friary, Bristol,
 BS1 6EA. </font></p>
<p dir="ltr" style="font-weight:bold"><span style="color:rgb(128,128,128);font-family:Arial;font-weight:400"><font size="1">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this
 email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All
 calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions
 of Moneyhub Financial Technology Limited or of any other group company.</font></span></p>
<br>
_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
</blockquote>
</div>
<br>
<i style="margin:0px;padding:0px;border:0px none;outline:currentcolor none 0px;vertical-align:baseline;background:rgb(255,255,255) none repeat scroll 0% 0%;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px none;outline:currentcolor none 0px;vertical-align:baseline;background:transparent none repeat scroll 0% 0%;font-weight:600"><font size="2">CONFIDENTIALITY
 NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify
 the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i></div>
</div>

</blockquote></div></div>
</div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>