<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Generator" content="Microsoft Word 12 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.E-MailFormatvorlage17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="DE" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hi all,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">please find below the minutes of our call on January 27th 2016.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">best regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Torsten.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Participants:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">John Bradley<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Nat Sakimura<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Florian Walter<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Jörg Connotte<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Gonzalo Fernandéz<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Matthieu Verdier<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Bjorn Hjelm<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Torsten Lodderstedt<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Authentication spec<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- John guided us through the changes he made in the last revision<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- The following topics were discussed:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* ACR Values: examples for security keys and difference between keys and pwd/pin shall be added<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* AMR values: add example for amr values (e.g SIM Applet+PIN is represented by “hpop” + “pin”)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* short and long form of ACRs: the short shall be used by clients, long form will be used to register the ACR values in the IANA registry (by MODRNA WG)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* order of acrs gives RP a way to express its preferences regarding authentication, i.e. bring ARC values in their preferred order
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* we stay with two acr values for now, we could add the third (or a forth) value at any time based on experiences/discussions<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- how to handle TBDs<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- 6.1. replace by reference to respective OpenID Connect Discovery<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- 7 length of the binding message – replace by better explanation: message may be truncated
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- Mitigations for new security vulnerabilities<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- discussed different options<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* copy text from oauth spec<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* reference current oauth spec<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* recommend to use “code id_token” instead of “code”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">* general problem: discussions within OAuth WG are ongoing and outcome cannot really be predicted.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">-> Conclusion: will pass spec to GSMA as is and discuss vulnerabilities and way forward with GSMA<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">MWC<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- John, Torsten will attend<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- Nat will probably attend as well (as he will be in Paris at that time)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- Gonzalo & Matthieu would attend if we setup a meeting regarding MODRNA<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">- Torsten will talk to GSMA<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>