<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hi Nat,<div>Thanks. &nbsp;I still would really like to see the name changed for when we think about the World-wide market. &nbsp;Do others disagree? &nbsp;OpenID Trust Exchange just feels like it doesn't&nbsp;actually&nbsp;describe what the spec does nor how you can actually exchange "trust".</div><div><br></div><div>--David</div><div><br><div><div>On Nov 1, 2008, at 2:19 AM, Nat Sakimura wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">Hi David,&nbsp;<div><br></div><div>Thanks for your comments. My reply inline below:&nbsp;</div><div><br><br><div class="gmail_quote">2008/11/1 David Recordon <span dir="ltr">&lt;<a href="mailto:drecordon@sixapart.com" target="_blank">drecordon@sixapart.com</a>></span><br> <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Hey Nat,<div>Do you see this as being built atop Attribute Exchange for transport or as something new that TX defines? &nbsp;I know Sxip had done work with AX to enable passing signed and encrypted attributes using SAML assertions.</div> </div></blockquote><div><br></div><div>I have thought of using AX as transport once, then gave up on it when I was thinking of a mobile use case where the amount of payload that could be carried with was very limited (URL length in GET is limited to one of 128bytes, 256bytes or 512bytes depending on the handset). So, the current draft looks a lot like AX with bunch of hard coded attribute types in a way.&nbsp;</div> <div><br></div><div>As far as carrying SAML token etc. in AX are concerned, similar thing has also been done by one of the proposer, Robert Ott of Clavid.&nbsp;Martin Paljak of Estonia (<a href="http://openid.ee">openid.ee</a>) has been using XAdES with AX.&nbsp;</div> <div>These approach are valid. However, I thought the approach partly defeats the purpose of OpenID.&nbsp;</div><div>If we were using SAML, then we could have used it through out.&nbsp;</div><div>I wanted to make it easier for the developers by sticking to the tag-value approach.&nbsp;</div> <div>This made us define some of the attribute types defined in SAML and XAdES to be defined as tag-value tag.&nbsp;</div><div><br></div><div>&nbsp;&nbsp;</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> <div style="word-wrap:break-word"><div></div> <div><br></div><div>Is "Trust Exchange" really the best name? &nbsp;Seems like "trust" is quite a broad concept so something more specific might be better.</div></div></blockquote><div><br></div><div>Right. Naming was a bit problematic.&nbsp;I started using "Trust" because the messaging model is not dis-similar to WS-Trust. Now, the "trust" defined in WS-Trust in our context is essentially "Contract". So I thought of changing it to "CX" or something, but then, at least in Japan, quite a few key people were already exposed to "TX" by now and thus I kept the name "TX".&nbsp;</div> <div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div></div><div><br></div><div>--David</div><div><br></div> <div><div><div></div><div><div>On Oct 31, 2008, at 4:21 AM, Nat Sakimura wrote:</div><br></div></div><blockquote type="cite"><div><div></div><div> <div bgcolor="#ffffff" text="#000000"> Dear Specification Council members: <br>  <br> In accordance with the OpenID Foundation <a href="http://openid.net/foundation/intellectual-property/" target="_blank">IPR policies and procedures</a> this note proposes the formation of a new working group chartered to produce an OpenID specification.&nbsp; As per Section 4.1 of the Policies, the specifics of the proposed working group are:<br>  <b><font face="MS PGothic" size="4"><span style="font-size:13.5pt"></span></font></b> <h3><br> </h3> <h3><b><font face="MS PGothic" size="4"><span style="font-size:13.5pt">Trust Exchange (TX) Extension WG Charter</span></font></b></h3>  <div> <div><p><font face="MS PGothic" size="3"><span style="font-size:12pt">In accordance with the OpenID Foundation IPR policies and procedures this note proposes the formation of a new working group chartered to produce an OpenID specification.&nbsp; As per Section 4.1 of the Policies, the specifics of the proposed working group are:<br>  <br> <br> Proposal:<br> <br> (a)&nbsp; Charter.<br> <br> &nbsp;(i)&nbsp; WG name:&nbsp; Trust Exchange Extension (TX)<br> <br> &nbsp;(ii)&nbsp; Purpose:&nbsp; The purpose of this WG is to produce a standard OpenID extension to the OpenID Authentication protocol that enable<font color="navy"><span style="color:navy">s</span></font> arbitrary parties to create and exchange <font color="navy"><span style="color:navy">a</span></font> mutually<font color="navy"><span style="color:navy">-</span></font>digitally<font color="navy"><span style="color:navy">-</span></font>signed legally binding "contract". This protocol extension aims to be both broadband and mobile friendly by defining&nbsp;appropriate&nbsp;bindings for each use case.&nbsp;<br>  <br> Although this specification defines one default protocol for transfering data based on the contract, the data transfer portion is intended to be pluggable so that other protocols may also be used for this purpose. <br>  <br> <font color="#000000">The extension is not intended to be a general method for defining attributes; the scope is limited to a specific set of attributes necessary for contract semantics. The extension will also define a contract signature based on public key cryptography. When used with a digital certificate signed by a third party, the contract and signature can be used as an assertion of conformance to an applicable assurance program.</font><br>  <br> &nbsp;(iii)&nbsp; Scope: <br> <br> Scope of the work</span></font></p> <ul type="disc">  <li><font face="MS PGothic" size="3"><span style="font-size:12pt">&nbsp;&nbsp; Development of the specification including:</span></font></li> </ul>  <ul type="disc">  <ul type="circle">    <li><font face="MS PGothic" size="3"><span style="font-size:12pt">An extensible tag-value contract format</span></font></li>    <li><font face="MS PGothic" size="3"><span style="font-size:12pt">Public Key Cryptography based digital signature method applied to the above contract format</span></font></li>     <li><font face="MS PGothic" size="3"><span style="font-size:12pt">Query/response communication protocols for establishing the contract</span></font></li>    <li style="color:navy"><font color="black" face="MS PGothic" size="3"><span style="font-size:12pt;color:windowtext">Default data transfer protocol based on the contract</span></font></li>     <li style="color:navy"><font color="black" face="MS PGothic" size="3"><span style="font-size:12pt;color:windowtext">Conformance requirements for other data transfer protocol bindings</span></font></li>  </ul> </ul> <ul type="disc">   <li><font face="MS PGothic" size="3"><span style="font-size:12pt">Security, threats and Risk analysis</span></font></li> </ul> <ul type="disc">  <ul type="circle">    <li><font face="MS PGothic" size="3"><span style="font-size:12pt">Perform Security Risk analysis and profiles for best practice</span></font></li>   </ul> </ul><p><font face="MS PGothic" size="3"><span style="font-size:12pt">&nbsp;Out of scope</span></font></p> <ul type="disc">  <li><font face="MS PGothic" size="3"><span style="font-size:12pt"></span></font>Term negotiation: Actual negotiation of the terms of a contract should be dealt with out-of-band or by other specifications. <br>   </li>  <li><font face="MS PGothic" size="3"><span style="font-size:12pt"></span></font>General purpose data type identifiers: this should be determined on a per-community bases using other specifications such as OpenID Attribute Exchange.<br>   </li>  <li><font face="MS PGothic" size="3"><span style="font-size:12pt">Assurance programs or other identity governance frameworks.<br>    </span></font></li>  <li><font face="MS PGothic" size="3"><span style="font-size:12pt">It is the intent that this specification be usable by any trust community, whether it uses conventional PKI hierarchies, peer-to-peer trust mechanisms, reputation systems, or other forms of trust assurance. The specification of any particular trust root, trust hierarchy, or trust policy is explicitly out of scope.</span></font></li>  </ul><p style="margin-bottom:12pt"><font face="MS PGothic" size="3"><span style="font-size:12pt"><br> &nbsp;(iv)&nbsp; Proposed List of Specifications:&nbsp; TX 1.0, spec completion expected in January 2009.<br> <br> &nbsp;(v)&nbsp; Anticipated audience or users of the work:&nbsp; Implementers of OpenID Providers and Relying Parties, especially those who require security and accountability features to exchange sensitive customer information (e.g. personally identifiable information and credit card numbers) responsibly among trusted parties.<br>  <br> &nbsp;(vi)&nbsp; Language in which the WG will conduct business:&nbsp; English.<br> <br> &nbsp;(vii)&nbsp; Method of work:&nbsp; E-mail discussions on the working group mailing list, working group conference calls, and possibly face-to-face meetings at conferences.<br>  <br> &nbsp;(viii)&nbsp; Basis for determining when the work of the WG is completed:&nbsp; Draft 1 will be evaluated on the basis of whether they increase or decrease consensus within the working group.&nbsp; The work will be completed once it is apparent that maximal consensus on the draft has been achieved, consistent with the purpose and scope.<br>  <br> (b)&nbsp; Background Information.<br> <br> &nbsp;(i)&nbsp; Related work being done by other WGs or organizations: <br> </span></font></p> <ul>  <li><font face="MS PGothic" size="3"><span style="font-size:12pt"><a href="http://www.projectliberty.org/liberty/content/download/4329/28939/file/liberty-igf-draft-1.0-2008-06-21.zip" target="_blank">LIberty Alliance Identity Governance Framework (IGF) 1.0 Draft</a> <br>     </span></font></li>  <li><font face="MS PGothic" size="3"><span style="font-size:12pt"><a href="http://www.w3.org/TR/XAdES/" target="_blank">XML Advanced Electronic Signatures (XAdES)</a><br>    </span></font></li> </ul><p style="margin-bottom:12pt"><font face="MS PGothic" size="3"><span style="font-size:12pt"></span></font><font face="MS PGothic" size="3"><span style="font-size:12pt">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span></font><br> <font face="MS PGothic" size="3"><span style="font-size:12pt">&nbsp;(ii)&nbsp; Proposers:</span></font></p>  <div><p><font face="MS PGothic" size="3"><span style="font-size:12pt">&nbsp;&nbsp;&nbsp;Drummond Reed, <a href="mailto:drummond.reed@parity.com" target="_blank">drummond.reed@parity.com</a>, Cordance/Parity/OASIS (U.S.A)<br> &nbsp;&nbsp; Henrik Biering, <a href="mailto:hb@netamia.com" target="_blank">hb@netamia.com</a>, Netamia (Denmark)<br>  &nbsp;&nbsp; Hideki Nara, <a href="mailto:hdknr@ic-tact.co.jp" target="_blank">hdknr@ic-tact.co.jp</a>, Tact Communications (Japan)<br> &nbsp;&nbsp; John Bradeley, <a href="mailto:jbradley@mac.com" target="_blank">jbradley@mac.com</a>, OASIS IDTrust Member Section (Canada)</span></font><font color="black" face="Arial" size="1"><span style="font-size:6.5pt;font-family:Arial;color:black"></span></font><br>  &nbsp;&nbsp; Mike Graves, <a href="mailto:mgraves@janrain.com" target="_blank">mgraves@janrain.com</a>, JanRain, Inc. (U.S.A.)<br> &nbsp;&nbsp; Nat Sakimura, <a href="mailto:n-sakimura@nri.co.jp" target="_blank">n-sakimura@nri.co.jp</a>, Nomura Research Institute, Ltd.(Japan)<br>  &nbsp;&nbsp; Robert Ott, <a href="mailto:robert.ott@clavid.com" target="_blank">robert.ott@clavid.com</a>, Clavid (Switzerland)<font face="MS PGothic" size="3"><span style="font-size:12pt"><br> &nbsp;&nbsp; Tatsuki Sakushima, <a href="mailto:tatsuki@nri.com" target="_blank">tatsuki@nri.com</a>, NRI America, Ltd. (U.S.A.)<br>  &nbsp;&nbsp; Toru Yamaguchi, <a href="mailto:trymch@gmail.com" target="_blank">trymch@gmail.com</a>, Cyboze Lab (Japan)</span></font></p> <div> <div> <div> </div> <div> <div> </div> <div><p><font face="MS PGothic" size="3"><span style="font-size:12pt"><br>  &nbsp;&nbsp; Editors:<br> <br> &nbsp;&nbsp; Nat Sakimura, <a href="mailto:n-sakimura@nri.co.jp" target="_blank">n-sakimura@nri.co.jp</a>, Nomura Research Institute, Ltd.<br> <br> &nbsp;(iii)&nbsp; Anticipated Contributions:&nbsp; <br> &nbsp;&nbsp;&nbsp; (1) <a href="http://svn.sourceforge.jp/cgi-bin/viewcvs.cgi/*checkout*/spec/openid-trust-exchange-1_0.html?root=openidtx" target="_blank">Sakimura, N., et. al "OpenID Trusted data eXchange Extention Specification (draft)", Oct. 2008. [TX2008]</a>. </span></font></p>  </div> </div> </div> </div> </div> </div> </div> <font face="MS PGothic" size="3"><span style="font-size:12pt"><br> </span></font> </div></div></div>  _______________________________________________<br>specs mailing list<br> <a href="mailto:specs@openid.net" target="_blank">specs@openid.net</a><br><a href="http://openid.net/mailman/listinfo/specs" target="_blank">http://openid.net/mailman/listinfo/specs</a><br></blockquote></div><br></div><br> _______________________________________________<br> specs mailing list<br> <a href="mailto:specs@openid.net" target="_blank">specs@openid.net</a><br> <a href="http://openid.net/mailman/listinfo/specs" target="_blank">http://openid.net/mailman/listinfo/specs</a><br> <br></blockquote></div><br><br clear="all"><br>-- <br>Nat Sakimura (=nat)<br><a href="http://www.sakimura.org/en/" target="_blank">http://www.sakimura.org/en/</a><br> </div></blockquote></div><br></div></body></html>