<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 12 (filtered medium)">

<!--[if !mso]>

<style>

v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style>

<![endif]--><style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.Section1

        {page:Section1;}

-->

</style><!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="Section1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D">Does the OpenID protocol require signing or does it just support it?

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D">Does the DNOA implementation of OpenID implement signing by default? I assume that if the OP is signing the data that it sends to the RP, then the RP must

 be configured to use the same hashing algorithm and key as the OP. Can you tell me where these are set?

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D">I’m using the WebRingSsoProvider and Relying Party. Do they use the same configuration parameters for hashing algorithm and key as for Forms Authentication?

 If so, then I know how to set those.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D">Can you tell me which OP method does the signing and which RP method checks the signature?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D">Thanks.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D">Russ<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D"><o:p> </o:p></span></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Andrew Arnott [mailto:andrewarnott@gmail.com]

<br>

<b>Sent:</b> Thursday, April 12, 2012 10:41 PM<br>

<b>To:</b> Russ Ferrill<br>

<b>Cc:</b> openid-code@lists.openid.net<br>

<b>Subject:</b> Re: [Code] Encrypting communication between the OP and the RP<o:p></o:p></span></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Hi Russ,<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">The attacks you mention are not prevented by encryption at all.  Signing is what protects against those attacks, and those are built into the OpenID protocol itself, so you don't even need SSL.  What SSL will buy you is privacy (which is

 not the same thing as user spoofing) and protection against a DNS poisoning attack, which is difficult, but possible in some cases.  DNS poisoning can potentially lead to user spoofing, so SSL is definitely worthwhile.  But you can protect against the user

 spoofing via DNS poisoning attack via SSL at the OP side -- the RP being SSL-encrypted is not critical to it AFAIK.  So as long as your RP is marked as requireSsl (which requires it of the remote party -- not itself) you're covered from that risk.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">As far as risks have been discovered and that I know of, anyway.<br clear="all">

--<br>

Andrew Arnott<br>

"I [may] not agree with what you have to say, but I'll defend to the death your right to say it." - S. G. Tallentyre<br>

<br>

<o:p></o:p></p>

<div>

<p class="MsoNormal">On Thu, Apr 12, 2012 at 7:56 PM, Russ Ferrill <<a href="mailto:rferrill@vendorsafe.com">rferrill@vendorsafe.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Yes, I just want to be sure that nobody can intercept the communication between the OP and RP and cause the RP to believe that an unauthenticated user

 was actually authenticated or even to change the roles sent back for an authenticated user.

</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Is SSL sufficient for this?

</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Is there any stronger way to protect this data transfer?</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Thanks.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Russ</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Andrew Arnott [mailto:<a href="mailto:andrewarnott@gmail.com" target="_blank">andrewarnott@gmail.com</a>]

<br>

<b>Sent:</b> Thursday, April 12, 2012 7:51 PM<br>

<b>To:</b> Russ Ferrill; <a href="mailto:openid-code@lists.openid.net" target="_blank">

openid-code@lists.openid.net</a><br>

<b>Subject:</b> RE: [Code] Encrypting communication between the OP and the RP</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">As long as you don't mind the user who is logging in observing the data (not usually considered a problem) then SSL should be fine.  And yes, requireSsl=true is a good setting to

 enforce this.<br>

<br>

Sent from my Windows Phone<o:p></o:p></p>

</div>

</div>

<div class="MsoNormal" align="center" style="text-align:center">

<hr size="2" width="100%" align="center">

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:

</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">Russ Ferrill</span><br>

<b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">Sent: </span>

</b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">4/12/2012 1:05 PM</span><br>

<b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">To: </span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""><a href="mailto:openid-code@lists.openid.net" target="_blank">openid-code@lists.openid.net</a></span><br>

<b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">Subject: </span>

</b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">[Code] Encrypting communication between the OP and the RP</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Hello,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I am implementing an Open ID provider using the DNOA code. I want to be sure that the communication between the OP and the RP is secure. I’m only concerned about authentication

 requests and authentication responses. As far as I can tell from looking at the code this is all “indirect” communication accomplished by redirecting the end-user’s browser. I want to be sure that the data included in the authentication request and the authentication

 response is encrypted. In order to accomplish this, do I have to do anything other than make the OP endpoint an https url protected by SSL? Would it be a good idea to set the require ssl configuration values to true? Is there anything else specific to the

 DNOA code that I need to configure or modify in order to support this?<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thanks.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Russ Ferrill<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>