
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv=Content-Type content="text/html; charset=utf-8">


<meta name=Generator content="Microsoft Word 12 (filtered medium)">


<style>


<!--


 /* Font Definitions */


 @font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Tahoma;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


@font-face


        {font-family:Consolas;


        panose-1:2 11 6 9 2 2 4 3 2 4;}


 /* Style Definitions */


 p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman","serif";


        color:black;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


pre


        {mso-style-priority:99;


        mso-style-link:"HTML Preformatted Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:10.0pt;


        font-family:"Courier New";


        color:black;}


span.HTMLPreformattedChar


        {mso-style-name:"HTML Preformatted Char";


        mso-style-priority:99;


        mso-style-link:"HTML Preformatted";


        font-family:Consolas;


        color:black;}


span.EmailStyle19


        {mso-style-type:personal;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


span.EmailStyle20


        {mso-style-type:personal-reply;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page Section1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.Section1


        {page:Section1;}


-->


</style>


<!--[if gte mso 9]><xml>


 <o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


 <o:shapelayout v:ext="edit">


  <o:idmap v:ext="edit" data="1" />


 </o:shapelayout></xml><![endif]-->


</head>


<body bgcolor=white lang=EN-US link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";


color:#1F497D'>Peter,<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";


color:#1F497D'>The RP can discover the information in the cert by connecting to


the Provider's OpenID Endpoint URL and looking at the certificate there for


example.<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";


color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";


color:#1F497D'>I'd be very interested in you sending an email to <a


href="mailto:specs@openid.net">specs@openid.net</a> with things you see missing


from the PAPE extension draft!<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";


color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";


color:#1F497D'>Thanks,<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";


color:#1F497D'>--David<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";


color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<div>


<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>


<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";


color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:


"Tahoma","sans-serif";color:windowtext'> general-bounces@openid.net


[mailto:general-bounces@openid.net] <b>On Behalf Of </b>Peter Williams<br>


<b>Sent:</b> Friday, July 13, 2007 3:46 PM<br>


<b>To:</b> Eddy Nigg (StartCom Ltd.)<br>


<b>Cc:</b> OpenID - General<br>


<b>Subject:</b> Re: [OpenID] Rule of thumb<o:p></o:p></span></p>


</div>


</div>


<p class=MsoNormal><o:p>&nbsp;</o:p></p>


<pre><span style='color:#1F497D'>Ok. You and I are on the same page in a vital area. I intended to say a variant of the same thing last week, in the discussion on NIST levels.<o:p></o:p></span></pre><pre><o:p>&nbsp;</o:p></pre><pre><span


style='color:#1F497D'>The authnContext signal (saml world) or </span><a


href="http://openid.net/specs/openid-provider-authentication-policy-extension-1_0-01.html#examples">http://openid.net/specs/openid-provider-authentication-policy-extension-1_0-01.html#examples</a> values (openid world) have to convey more than “it satisfied level 3 of NIST SP800-63.” RPs need to have some more details (e.g. the name of the CA used by the OP Provider).<o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre>I you recall last week, I gave an example. Value = 800-63-level-3: 802.1x-RSAEAP<o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre>This was an example (in a non cert, no-SSL user-auth sphere) where the IDP is signaling detailed technical-security-policy &nbsp;to the RP, saying: yes I used Ethernet wired 802.1X, using the RSA-EAP mechanism (RSA’s OTP-grade user auth, for 802.1X).<o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre>


<div style='border:none;border-bottom:solid windowtext 1.0pt;padding:0in 0in 1.0pt 0in'><pre><span


style='color:#1F497D'><o:p>&nbsp;</o:p></span></pre></div>


<pre><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></pre><pre>I create an openid provider that accepts ssl client certs from cacert. It issues openid assertions, using signed-mac security mechanisms.<o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre>Are you advocating that now the the major RPs now refuse to accept that OP provider - because of its earlier association with the unacceptable cacert?<o:p></o:p></pre><pre>&nbsp; <o:p></o:p></pre>


<p class=MsoNormal style='margin-bottom:12.0pt'>It might be...Or it might


depend on what you advertise...You see, this is already something which the


organization/body I envision has to decide and provide the mechanism to set the


level a RP might require/request. Similar to the examples from her: <a


href="http://openid.net/specs/openid-provider-authentication-policy-extension-1_0-01.html#examples">http://openid.net/specs/openid-provider-authentication-policy-extension-1_0-01.html#examples</a><br>


So one level might be GPG and web-of-trust verified authentication. There is


nothing wrong with that, except there should be a mechanism which would the RP


to accept/allow it or not. The important issue is, that your claims (whatever


they are) have been verified and you don't advertise something wrongfully. Even


the fact of having undergone a certain verification process will prevent a


rough IDP from operating.<o:p></o:p></p>


<div>


<div>


<p class=MsoNormal><o:p>&nbsp;</o:p></p>


</div>


</div>


</div>


</body>


</html>