
<div>It is using CMK to derive CIK, so it is good. I like it. </div><div><br></div><div>=nat<br><br><div class="gmail_quote">On Sun, Oct 30, 2011 at 7:10 AM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">


<div lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">For what it’s worth, the JSMS spec required integrity for all encryption operations.  You can read how they did it by searching for the word “integrity” in

<a href="http://tools.ietf.org/html/draft-rescorla-jsms-00" target="_blank">http://tools.ietf.org/html/draft-rescorla-jsms-00</a>.  So you wouldn’t get opposition from Eric and Joe for your proposal.  (It does require, in the general case, specifying another key, however.)<u></u><u></u></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">                                                            -- Mike<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt">From:</span></b><span style="font-size:10.0pt"> Nat Sakimura [mailto:<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>]

<br>

<b>Sent:</b> Saturday, October 29, 2011 3:06 PM<br>

<b>To:</b> Mike Jones<br>

<b>Cc:</b> John Bradley; <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b> Re: [Openid-specs-ab] Encryption<u></u><u></u></span></p><div><div></div><div class="h5">

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">Let us bring it up in Taipei, then. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal">FYI, I initially thought the same as you, but after some contemplation, I changed my opinion. <u></u><u></u></p>

<div>

<p class="MsoNormal">My reasoning for HMACing with encryption was: <u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">1) Encrypt then hmac in nested operation, it will blow up the size. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">2) Encrypt then hmac in nested operation, how to exchange the key for the hmac becomes an issue. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">I cannot come up with a good solution for these as long as I keep them as two separate steps. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">If Encrypt and hmac is done as a combined operation to create a JWT, then both problems goes away. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">=nat<u></u><u></u></p>

<div>

<p class="MsoNormal">On Sun, Oct 30, 2011 at 5:13 AM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">I’d bring it up on Taipei.  In-person discussions on topics of this complex nature are more likely to generate consensus (in my experience)

 during face-to-face discussions than on e-mail lists.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">As a technical point, I’d hate to see HMAC be required when nested Encryption and Signing operations are another perfectly valid mechanism

 for achieving the same ends.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">                                                            -- Mike</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span><u></u><u></u></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt">From:</span></b><span style="font-size:10.0pt">

<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>]

<b>On Behalf Of </b>Nat Sakimura<br>

<b>Sent:</b> Saturday, October 29, 2011 1:11 PM<br>

<b>To:</b> John Bradley</span><u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"><br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b> Re: [Openid-specs-ab] Encryption<u></u><u></u></p>

</div>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<p class="MsoNormal">HMACing with CEK and have that in JWE spec as REQUIRED in case of CBC would be really nice. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Maybe I should post it in Jose list or bring it up in Taipei. <br>

<br>

=nat via iPhone<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

On 2011/10/30, at 3:54, John Bradley <<a href="mailto:ve7jtb@ve7jtb.com" target="_blank">ve7jtb@ve7jtb.com</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<div>

<p class="MsoNormal">On 2011-10-29, at 3:42 PM, Nat Sakimura wrote:<u></u><u></u></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal"><br>

<br>

=nat via iPhone<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

On 2011/10/30, at 2:52, John Bradley <<a href="mailto:ve7jtb@ve7jtb.com" target="_blank">ve7jtb@ve7jtb.com</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">The reality is that we are not going to be able to REQUIRE AES-GWC any time soon.<u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

</blockquote>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal">+1 though keep pressuring the implementations to support GCM etc. should continue. <u></u><u></u></p>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">I think that libraries not providing padding oracles and other side channels is important to be clear about.  <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">AES-CBC is still something important to support.   <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">One possible combination is using zip

<u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><br>

gzip I guess. <u></u><u></u></p>

</div>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal">JWE refers to it as zip, but it is deflate in a gzip container (not zlib).  I am looking for some better wording for the JWE spec.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal">with AES-CBC and not differentiating between padding and inflate errors.  The CRC32 integrity check over the uncompressed source would foil the oracle attack.<u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

<div>

<p class="MsoNormal">That should make it significantly harder though it may not be impossible. <u></u><u></u></p>

</div>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">There are a bunch of implementation details around error reporting that would determine that.  one would be how you report invalid content type if someone removed the zip flag from

 the envelope.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">So perfect is hard,  however we do have other tools like reporting signing and encrypting errors as a composite value where we encrypt a signed object.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">GWC also has some issues with long cypher texts so is not pure magic on it's own.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">John B.<u></u><u></u></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">John B.<u></u><u></u></p>

</div>

<div>

<div>

<p class="MsoNormal">On 2011-10-29, at 7:17 AM, Rob Richards wrote:<u></u><u></u></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Mike,<br>

<br>

Do you have a patch for the support already? As long as there's no BC issues I might be able to get it into the 5.4 candidate before it's released. I had just started looking at adding support due to the xml enc issue but would be extremely helpful if you already

 had a patch. Also if you happen to know which openssl versions the patch works with as it appears there are a number of ways to use GCM depending upon the version.<br>

<br>

Rob<br>

<br>

On 10/28/11 12:18 PM, Mike Jones wrote:<u></u><u></u></p>

<p class="MsoNormal">We pretty much reached the same conclusion during the encryption working group session at IIW.  The only problem, as Nat pointed out, is that PHP libraries, as currently distributed,

 do not support GCM (although the underlying OpenSSL libraries that PHP uses do).  Of course, maybe we can use this as a forcing function to get PHP to support GCM by default (without requiring recompilation, which is possible now).<u></u><u></u></p>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">                                                -- Mike<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">-----Original Message-----<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">From:

<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>] On Behalf

 Of Anthony Nadalin<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Sent: Friday, October 28, 2011 9:13 AM<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">To:

<a href="mailto:Axel.Nennker@telekom.de" target="_blank">Axel.Nennker@telekom.de</a>;

<a href="mailto:jbradley@mac.com" target="_blank">jbradley@mac.com</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Cc:

<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Subject: Re: [Openid-specs-ab] Encryption<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">As I see it we need to require the GCM mode of operation (an authenticated encryption mode) for AES (moving AES-GCM from option to mandatory).<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">-----Original Message-----<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">From:

<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>] On Behalf

 Of <a href="mailto:Axel.Nennker@telekom.de" target="_blank">Axel.Nennker@telekom.de</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Sent: Friday, October 28, 2011 8:55 AM<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">To:

<a href="mailto:jbradley@mac.com" target="_blank">jbradley@mac.com</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Cc:

<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Subject: Re: [Openid-specs-ab] Encryption<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Here is the link to the paper:<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="http://www.nds.rub.de/media/nds/veroeffentlichungen/2011/10/22/HowToBreakXMLenc.pdf" target="_blank">http://www.nds.rub.de/media/nds/veroeffentlichungen/2011/10/22/HowToBreakXMLenc.pdf</a><u></u><u></u></p>


</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">The authors recommend "One possibility to avoid our attack is to use a symmetric cryptographic primitive that does not only provide confidentiality, but also integrity. This can

 for instance be achieved by replacing the CBC mode of operation with a mode that provides message integrity. Adequate choices have for instance been standardized in ISO/IEC 19772:2009. We consider this solution as very recommendable for future versions of

 the XML Encryption standard. Unfortunately, this may bring deployment and backwards compatibility issues."<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="http://www.iso.org/iso/catalogue_detail?csnumber=46345" target="_blank">http://www.iso.org/iso/catalogue_detail?csnumber=46345</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">-Axel<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">-----Original Message-----<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">From: John Bradley [mailto:<a href="mailto:jbradley@mac.com" target="_blank">jbradley@mac.com</a>]<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Sent: Freitag, 28. Oktober 2011 16:22<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">To: Nennker, Axel<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Cc: Nat Sakimura; Michael Jones;

<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Subject: Re: [Openid-specs-ab] Encryption<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">We don't encryption it, but we do support it.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">I haven't seen the original paper only analysis of it.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Mike should be able to get it.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">I don't think we should panic.   I have known about this for a week or so.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">While the problem involves CBC it is not necessarily a CBC algorithm vulnerability in itself.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">The problem is likely the xmlenc API error messages and having them reported back over SOAP.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">As long as we are careful about not communicating too much in the error message and implementers protect against side channel timing attacks, JWE probably is OK as is with appropriate

 security considerations.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">I would be surprised if the attack works agains AES-CBC + RSA.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">It also probably is ineffective agains AES-CBC+keywrap.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Yes GWC is better that is why it was created.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">We need the paper before trying to fix things that may not need fixing.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">John B.<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">On 2011-10-28, at 10:13 AM,

<a href="mailto:Axel.Nennker@telekom.de" target="_blank">Axel.Nennker@telekom.de</a> wrote:<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Do we actually require encryption in the openid connect standards? I thought we refer to JWS and JWS and that's it?<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Axel<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">-----Original Message-----<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">From:

<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a><u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">[mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>] On Behalf Of<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">sakimura<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Sent: Freitag, 28. Oktober 2011 13:36<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">To: Mike Jones; John Bradley; Anthony Nadalin; Openid specs ab<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Subject: [Openid-specs-ab] Encryption<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">So I was going over the recent XML Encryption vulnerability.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="http://www.informationweek.com/news/security/vulnerabilities/231901532" target="_blank">http://www.informationweek.com/news/security/vulnerabilities/231901532</a><u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">The flaw is that of CBC mode of operation combined with<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">unauthenticated encryption.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">It is a kind of padding oracle attack.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">We have two choices here:<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">1) Require authenticated encryption mode such as GCM<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">2) Require message authentication to be applied to the cipher text.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Ideally 1) should be taken as operational efficiency is much greater<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">than 2), but in reality we do not have support for GCM in many<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">languages.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Thus, while RECOMMENDing 1), we should REQUIRE HMAC to be applied on<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">the encrypted text (cipher text) in CBC mode.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Thus, we should make it REQUIRED to sig+enc+mac, instead of sig+enc,<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">and REQUIRE the verifier to first verify the mac and if the mac is not<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">correct the process should abend returning mac error.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Also, although same public-private keypair can be used for encryption<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">and signature in case of RSA, we should probably use two separate<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">keypair. That is safer.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Perhaps we would not REQUIRE it, but we should RECOMMEND it.<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">=nat<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">_______________________________________________<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Openid-specs-ab mailing list<u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>

</blockquote>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">_______________________________________________<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Openid-specs-ab mailing list<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">_______________________________________________<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Openid-specs-ab mailing list<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">_______________________________________________<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Openid-specs-ab mailing list<u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"> <u></u><u></u></p>

</blockquote>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>

</div>

</blockquote>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</blockquote>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat)<u></u><u></u></p>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>

@_nat_en<u></u><u></u></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>

</div></div></div>

</div>


</blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>

</div>