<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:24.0pt;
        mso-margin-bottom-alt:auto;
        margin-left:24.0pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        background:#CCCCCC;
        font-size:12.0pt;
        font-family:"Courier New";
        color:black;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:"Courier New";
        color:black;
        background:#CCCCCC;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#002060;}
span.EmailStyle24
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#002060;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">To your second point, they can be intermixed.  The keys can specify “use” attributes if desired to distinguish between them.  Use “use”:”sig” for signing keys
 and “use”:”enc” for encryption keys.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">To your first point, the Key ID parameter can be used for selecting specific keys, if desired.  You’re right though, that defining specific Key ID usage guidelines
 is beyond the scope of the present JOSE and OpenID Connect specifications.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">                                                                -- Mike<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">P.S.  Sorry for the very delayed reply.  I just noticed that I hadn’t gotten back to you on this.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Dingwell, Robert A. [mailto:bobd@mitre.org]
<br>
<b>Sent:</b> Wednesday, June 27, 2012 1:33 PM<br>
<b>To:</b> Mike Jones; John Bradley<br>
<b>Cc:</b> openid-specs-ab@lists.openid.net<br>
<b>Subject:</b> Re: [Openid-specs-ab] JWK clarification<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black">Mike, I think we are talking about 2 different things.  I am referring to the the OpenID Connect Messages specification where in section 4.2 it outlines parameters
 for signing and encrypting key urls.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> John, I think it would be good to have a way to specify which key in a key set is the one that is the same as the X509 if that is also given. That can be even
 as simple as specifying a kid of 1 like you say. It may even be good to state that the headers for either singed  or encrypted content contain the key id that was used.   I think without further specifying the behavior that is expected out of the key url's
 and the JWS and JWE headers it makes implementation more difficult than it needs to be.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> Say I get a signed JWT and there isn't something in the header that lets me know what key was used to sign it, and the signer has multiple keys available via
 their signing key urls.  If I don't have a way to identify the key that was used I have to try them all to see if one of them works.  Now I know that the header is perfectly capable of containing that information but that doesn't mean that it will, it's optional
 in the JWS and JWE specs.  <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black">On another note if the jwk urls point to key sets are all of the keys in the key set pointed to by the jwk_url signing keys and all of the keys in the key set
 pointed to by the jwk_encryption_url encryption keys? Or are they intermixed?  <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black">Rob<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>
</div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">From:
</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Mike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>><br>
<b>Date: </b>Wednesday, June 27, 2012 3:50 PM<br>
<b>To: </b>John Bradley <<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>>, Rob Dingwell <<a href="mailto:bobd@mitre.org">bobd@mitre.org</a>><br>
<b>Cc: </b>"<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>" <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>><br>
<b>Subject: </b>RE: [Openid-specs-ab] JWK clarification<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">Maybe you’re looking at an old version of the spec, Robert?  I’m pretty sure that
<a href="http://tools.ietf.org/html/draft-ietf-jose-json-web-signature-02#section-4.1.2">
http://tools.ietf.org/html/draft-ietf-jose-json-web-signature-02#section-4.1.2</a> makes it clear that what’s pointed to by the URL is a key set.  If you believe additional language is needed, please let me know what you think we should say.</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"> </span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">                                                                Best wishes,</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">                                                                -- Mike</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"> </span><span style="color:black"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> John Bradley [<a href="mailto:ve7jtb@ve7jtb.com">mailto:ve7jtb@ve7jtb.com</a>]
<br>
<b>Sent:</b> Wednesday, June 27, 2012 12:38 PM<br>
<b>To:</b> Dingwell, Robert A.<br>
<b>Cc:</b> Mike Jones; <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>
<b>Subject:</b> Re: [Openid-specs-ab] JWK clarification</span><span style="color:black"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black">If you use a key with keyid of 1 you should make that key available in both formats.  Given that x.509 certificates don't have keyID you probably need to include both a thumbprint and  and a keyID if you are making
 keys available in both formats.<o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black">I could add the public key for a given ID/thumbprint combination should be identical in both formats.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black">I am also open to the argument that they don't need to be identical, as long as the receiver can process it. <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black">The bottom line is that the receiver and sender need to publish keys that they can identify when they receive things signed or encrypted.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black">For JWK the kid is the obvious way to identify keys,  with x.509 that is less obvious.  Should we be more prescriptive and specify thumbprint or something else?<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black">John B.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
<div>
<div>
<p class="MsoNormal"><span style="color:black">On 2012-06-27, at 2:42 PM, Dingwell, Robert A. wrote:<o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span style="color:black"><br>
<br>
<br>
<o:p></o:p></span></p>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black">I get that from a JWK point of view, but what is suppose to live at the end of the jwk_url <i> and jwk_</i>encryption_url parameters of an idP or a client as
 far as section 4.2 in the Messages spec goes?  It doesn't make a distinction as to if it expects those urls to point to keys or key sets.  At the end of section 4.2 is states that if keys are supplied in both X509 and JWK format then the keys must be identical.
  They can't be identical if one is a set and the other is an X509 cert with just one key in it so it seems to implicitly state that the jwk_url and jwk_encruyption_url params point to single JWK's and not a Ket Set. </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black">Rob</span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">From:
</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Mike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>><br>
<b>Date: </b>Wednesday, June 27, 2012 1:56 PM<br>
<b>To: </b>Rob Dingwell <<a href="mailto:bobd@mitre.org">bobd@mitre.org</a>>, "<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>" <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>><br>
<b>Subject: </b>RE: JWK clarification</span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">The top-level format continues to be an array of keys.  Individual keys can also be used where appropriate.  In the following example, an array of keys is specified:</span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">{"keys":</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">  [</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">    {"alg":"EC",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "crv":"P-256",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "x":"MKBCTNIcKUSDii11ySs3526iDZ8AiTo7Tu6KPAqv7D4",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "y":"4Etl6SRW2YiLUrN5vfvVHuhp7x8PxltmWWlbbM4IFyM",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "use":"enc",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "kid":"1"},</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">    {"alg":"RSA",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "mod": "0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">4cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCiFV4n3oknjhMs</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">tn64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7_RN5w6Cf0h4QyQ5v-65YGjQR0_FDW2</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">QvzqY368QQMicAtaSqzs8KJZgnYb9c7d0zgdAZHzu6qMQvRL5hajrn1n91CbOpbI</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">SD08qNLyrdkt-bFTWhAI4vMQFh6WeZu0fM4lFd2NcRwr3XPksINHaQ-G_xBniIqb</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">w0Ls1jF44-csFCur-kEgU8awapJzKnqDKgw",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "exp":"AQAB",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "kid":"2011-04-29"}</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">  ]</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">}</span><span style="color:black"><o:p></o:p></span></p>
<div>
<p class="MsoNormal"><a name="anchor3"></a><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">In this example, a single key is specified:</span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">    {"alg":"EC",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "crv":"P-256",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "x":"MKBCTNIcKUSDii11ySs3526iDZ8AiTo7Tu6KPAqv7D4",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "y":"4Etl6SRW2YiLUrN5vfvVHuhp7x8PxltmWWlbbM4IFyM",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "use":"enc",</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal" style="background:#CCCCCC"><span lang="EN" style="font-family:"Courier New";color:black">     "kid":"1"}</span><span style="color:black"><o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">The array format is used in contexts such as the key values retrieved for the JWS and JWE “jku” parameter where multiple keys may be specified.  The single
 key format is used in contexts such as the JWE “epk” parameter, where only a single key value is called for.</span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If this isn’t clear, feel free to ask a follow-up question.</span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            Best wishes,</span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike</span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<div>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"><a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a>
 [<a href="mailto:openid-specs-ab-bounces@lists.openid.net">mailto:openid-specs-ab-bounces@lists.openid.net</a>]
<b>On Behalf Of </b>Dingwell, Robert A.<br>
<b>Sent:</b> Wednesday, June 27, 2012 9:04 AM<br>
<b>To:</b> <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>
<b>Subject:</b> [Openid-specs-ab] JWK clarification</span><span style="color:black"><o:p></o:p></span></p>
</div>
</div>
</div>
<div>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black">If I remember correctly the initial version of the JWK format specified the format as being an array of keys but the latest version of the JWK spec appears to
 have broken that idea out to where there is the key format and set format.   </span><span style="color:black"><o:p></o:p></span></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black">As both the client and the server have the option of providing signing and encrypting keys in JWK format are the urls for those keys intended to be a single JWK
 or a JWK set? Seeing how the specifications states that if both X509 and JWK urls are provided they must be the same key makes me believe that the url would point to a single key.  If it is a set how would one determine which key to use in the set considering
 that the set could contain a number of keys that are marked as signing or encrypting keys?</span><span style="color:black"><o:p></o:p></span></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black">Rob</span><span style="color:black"><o:p></o:p></span></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:black"> </span><span style="color:black"><o:p></o:p></span></p>
</div>
</div>
</div>
</div>
</div>
<p class="MsoNormal"><span style="color:black">_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
</div>
</div>
</div>
</div>
</body>
</html>