In Messages Draft 20, we have c_hash as a required element of id_token if the response_type=code.   However, Basic 28 does not cover c_hash at all in section 2.2 (at_hash is covered strangely enough, despite implicit not being covered in basic)<div>
<br></div><div>I'm assuming this is required, and we've got a minor spec bug....?</div><div><br></div><div>-cmort</div>