<div dir="ltr">The problem I see with this approach is that the private key is no more private then. <div>The server also knows the private key, so the non-repudiation type of advantage is gone. </div><div>It seems it is more or less on par with the symmetric key then. </div>
<div><br></div><div>What advantage do you see with it? </div><div><br></div><div>On the other hand, server generated random can be very useful and Ryo Ito is writing an extension spec on it, which I am helping. He's got the implementation live on mixi, which is one of the largest social network in Japan. The reason he came up with the idea is that the random/nonce etc. generated by the client tends to be not really random undermining everything that follows. Are you concerned with the key-pair generated by the client follows the same kind of problem? </div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/11/21 Vladimir Dzhuvinov / NimbusDS <span dir="ltr"><<a href="mailto:vladimir@nimbusds.com" target="_blank">vladimir@nimbusds.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi guys,<br>
<br>
Ticket #903 that Nat posted calls for a new jwks parameter to enable<br>
native clients to register their public keys directly with the provider:<br>
<br>
<a href="https://bitbucket.org/openid/connect/issue/903/" target="_blank">https://bitbucket.org/openid/connect/issue/903/</a><br>
<br>
What do you think of allowing this parameter to also be used as simple<br>
mean to provision clients with keys generated by the provider? Do you<br>
see any problems with that? I find this a very attractive option for a<br>
use case that we face. Currently there's no standard OIDC way to<br>
provision keys to clients when they register.<br>
<br>
It could work like this:<br>
<br>
The client sends a registration request that implies use of an<br>
asymmetric key (e.g. JWT private key auth, or signed requests) but<br>
doesn't provide any jwks_url or jwks parameter. In that case the server<br>
generates a key pair and returns it with the jwks parameter in the<br>
response JSON.<br>
<br>
Cheers,<br>
<br>
Vladimir<br>
<br>
--<br>
Vladimir Dzhuvinov : <a href="http://www.NimbusDS.com" target="_blank">www.NimbusDS.com</a> : <a href="mailto:vladimir@nimbusds.com">vladimir@nimbusds.com</a><br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div><br></div>