<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0cm;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0cm;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

span.apple-converted-space

        {mso-style-name:apple-converted-space;}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:"Consolas","serif";}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

span.EmailStyle22

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:70.85pt 70.85pt 2.0cm 70.85pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If the issuer has a id_token_signing_key and a logout_command_signing_key then the receiver knows that the JWS is not a valid signed logout_command-JSON, right?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If somebody tries to push an id_token into the logout endpoint then it would not validate because the wrong key is used.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I am not saying that different signing keys are the best solution but the proposed “solution” is hacky.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">//Axel<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> John Bradley [mailto:ve7jtb@ve7jtb.com]

<br>

<b>Sent:</b> Friday, March 17, 2017 4:55 PM<br>

<b>To:</b> Justin Richer<br>

<b>Cc:</b> Nennker, Axel; Michael Jones; openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] backchannel logout: nonce and key<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">A diffrent signing key won’t help unless the issuer is different.   <o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">It is a double edged thing you want the issuer to be the same to know the logout source is the same as the login, however you don’t want the issuer to be the same to prevent the token from being mistaken as a id_token for login.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Logically it would be better to have a different logout audience for the client and change that.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">One option would be to use the URI that the client publishes for its backchannel endpoint as the audience rather then the client ID.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I think William made a proposal along those lines.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">John B.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">On Mar 16, 2017, at 11:16 AM, Justin Richer <<a href="mailto:jricher@MIT.EDU">jricher@MIT.EDU</a>> wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;background:white;font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px">

+1<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:9.0pt;font-family:"Helvetica","sans-serif"">On 3/16/2017 7:58 AM, Axel Nennker via Openid-specs-ab wrote:<o:p></o:p></span></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt;font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px">

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">Hi,</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">Nonce in the logout JWT is prohibited<span class="apple-converted-space"> </span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">to make

 a Logout Token syntactically invalid compared to an id_token.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Wouldn’t it be more secure to use another signing key than the id_token signing key?<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Prohibiting nonce is a hack.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Kind regards<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Axel<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif""> </span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">The following Claim MUST NOT be used within the Logout Token:</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">nonce</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div style="margin-left:72.0pt">

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">PROHIBITED. A<span class="apple-converted-space"> </span></span><span style="font-size:10.0pt;font-family:"Calibri","sans-serif"">nonce</span><span class="apple-converted-space"><span style="font-family:"Calibri","sans-serif""> </span></span><span style="font-family:"Calibri","sans-serif"">Claim

 MUST NOT be present. Its use is prohibited to make a Logout Token syntactically invalid if used in a forged Authentication Response in place of an ID Token.<span class="apple-converted-space"> </span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">Logout Tokens MAY contain other Claims. Any Claims used that are not understood MUST be ignored.</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">A Logout Token MUST be signed and MAY also be encrypted. The same keys are used to sign and encrypt Logout Tokens as are used for ID Tokens. NOTE: The Logout Token

 is compatible with<span class="apple-converted-space"> </span><a href="http://openid.net/specs/openid-connect-backchannel-1_0.html#I-D.ietf-secevent-token"><span style="color:purple">Security Event Token (SET)</span></a><span class="apple-converted-space"> </span>[I‑D.ietf‑secevent‑token]

 draft -00.</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<div>

<p class="MsoNormal" style="background:white"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span class="apple-converted-space"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> </span></span><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">Nennker,

 Axel<span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Thursday, March 16, 2017 12:49 PM<br>

<b>To:</b><span class="apple-converted-space"> </span>Mike Jones (<a href="mailto:Michael.Jones@microsoft.com"><span style="color:purple">Michael.Jones@microsoft.com</span></a>); John Bradley (<a href="mailto:ve7jtb@ve7jtb.com"><span style="color:purple">ve7jtb@ve7jtb.com</span></a>)<br>

<b>Cc:</b><span class="apple-converted-space"> </span><a href="mailto:openid-specs-ab@lists.openid.net"><span style="color:purple">openid-specs-ab@lists.openid.net</span></a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>backchannel logout: events</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Hi,<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Regarding<span class="apple-converted-space"> </span><a href="https://openid.net/specs/openid-connect-backchannel-1_0.html"><span style="color:purple">https://openid.net/specs/openid-connect-backchannel-1_0.html</span></a><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">I am wondering what the reason behind events is:<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">events</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div style="margin-left:36.0pt">

<p class="MsoNormal" style="background:white"><span style="font-family:"Calibri","sans-serif"">REQUIRED. Claim whose value is a JSON object containing the member name<span class="apple-converted-space"> </span></span><span style="font-size:10.0pt;font-family:"Calibri","sans-serif""><a href="http://schemas.openid.net/event/backchannel-logout"><span style="color:purple">http://schemas.openid.net/event/backchannel-logout</span></a></span><span style="font-family:"Calibri","sans-serif"">.

 This declares that the JWT is a Logout Token. The corresponding member value MUST be a JSON object and SHOULD be the empty JSON object<span class="apple-converted-space"> </span></span><span style="font-size:10.0pt;font-family:"Courier New"">{}</span><span style="font-family:"Calibri","sans-serif"">.</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">The reason, I think, to have “events” is to make the logout JWT compatible to SET:<span class="apple-converted-space"> </span><a href="https://tools.ietf.org/html/draft-ietf-secevent-token-01"><span style="color:purple">https://tools.ietf.org/html/draft-ietf-secevent-token-01</span></a><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">But SET states: “Security Events are not commands issued between parties”<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">While openid-connect-backchannel-1_0.html JWT is a command.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">If we want SET compatibility wouldn’t it make more sense to have a SET compatible response to the logout command?<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Why is SET compatibility important? Is it important enough to justify this really strange type specifier?<o:p></o:p></span></p>

</div>

<pre style="background:white">"events": {<o:p></o:p></pre>

<pre style="background:white">     <a href="http://schemas.openid.net/event/backchannel-logout"><span style="color:purple">"http://schemas.openid.net/event/backchannel-logout"</span></a>: {}<o:p></o:p></pre>

<pre style="background:white">     }<o:p></o:p></pre>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Kind regards<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Axel<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#999999"> </span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#999999"> </span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#999999"> </span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#999999"> </span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><b><span lang="DE" style="font-size:8.0pt;font-family:"Arial","sans-serif";text-transform:uppercase">DEUTSCHE TELEKOM AG</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span lang="DE" style="font-size:8.0pt;font-family:"Arial","sans-serif"">T-Labs (Research & Innovation)<br>

Dipl.-Inform. Axel Nennker<br>

Winterfeldtstr. 21, 10781 Berlin<br>

</span><span lang="FR" style="font-size:8.0pt;font-family:"Arial","sans-serif"">+491702275312 (Mobile)</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span lang="FR" style="font-size:8.0pt;font-family:"Arial","sans-serif"">E-Mail:<span class="apple-converted-space"> </span><a href="mailto:axel.nennker@telekom.de"><span style="color:purple">axel.nennker@telekom.de</span></a></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span lang="DE" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<p class="MsoNormal" style="background:white"><span style="font-size:9.0pt;font-family:"Helvetica","sans-serif""><br>

<br>

<br>

<o:p></o:p></span></p>

<pre style="background:white">_______________________________________________<o:p></o:p></pre>

<pre style="background:white">Openid-specs-ab mailing list<o:p></o:p></pre>

<pre style="background:white"><a href="mailto:Openid-specs-ab@lists.openid.net"><span style="color:purple">Openid-specs-ab@lists.openid.net</span></a><o:p></o:p></pre>

<pre style="background:white"><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab"><span style="color:purple">http://lists.openid.net/mailman/listinfo/openid-specs-ab</span></a><o:p></o:p></pre>

</blockquote>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

</div>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>