<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">
<div class="WordSection1">
<p class="MsoNormal">SIOP Special Topic Call Notes 11-Aug-22<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Kristina Yasuda<o:p></o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Joseph Heenan<o:p></o:p></p>
<p class="MsoNormal">Giuseppe De Marco<o:p></o:p></p>
<p class="MsoNormal">David Chadwick<o:p></o:p></p>
<p class="MsoNormal">Brian Campbell<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal">Geroge Fletcher<o:p></o:p></p>
<p class="MsoNormal">David Waite (DW)<o:p></o:p></p>
<p class="MsoNormal">Jeremie Miller<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Pull Requests<o:p></o:p></p>
<p class="MsoNormal">              <a href="https://bitbucket.org/openid/connect/pull-requests/">
https://bitbucket.org/openid/connect/pull-requests/</a><o:p></o:p></p>
<p class="MsoNormal">              PR #265: static configuration data in openid4vp and siopv2<o:p></o:p></p>
<p class="MsoNormal">                           Kristina said that this needs to be reworked to incorporate feedback<o:p></o:p></p>
<p class="MsoNormal">                           David Chadwick said that this would be the minimum MTI subset<o:p></o:p></p>
<p class="MsoNormal">                                         Kristina said that it's not MTI at present<o:p></o:p></p>
<p class="MsoNormal">                                         David Chadwick said that this would the default<o:p></o:p></p>
<p class="MsoNormal">                           Mike told people about the MTI requirements in the Connect Core spec<o:p></o:p></p>
<p class="MsoNormal">                                         <a href="https://openid.net/specs/openid-connect-core-1_0.html#ImplementationConsiderations">
https://openid.net/specs/openid-connect-core-1_0.html#ImplementationConsiderations</a><o:p></o:p></p>
<p class="MsoNormal">                           George said that we should either define a minimum or define nothing at all<o:p></o:p></p>
<p class="MsoNormal">                           Kristina said that defining MTI functionality could cause push-back in the marketplace<o:p></o:p></p>
<p class="MsoNormal">                           George said that if it's not MTI, maybe we should leave it out for now<o:p></o:p></p>
<p class="MsoNormal">                           Mike suggested that we could add this as a non-normative example in an appendix<o:p></o:p></p>
<p class="MsoNormal">                           David Chadwick said that he wanted this to parallel the same kind of functionality in the SIOP spec<o:p></o:p></p>
<p class="MsoNormal">                           Kristina is supportive of putting this functionality in an appendix<o:p></o:p></p>
<p class="MsoNormal">                                         David Chadwick said that we should do the same for SIOP<o:p></o:p></p>
<p class="MsoNormal">                           This is related to issue #1573: Static metadata for the authz server<o:p></o:p></p>
<p class="MsoNormal">              PR #261: added implementation considerations on credential refresh<o:p></o:p></p>
<p class="MsoNormal">                           This was updated by Jeremie<o:p></o:p></p>
<p class="MsoNormal">                           Additional reviews are requested<o:p></o:p></p>
<p class="MsoNormal">                           We discussed terminology: refresh versus update<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Issues<o:p></o:p></p>
<p class="MsoNormal">              <a href="https://bitbucket.org/openid/connect/issues?status=new&status=open">
https://bitbucket.org/openid/connect/issues?status=new&status=open</a><o:p></o:p></p>
<p class="MsoNormal">              #1590: `vp_formats_supported` server metadata in OpenID4VP underspecified<o:p></o:p></p>
<p class="MsoNormal">                           Kristina asked whether people agree with the proposed syntax<o:p></o:p></p>
<p class="MsoNormal">                           David Chadwick was in support<o:p></o:p></p>
<p class="MsoNormal">                           DW said that he doubts that people actually want this number of choices<o:p></o:p></p>
<p class="MsoNormal">                                         Kristina said that the algorithms for different formats might very well be different<o:p></o:p></p>
<p class="MsoNormal">                           Mike said that syntactically, we tend to use metadata names like "id_token_signing_alg_values_supported" rather than "alg"<o:p></o:p></p>
<p class="MsoNormal">                                         This is from <a href="https://openid.net/specs/openid-connect-discovery-1_0.html">
https://openid.net/specs/openid-connect-discovery-1_0.html</a><o:p></o:p></p>
<p class="MsoNormal">              #1577: Cryptographic proof of possession nonce management<o:p></o:p></p>
<p class="MsoNormal">                           Kristina said that the proof is very similar to a DPoP proof<o:p></o:p></p>
<p class="MsoNormal">                           She asked if we should mandate including "jti" like DPoP does<o:p></o:p></p>
<p class="MsoNormal">                           George said that the nonce gives you freshness<o:p></o:p></p>
<p class="MsoNormal">                                         Whereas the access token hash proves that it was bound to a particular token<o:p></o:p></p>
<p class="MsoNormal">                           We discussed similarities to DPoP<o:p></o:p></p>
<p class="MsoNormal">                           We discussed threat models, including proof pre-generation<o:p></o:p></p>
<p class="MsoNormal">                                         In this case, person who is the legitimate user of a legitimate client is the attacker<o:p></o:p></p>
<p class="MsoNormal">                           Brian said that the "iat" format in the PR is wrong and to remove "typ":"JWT"<o:p></o:p></p>
<p class="MsoNormal">                           Mike suggested that perhaps people with DPoP expertise compare DPoP to this feature<o:p></o:p></p>
<p class="MsoNormal">                                         to understand what's parallel and what's different<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Next Call<o:p></o:p></p>
<p class="MsoNormal">              The next call will be Monday, August 14, 2022 at 4pm Pacific Time<o:p></o:p></p>
</div>
</body>
</html>