<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        mso-ligatures:standardcontextual;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-ligatures:standardcontextual;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">
<div class="WordSection1">
<p class="MsoNormal">Spec Call Notes 23-Feb-23<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Filip Skokan<o:p></o:p></p>
<p class="MsoNormal">Brian Campbell<o:p></o:p></p>
<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal">Joseph Heenan<o:p></o:p></p>
<p class="MsoNormal">Bjorn Hjelm<o:p></o:p></p>
<p class="MsoNormal">Pieter Kasselman<o:p></o:p></p>
<p class="MsoNormal">Kristina Yasuda<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">IETF Meeting in Yokohama<o:p></o:p></p>
<p class="MsoNormal">              The draft submission cutoff is Monday, March 13th<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">EIC<o:p></o:p></p>
<p class="MsoNormal">              The deadline for EIC submissions is Tuesday, February 28th<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OpenID Workshop<o:p></o:p></p>
<p class="MsoNormal">              It will be the day before IIW - Monday, April 17th<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Joint meeting with ISO/IEC JTC1/SC27<o:p></o:p></p>
<p class="MsoNormal">              Nat said that there is interest in a joint meeting with ISO/IEC JTC1/SC27<o:p></o:p></p>
<p class="MsoNormal">              He will raise the possibility at the next meeting<o:p></o:p></p>
<p class="MsoNormal">              It is responsible for cryptography, identity, and privacy work<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Pull Requests<o:p></o:p></p>
<p class="MsoNormal">              <a href="https://bitbucket.org/openid/connect/pull-requests/">
https://bitbucket.org/openid/connect/pull-requests/</a><o:p></o:p></p>
<p class="MsoNormal">              PR 448: [Federation] Added appendix on using Web PKI cryptographic trust<o:p></o:p></p>
<p class="MsoNormal">                           Mike needs to update this to address comments by Torsten and Kristina<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Open Issues<o:p></o:p></p>
<p class="MsoNormal">              <a href="https://bitbucket.org/openid/connect/issues?status=new&status=open">
https://bitbucket.org/openid/connect/issues?status=new&status=open</a><o:p></o:p></p>
<p class="MsoNormal">              There were no untriaged open issues<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Joseph asked how scope values should be encoded in authorization requests<o:p></o:p></p>
<p class="MsoNormal">              In particular, whether to encode the space separators as %20 or +<o:p></o:p></p>
<p class="MsoNormal">              John said that browsers will change things, so servers need to be prepared to accept either<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certification Update<o:p></o:p></p>
<p class="MsoNormal">              Joseph updated us on work that the certification team is doing<o:p></o:p></p>
<p class="MsoNormal">              The main current focus is the FAPI 2 tests<o:p></o:p></p>
<p class="MsoNormal">              Saudi Arabia is using FAPI 1 Advanced<o:p></o:p></p>
<p class="MsoNormal">                           There are multiple certifications for Saudi institutions, with more to come<o:p></o:p></p>
<p class="MsoNormal">                           They are also testing RPs<o:p></o:p></p>
<p class="MsoNormal">              Brazil is mandating RP certification for open insurance<o:p></o:p></p>
<p class="MsoNormal">              Filip asked about OpenID Connect certifications<o:p></o:p></p>
<p class="MsoNormal">                           Joseph said that new Connect certifications have been slow<o:p></o:p></p>
<p class="MsoNormal">              Joseph said that the majority of their time is going to ecosystem-specific certifications<o:p></o:p></p>
<p class="MsoNormal">              Mike asked about testing for OpenID4VC and Federation<o:p></o:p></p>
<p class="MsoNormal">                           There is funding in the OpenID budget for these, plus some directed funding for OpenID4VC<o:p></o:p></p>
<p class="MsoNormal">                           Joseph said there's not yet clarity on what tests should be created<o:p></o:p></p>
<p class="MsoNormal">              Mike reminded us that it's the job of the working group to define certification test criteria<o:p></o:p></p>
<p class="MsoNormal">              <a href="https://bitbucket.org/openid/connect/issues/1464/conformance-testing-for-siop-vp">
https://bitbucket.org/openid/connect/issues/1464/conformance-testing-for-siop-vp</a> links to a doc on eKYC Conformance Testing and Certification<o:p></o:p></p>
<p class="MsoNormal">              There's a new certification team member coming on next month<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Implementation bug for encrypted refresh tokens<o:p></o:p></p>
<p class="MsoNormal">              John asked about a bug in validating encrypted refresh tokens in a Microsoft system<o:p></o:p></p>
<p class="MsoNormal">                     <a href="https://securityboulevard.com/2023/02/technical-advisory-azure-b2c-crypto-misuse-and-account-compromise/">
https://securityboulevard.com/2023/02/technical-advisory-azure-b2c-crypto-misuse-and-account-compromise/</a><o:p></o:p></p>
<p class="MsoNormal">                            <a href="https://www.praetorian.com/blog/azure-b2c-crypto-misuse-and-account-compromise/">
https://www.praetorian.com/blog/azure-b2c-crypto-misuse-and-account-compromise/</a><o:p></o:p></p>
<p class="MsoNormal">              Microsoft fixed their implementation<o:p></o:p></p>
<p class="MsoNormal">              We believe this was an implementation bug - not a protocol bug<o:p></o:p></p>
<p class="MsoNormal">              John reiterated that encryption without signing is not sufficient<o:p></o:p></p>
<p class="MsoNormal">              Kristina said that ISO wants encryption using ephemeral keys (which isn't related to the bug)<o:p></o:p></p>
<p class="MsoNormal">                           Kristina and John have performance concerns with that<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OpenID4VCI Implementer's Draft Plans<o:p></o:p></p>
<p class="MsoNormal">              On a recent SIOP call, there was agreement to take OpenID4VCI to Implementer's Draft<o:p></o:p></p>
<p class="MsoNormal">              Kristina said that Taka has been filing good issues<o:p></o:p></p>
<p class="MsoNormal">                           We may address some of them before going to Implementer's Draft<o:p></o:p></p>
<p class="MsoNormal">              Mike said that we typically do a 1-2 week working group last call on proposed Implementer's Drafts<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OpenID draft template<o:p></o:p></p>
<p class="MsoNormal">              Bjorn asked if there is a template for creating new OpenID specifications<o:p></o:p></p>
<p class="MsoNormal">              Mike said that there isn't - people typically just take an existing spec and change it<o:p></o:p></p>
<p class="MsoNormal">              Bjorn said that the MODRNA working group is planning on an extension to CIBA<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Next Call<o:p></o:p></p>
<p class="MsoNormal">              The next call will be Monday, February 27th at 3pm Pacific Time<o:p></o:p></p>
</div>
</body>
</html>