<div dir="auto">This problem has existed forever.<div dir="auto"><br></div><div dir="auto">This spec, as well as any, needs to understand when an expired key is still valid for evaluating a signature. It seems that the federation spec is not the best place to clarify the correct evaluation. It is likely that the machine performing the evaluation is NOT a member of the federation.</div><div dir="auto"><br></div><div dir="auto">The biggest challenge comes when a key is revoked which should not revoked any existing signature made by that key.</div><div dir="auto"><br></div><div dir="auto">It would be good for a full description to be made. What really bothers me is the idea that different standards might come to different conclusions.<br><br><div data-smartmail="gmail_signature" dir="auto">thx ..Tom (mobile)</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Dec 3, 2023, 9:50 AM David W Chadwick via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">New issue 2100: Federation Historical Keys<br>
<a href="https://bitbucket.org/openid/connect/issues/2100/federation-historical-keys" rel="noreferrer noreferrer" target="_blank">https://bitbucket.org/openid/connect/issues/2100/federation-historical-keys</a><br>
<br>
David W Chadwick:<br>
<br>
A superior entity publishes the keys of its subordinate entity in the Entity Statement that it signs for its subordinate. Therefore historical keys should be published by superior entities and not by the entities themselves. Section 7.6 says “Each Federation Entity MAY publish its previously used Federation Entity Keys at the historical keys endpoint”. This is wrong and it opens up the possibility of an attack. A fake entity statement can be published now, and the key can be published at the historical keys endpoint. No-one can tell this is fake because the superior is publishing a different key now for this entity.<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank" rel="noreferrer">Openid-specs-ab@lists.openid.net</a><br>
<a href="https://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer noreferrer" target="_blank">https://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div>