<div dir="ltr">P.S. Examples of attribute-based unlinkable entity authentication include Overage verification, Underage verification, Registered domicile verification, etc. </div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">2025年6月9日(月) 15:47 Nat Sakimura <<a href="mailto:nat@sakimura.org">nat@sakimura.org</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Dear AB/C WG</div><div><br></div><div>I am writing to elaborate on the rationale for writing the ephemeral identifier spec.</div><div><br></div><div>There are multiple reasons for this:</div><div><br></div><div>As Ralph points out, it is already used in some ecosystems. Standardising it would therefore reduce existing variations.</div><div><br></div><div>Additionally, it is a condition needed to prove OIDC/SIOP to fulfil the Unlinkability Level (UL) 3A+. This Unlinkability Level is defined in ISO/IEC 27551 Information security, cybersecurity and privacy protection — Requirements for attribute-based unlinkable entity authentication. It defines seven different kinds of "unlinkability" and it also defines Unlinkability Levels (UL) as satisfying some kind of unlinkability would automatically satisfy other types of unlinkability.  </div><div><div><br></div><div>According to ISO/IEC 27551, to attain unlinkability level N attribute-based entity authentication, the protocol: a) shall be correct; b) shall be unforgeable;  c) shall satisfy the assurance level on attributes that is required by the RP; and  d) shall satisfy the unlinkability properties at level N. </div><div><br></div><div>The correctness, unforgeability and unlinkability are also defined in the document. I will not go into the details (as it would take pages) of the definition, but generically, a protocol itself is said to be unlinkable if its executions cannot be linked, given explicit settings for the adversary and target entity role, where "linked" means the adversary to make a correct guess, with a probability significantly better than one half. </div><div><br></div><div>In ISO/IEC 27551 Appendix C.2, there is a mathematical proof that the presented implementation of OpenID Connect belongs to the class UL 3A+ and this "implementation" requires an ephemeral identifier. </div></div><div><br></div><div>I hope this provides further clarity.</div><div><br></div><div>Best regards,</div><div><br></div><div>Nat Sakimura</div><br></div>
</blockquote></div>