<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><meta http-equiv="content-type" content="text/html; charset=utf-8"><div style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><meta http-equiv="content-type" content="text/html; charset=utf-8"><div style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><div>Attendees:</div><div><br></div><div>Joseph Heenan</div><div>Torsten Lodderstedt</div><div>Kristina Yasuda</div><div>Michael Jones</div><div>Andrew Hughes</div><div>Bjorn Hjelm</div><div>Brian Campbell</div><div>Idakto Clement</div><div>Giuseppe De Marco</div><div>Judith Kahrer</div><div>Mark Haine</div><div>Mark Dobrinic</div><div>Naohiro Fujie</div><div>Paul Templeman</div><div>Pedro Felix</div><div>Rajvardhan Deshmukh</div><div>Thomas Robin</div><div>Venkatasubramanian D</div><div>Yann (iDAKTO)</div><div>Matthew Miller</div><div>Dima Postnikov</div><div>Anthony Nadalin</div><div>Daniel Fett</div><div></div><div><br></div><div><br></div><div><br></div><div>Please register if you will attend the in-person pre-IIW DCP working group meeting : <a href="https://www.eventbrite.com/e/oidf-digital-credentials-protocol-working-group-meeting-at-cisco-tickets-708486982637?aff=oddtdtcreator">https://www.eventbrite.com/e/oidf-digital-credentials-protocol-working-group-meeting-at-cisco-tickets-708486982637?aff=oddtdtcreator</a></div><div>(Virtual participation will be available too, the Webex link will be shared on the WG mailing list in due course)</div><div><br></div><div><br></div><div><a href="https://github.com/openid/OpenID4VP/pull/44">https://github.com/openid/OpenID4VP/pull/44</a></div><div><br></div><div>Torsten believes we need to be clearer about how what scope values mean, that one scope relates to exactly one credential, and that non-VC scopes are not included in VC requests. Torsten is not sure why we need this change at all as we already have the presentation definition.</div><div><br></div><div><br></div><div><a href="https://github.com/openid/OpenID4VP/issues/45">https://github.com/openid/OpenID4VP/issues/45</a></div><div><br></div><div>WG consensus that Torsten can open a PR for this.</div><div><br></div><div><br></div><div><a href="https://github.com/openid/OpenID4VCI/pull/65">https://github.com/openid/OpenID4VCI/pull/65</a></div><div><br></div><div><br></div><div>Joseph asked for examples of the different valid forms of requests that don’t use scopes.</div><div><br></div><div>Agreed to make it clearer that it’s optional to return identifiers.</div><div><br></div><div><div>Daniel was not keen on making it optional as this would mean verifiers would most likely have to support both options in perpetuity. WG agreed this is already a breaking change for multiple credentials case so maybe it’s okay. Kristina will update PR to make it mandatory.</div></div><div><br></div><div>More reviewers are needed on this change.</div><div><br></div><div><br></div><div><a href="https://github.com/openid/OpenID4VCI/issues/71">https://github.com/openid/OpenID4VCI/issues/71</a></div><div><br></div><div>Torsten explained that many people in the EU are asking why we don’t use an issuer provided nonce to ensure the wallet attestation is fresh.</div><div><br></div><div>Mike & Pedro emphasised that the server provided nonce was essential to DPoP being scalable. Pedro also added that relying on jti can cause problems with clocks are out of sync.</div><div><br></div><div>Torsten asked if a new endpoint for providing the nonce or an error response indicating a nonce is required is people’s preferred option. Please provide feedback.</div><div><br></div><div>Brian asked why not to just use the DPoP model. Torsten says he has no compelling reason for a separate endpoint. Daniel agreed with following DPoP type approach.</div><div><br></div><div>People then started talking about nonces being shared across the whole protocol flow and maybe a separate endpoint is better. Torsten has posted a summary to the issue.</div><div><br></div><div><br></div><div></div></div></div></body></html>