
<div dir="ltr"><div><div><div><div><div><div><div><div><div>Hi,<br><br></div>than kyou for the notes. Regarding the removal of client_id_scheme<br><br> OID4VP/Issue 124: client_id_scheme security considerations<br>     ... <br>    Torsten highlights the change is needed to OpenID Federation wrt the entity identifier. That change is either an extra param (client_id_scheme) or namespaced entity identifier<br>    John: should be discussed with people who already use Federation (e.g. Italian Wallet)<br>    Torsten: Agrees<br>    Daniel: This is a problem for every server that uses client_ids from multiple sources, so more universal than OpenID Federation<br><br></div>I agree with Daniel, it is more universal than OpenID Federation.<br><br>Regarding the removal of client_id_scheme, I don't see any problem with the current OpenID federation wallet implementation, therefore client_id_Scheme can be removed without compromising current implementations (that uses client_id in the form of https url).<br><br>Regarding the use of namespaces: This was not considered before, so at this stage, it needs to be addressed and defined within the specifications. Technically, handling namespaces is feasible. However, I want to emphasize that using namespaces seems to address a problem in an unconventional way by inflating the client ID value.<br><br>A client ID is meant to be a client identifier, while the purpose of a namespace is to provide guidance on how to resolve the client identifier. These are two different concepts. Using unique client identifiers can scale across multiple trust evaluation mechanisms, whereas embedding a trust resolution method within a unique client ID forces an entity to not join multiple infrastructures of trust. This approach does not scale well.<br>I would prefer to leave client_id as it is, without namespaces. I will follow the discussion to share further feedback.<br><br>I hope this helps, thank you for sharing<br></div></div></div></div></div></div><br></div>thx!<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il giorno lun 29 lug 2024 alle ore 14:35 Jan Vereecken via Openid-specs-digital-credentials-protocols <<a href="mailto:openid-specs-digital-credentials-protocols@lists.openid.net">openid-specs-digital-credentials-protocols@lists.openid.net</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg5855210978934869655">


<div lang="en-BE" style="overflow-wrap: break-word;">

<div class="m_5855210978934869655WordSection1">

<p class="MsoNormal"><span lang="EN-US">Hello All,<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US">Please find the notes below of the DCP WG call of July 25<sup>th</sup>.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US">Rgs,<br>

Jan<u></u><u></u></span></p>

<ul type="disc">

<li class="MsoNormal">

<span style="font-size:12pt">Participants<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Torsten Loddersted<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Joseph Heenan<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Marijn Haring<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Kristina Yusuda<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Andreea Prian<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Lukasz Jaromin<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Steve Venema<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Paul Bastian<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Andy Lim<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Juba Saadi<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Oliver Terbu<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Andreea Prian<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Brian Campbell<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Hicham Lozi<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Ryan Galluzzo<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">John Bradley<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Rajvardhan Deshmukh<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Bjorn Helm<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Gareth Oliver<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Jian Liu<u></u><u></u></span></li></ul>

<li class="MsoNormal">

<span style="font-size:12pt">Agenda<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Wallet Attestations / Key Attestations<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Remov</span><span lang="EN-US" style="font-size:12pt">al</span><span style="font-size:12pt">

 CWT proof type<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">OID4VCI/PR 220: Introduce Query Language<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Client id scheme security<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-US" style="font-size:12pt">Adding transaction data</span><span style="font-size:12pt"><u></u><u></u></span></li></ul>

<li class="MsoNormal">

<span style="font-size:12pt">External Events<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Some events around IIW, see mailing list for more details<u></u><u></u></span></li></ul>

<li class="MsoNormal">

<span style="font-size:12pt">OID4VCI/Issue 355: Wallet Attestations / Key Attestations<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Kristina: Recap of what was discussed in previous call. Details in the issue<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Torsten: Has two questions. First one: highlights comment from Andrea regarding issuer metadata needed for wallet to understand which attestation is needed for a key<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Andrea highlights here last comment in the ticket talking about PoP and context that can be useful for the issuer as well as its importance for authentication (e.g. PID provider might

 have more strict requirements).<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Torsten: party sending the requests is who decides what is allowed. Suggests to extend the metadata to convey the requirements regarding keys<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Andrea: Issuer cannot always specify what means of authn is supports as it can also depend on the WSCD supported by the device the user has. Shou<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Torsten: Of the opinion that issuer should provide as much information to wallet as possible<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Paul: Agrees with Torsten. Avoid that after providing key attestation the issuer says that it can't continue.<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Agree to wait for Paul's PR to discuss this further<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Torsten: goes to second question brings up the topic of wallet authentication<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Andrea highlight that each member state has a different interpretation of LoA high for example.<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Torsten agrees<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">John: Wallet to decide which trust mark to provide based on the information the issuer provides. Potentially also useful for "Wallet Selector" to lead the user to a wallet that is

 likely to support it.<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Agree to wait for Paul's PR<u></u><u></u></span></li></ul>

<li class="MsoNormal">

<span style="font-size:12pt">OID4VCI/Issue 320: Remove CWT proof type<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Kristina introduces the issue. Email to mailing list asking for objections to remove it. Asks the working group. No objections.<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Brian will create a PR to remove it.<u></u><u></u></span></li></ul>

<li class="MsoNormal">

<span style="font-size:12pt">OID4VP/Issue 124:

</span><span style="font-size:10pt;font-family:"Courier New"">client_id_scheme</span><span style="font-size:12pt"> security considerations<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Daniel introduces the issue. The summary is that client_id_scheme must be present whenever client_id scheme is present as the client_id<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Kristina asks WG if anyone is opposed to prefixing the client_id with the client_id_scheme<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Oliver is opposed to namespacing, but has no concrete counter proposal<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Torsten and Kristina bring up that it is waiting for Tobias to make a suggestion and the ticket is already open for more than 3 months<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Oliver wants to circle back and suggest a proposal on Aug 6th<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Torsten highlights the change is needed to OpenID Federation wrt the entity identifier. That change is either an extra param (client_id_scheme) or namespaced entity identifier<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">John: should be discussed with people who already use Federation (e.g. Italian Wallet)<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Torsten: Agrees<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Daniel: This is a problem for every server that uses client_ids from multiple sources, so more universal than OpenID Federation<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Joseph: If it only applies to wallets, this should be stated clearly<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Kristina: This is more universal problem<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Lukasz: How can we avoid conflicts with other potential interpretations of client_id<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">John: We can't. Difficult to understand<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">Kristina: Asks for remarks raised during the meeting to be documented in the issue<u></u><u></u></span></li></ul>

<li class="MsoNormal">

<span style="font-size:12pt">OID4VP/PR220: Introduce new query language<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Daniel introduces the PR. Ready for reviews.<u></u><u></u></span></li></ul>

<li class="MsoNormal">

<span style="font-size:12pt">OID4VP/PR197: Add transaction_data<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Kristina introduces the PR. Ready for reviews.<u></u><u></u></span></li><li class="MsoNormal">

<span style="font-size:12pt">LSPs in EU are actively asking for this as they rely on this mechanism.<u></u><u></u></span></li></ul>

<li class="MsoNormal">

<span style="font-size:12pt">Actions<u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span style="font-size:12pt">Oliver will propose alternative solution than the one proposed currently in OID4VP/Issue 124 by Aug 6th<u></u><u></u></span></li></ul>

</ul>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>


-- <br>

Openid-specs-digital-credentials-protocols mailing list<br>

<a href="mailto:Openid-specs-digital-credentials-protocols@lists.openid.net" target="_blank">Openid-specs-digital-credentials-protocols@lists.openid.net</a><br>

<a href="https://lists.openid.net/mailman/listinfo/openid-specs-digital-credentials-protocols" rel="noreferrer" target="_blank">https://lists.openid.net/mailman/listinfo/openid-specs-digital-credentials-protocols</a><br>

</div></blockquote></div>