<div dir="ltr">EAP Working Group Call Sep 15, 2016<br><br><br>Brian Campbell<br><p class="MsoNormal">John Bradley</p><p class="MsoNormal"><br></p><p class="MsoNormal"><br></p><p class="MsoNormal">Some discussion on <a href="http://openid.net/specs/openid-connect-token-bound-authentication-1_0.html">OpenID Connect Token Bound Authentication 1.0 </a>- draft 00</p><p class="MsoNormal"><br></p><p class="MsoNormal">While the document talks about  downgrade attacks, there isn't currently sufficient information available to detect a downgrade. Knowing whether the other participants support token binding isn't enough - you'd need to know which key parameters types are supported by each participant. The rp_id_token_token_binding_supported and op_id_token_token_binding_supported metadata values are only true/false and negotiation with the user agent only indicates the one agreed upon key parameters type not the set of key parameters that the user agent can support. </p><br><br><p class="MsoNormal"><br></p><p class="MsoNormal"><br></p></div>