<div dir="ltr"><div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">>     Personally, I'm into "moderately smart contracts" that are targeted at a more conventional payment market:<br>
>     <a href="https://cyberphone.github.io/doc/payments/y2020-strong-merchant-authorization.pdf" rel="noreferrer" target="_blank">https://cyberphone.github.io/doc/payments/y2020-strong-merchant-authorization.pdf</a><br>
> <br>
> Great illustration. This is the way to go. Banking Protocols like EBICS (<a href="http://www.ebics.org/home-page/" rel="noreferrer" target="_blank">http://www.ebics.org/home-page/</a>) has been making use of the  signature key-pairs in the corporate context for a while. Now it is also open for individual customers. We will slowly be witnessing progress in this direction.<br>
<br>
Thanks!  I hope you are right :)<br>
<br>
EBICS was new to me.  It looks quite interesting.<br>
<br>
In my particular use case, secure lookup services are used rather than X.509 certificates due to the amount of structured and certified data needed by verifiers:<br>
<a href="https://mobilepki.org/webpay-payeebank/payees/86344" rel="noreferrer" target="_blank">https://mobilepki.org/webpay-payeebank/payees/86344</a></blockquote><div>Submitting a payment request to a bank is associated with a lot of provisions including AML, GDPR, ... (no matter if it is a credit transfer or a direct debit). European PSD2 uses eIDas certificates for TPP. I like the concept of strong merchant authentication as Merchant could also be issued certificates. Merchant will then use certified key-pair to submit the customer's signed payment request to the bank. Without any third party. I suspect major merchants will endup acquiring tpp certificates.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
This makes the scheme scale trust-wise in the same way as the bank network itself without introducing new parties in the soup.  Merchant hosting services may though be needed since banks typically are not equipped for dealing with small merchants.<br></blockquote><div>Webendpoint base pki will be tough, as it takes a lot of time and effort to implement new trust schemes across networks. Adding a sort of "Certificate Transparency" system to Country-Authority issued certificates (like PSD2's eIDas) will fulfill the purpose.</div><div><br></div><div>What I liked in your suggestion is the end user carrying his own key-pair. This will make open banking a lot easier, as we might use it to kill redirect processes.</div><div><br></div><div>Regards.</div><div>--</div><div>Francis Pouatcha<br>Co-Founder and Technical Lead at adorys<br><a href="https://adorsys-platform.de/solutions/" rel="noreferrer" target="_blank">https://adorsys-platform.de/solutions/</a><br></div><div><br></div></div></div>