<div dir="ltr">Dear FAPI WG<div><br></div><div>One of the comments I got from ISO for FAPI1 is that the key length requirements would be shifting, and thus it should refer to an external document that is more agile to adopt.</div><div><br></div><div>For example, we say in <span style="color:rgb(41,42,46);font-family:"Atlassian Sans",ui-sans-serif,-apple-system,"system-ui","Segoe UI",Ubuntu,"Helvetica Neue",sans-serif;font-size:14px"> 5.2.2.0 of FAPI 1 Part 1</span></div><ol start="5" style="margin:4px 0px 0px;padding:0px 0px 0px 40px;color:rgb(41,42,46);font-family:"Atlassian Sans",ui-sans-serif,-apple-system,"system-ui","Segoe UI",Ubuntu,"Helvetica Neue",sans-serif"><li style="overflow-wrap: break-word;">shall require and use a key of size 2048 bits or larger for RSA algorithms;</li><li style="margin:0px">shall require and use a key of size 160 bits or larger for elliptic curve algorithms;</li></ol><p style="margin:12px 0px 0px;padding:0px;color:rgb(41,42,46);font-family:"Atlassian Sans",ui-sans-serif,-apple-system,"system-ui","Segoe UI",Ubuntu,"Helvetica Neue",sans-serif">BCP 195 does not give guidance for those key lengths.</p><p style="margin:12px 0px 0px;padding:0px;color:rgb(41,42,46);font-family:"Atlassian Sans",ui-sans-serif,-apple-system,"system-ui","Segoe UI",Ubuntu,"Helvetica Neue",sans-serif">NIST SP 800-57 Part 1: Recommendation for Key Management (General) provides some.</p><p style="margin:12px 0px 0px;padding:0px;color:rgb(41,42,46);font-family:"Atlassian Sans",ui-sans-serif,-apple-system,"system-ui","Segoe UI",Ubuntu,"Helvetica Neue",sans-serif">BSI TR-02102-1 also provides it. </p><div><br></div><div>Please see <a href="https://bitbucket.org/openid/fapi/issues/790/fapi1-iso-iec-25791-1-review-comments">https://bitbucket.org/openid/fapi/issues/790/fapi1-iso-iec-25791-1-review-comments</a> for more details. </div><div><br></div><div>Any guidance would be appreciated. </div><div><br></div><div>Best regards, </div><div><br></div><div>Nat </div></div>