<div dir="ltr">Hi all,<div><br></div><div>In a discussion last week, the issue of perceived complexity of the Shared Signals Framework came up, and one question within that was whether SSF allows SETs to be unsigned. Section 11.1.8.1 of the <a href="https://github.com/openid/sharedsignals/blob/main/openid-sharedsignals-framework-1_0.txt">SSF spec</a> does not specify that the SETs should be signed, and the <a href="https://www.rfc-editor.org/rfc/rfc8417.html#section-5.1">SET spec</a> (section 5.1) also says that "Unless integrity of the JWT is ensured by other means, it MUST be signed using JWS [RFC7515] by an issuer that is trusted to do so for the use case so that the SET can be authenticated and validated by the SET recipient."</div><div><div><br></div><div>So since the DELIVERYPUSH and DELIVERYPOLL methods offer integrity protection, neither of the specs require SETs to be signed. </div><div><br></div><div>Is my understanding correct?</div></div><div><br></div><div>Thanks,</div><div>Atul</div><div><br></div></div>