
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">

<div>Correction: the link to the standard should be&nbsp;<a href="https://tools.ietf.org/html/rfc7517#section-4.2">https://tools.ietf.org/html/rfc7517#section-4.2</a>.</div>

<div><br>

</div>

<div>&#8230;by the way:</div>

<ol>

<li>The keystore parser doesn&#8217;t accept anything else other than &#8220;sig&#8221; and &#8220;enc&#8221; for &#8220;use&#8221;, an exception is thrown? That&#8217;s fine if MitreID is not using those but shouldn&#8217;t reject at the parser level as per standard other strings may be present. Well, it could

 be that they are being rejected at higher levels.</li><li>Multiple &#8220;sig&#8221; and &#8220;enc&#8221; can be defined in the keystore and those, stripped of the private elements, are returned by the jwk endpoint.</li></ol>

<div>Regards,</div>

<div>Luiz</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">

<span style="font-weight:bold">From: </span>Luiz Omori &lt;<a href="mailto:luiz.omori@dm.duke.edu">luiz.omori@dm.duke.edu</a>&gt;<br>

<span style="font-weight:bold">Date: </span>Friday, August 28, 2015 at 2:09 PM<br>

<span style="font-weight:bold">To: </span>&quot;<a href="mailto:mitreid-connect@mit.edu">mitreid-connect@mit.edu</a>&quot; &lt;<a href="mailto:mitreid-connect@mit.edu">mitreid-connect@mit.edu</a>&gt;<br>

<span style="font-weight:bold">Subject: </span>Keystore<br>

</div>

<div><br>

</div>

<div>

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0);">

<div style="font-size: 14px; font-family: Calibri, sans-serif;">Hi,</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>

</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;">One minor thing, but that surprisingly is generating quite a few emails internally, is indirectly related to the configuration below (crypto-config.xml):</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>

</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;">

<div><span class="Apple-tab-span" style="white-space:pre"></span>&lt;bean id=&quot;defaultsignerService&quot; class=&quot;org.mitre.jwt.signer.service.impl.DefaultJWTSigningAndValidationService&quot;&gt;</div>

<div><span class="Apple-tab-span" style="white-space:pre"></span>&lt;constructor-arg name=&quot;keyStore&quot; ref=&quot;defaultKeyStore&quot; /&gt;</div>

<div><span class="Apple-tab-span" style="white-space:pre"></span>&lt;property name=&quot;defaultSignerKeyId&quot; value=&quot;rsa1&quot; /&gt;</div>

<div>&nbsp;<span class="Apple-tab-span" style="white-space:pre"> </span>&lt;property name=&quot;defaultSigningAlgorithmName&quot; value=&quot;RS256&quot; /&gt;</div>

<div><span class="Apple-tab-span" style="white-space:pre"></span>&lt;/bean&gt;</div>

</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>

</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;">Question: can &#8220;use&#8221;: &#8220;sig&#8221; (as defined in&nbsp;<a href="https://tools.ietf.org/html/draft-ietf-jose-json-web-key-41">https://tools.ietf.org/html/draft-ietf-jose-json-web-key-41</a>) be used as discriminator

 for the signing key? In other words, why use the key ID and algorithm?</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>

</div>

<div>If multiple keys with &#8220;use&#8221;: &#8220;sig&#8221; may be present, how does the client know which one returned from&nbsp;<span class="sObjectK" id="s-266" style="box-sizing: border-box; font-weight: 700; color: rgb(51, 51, 51); line-height: 22.8571434020996px; widows: 1;">&quot;jwks_uri&quot;</span><span class="sColon" id="s-267" style="box-sizing: border-box; color: rgb(102, 102, 102); line-height: 22.8571434020996px; widows: 1;">:</span><span class="sObjectV" id="s-268" style="box-sizing: border-box; color: rgb(85, 85, 85); line-height: 22.8571434020996px; widows: 1;">&quot;<a href="http://localhost:8080/ldap-openid-connect-server/jwk">http://localhost:8080/ldap-openid-connect-server/jwk</a>&#8221;</span>&nbsp;(from

 well-known endpoint) should be used? We&#8217;ve noticed that that endpoint seems to be returning all keys (we haven&#8217;t tested other private keys but at least for the one used for signing the private modulus is removed, as expected).&nbsp;</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>

</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;">Regards,</div>

<div style="font-size: 14px; font-family: Calibri, sans-serif;">Luiz</div>

</div>

</div>

</span>

</body>

</html>