<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="&#1;" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:1577547849;
        mso-list-template-ids:-637392310;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple style='word-wrap: break-word;-webkit-nbsp-mode: space;-webkit-line-break: after-white-space'><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Absolutely correct – BAE is technology-neutral, in fact.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Bucci, Debbie (NIH/CIT) [E] <br><b>Sent:</b> Monday, March 14, 2011 1:45 PM<br><b>To:</b> 've7jtb@ve7jtb.com'; 'pharding@pingidentity.com'<br><b>Cc:</b> 'dg-bctf@kantarainitiative.org'; 'WG-FI@kantarainitiative.org'; 'patrick.curry@federatedbusiness.org'; 'LC@kantarainitiative.org'<br><b>Subject:</b> Re: [WG-FI] PKI vs Non-PKI based trust models<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'>There is room for both front and back end attribute release mechanisms.<br><br>I do not think the BAE is exclusively PIV only.</span><o:p></o:p></p></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><div class=MsoNormal align=center style='text-align:center'><hr size=2 width="100%" align=center></div><p class=MsoNormal style='margin-bottom:12.0pt'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>: wg-fi-bounces@kantarainitiative.org &lt;wg-fi-bounces@kantarainitiative.org&gt; <br><b>To</b>: Patrick Harding &lt;pharding@pingidentity.com&gt; <br><b>Cc</b>: dg-bctf@kantarainitiative.org &lt;dg-bctf@kantarainitiative.org&gt;; FI WG &lt;WG-FI@kantarainitiative.org&gt;; Curry Patrick &lt;patrick.curry@federatedbusiness.org&gt;; Kantara Leadership Council Kantara &lt;LC@kantarainitiative.org&gt; <br><b>Sent</b>: Mon Mar 14 13:27:45 2011<br><b>Subject</b>: Re: [WG-FI] PKI vs Non-PKI based trust models </span><o:p></o:p></p></div><p class=MsoNormal>Yes that is a popular solution inside Enterprises and some Gov.<o:p></o:p></p><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>The problem is scalability and user consent. &nbsp; &nbsp;In the US PIV BAE case the permission to make a SAML query on the &nbsp;identifier (FASC-N) in the certificate is on a agency by agency basis. &nbsp; There is no way for the owner agency to know if the requester needs the info of if the user is asking for access. &nbsp;&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>Given the high level of trust between agencies, &nbsp;they tend not make info available. &nbsp; The problem is as the distance between the parties gets larger, releasing information without some sort of user confirmation becomes more problematic. &nbsp;&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>In those cases we have discussed using SAML Holder of Key between organizations to be able to provide more control over attribute release while maintaining the security of the session binding to the card keys.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>There are multiple approaches.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>John B.<o:p></o:p></p><div><div><p class=MsoNormal>On 2011-03-14, at 11:47 AM, Patrick Harding wrote:<o:p></o:p></p></div><p class=MsoNormal><br><br><o:p></o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'>+1<br><br>We have a number of customers who use PKI (for AuthN) in combination with SAML (for AuthZ). SAML is used to move user attributes from the IdP to the SP to allow the SP to make authorization decisions. These attributes are stored in a Directory at the IdP rather than being 'baked into' the users certificate. The main reason seems to be an expectation that these attributes will change much more often than the users certificate will be renewed. (And yes in this context SAML Assertions do start to sound an awful lot like 'attribute certiicates').<o:p></o:p></p><div><p class=MsoNormal>On Mon, Mar 14, 2011 at 10:50 AM, John Bradley &lt;<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>&gt; wrote:<o:p></o:p></p><div><p class=MsoNormal>It is a complicated almost religious discussion.<o:p></o:p></p><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>I don't think assertions (SAML, openID) or PKI client Auth are going away any time soon.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>The trust model and technology are slightly disjoint discussions.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>People can use smartcards with self issued certificates and SAML providers can sign assertions with certificates with roots ross certified to specific PKI bridges.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>This is probably more a FIWG discussion.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>That is where the rubber hits the road for the more complicated cross federation issues, when it comes to trust models.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>For certificates vs assertions there is a privacy related issue. &nbsp;Depending on the use case.<o:p></o:p></p></div><div><p class=MsoNormal>For Defence intelligence and Police credentials there may be no expectation of privacy or anonymity or privacy when your credential is used.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>However many privacy people in the Citizen to Gov use case want to stop correlating identifiers across sites. &nbsp;In some case there is a legal requirement for this.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>I helped start Xcert software (now RSA KeyOn) 12 years ago to work on federated identity issues using PKI client Auth. &nbsp;Why PKI failed in the consumer/internet space is a big topic.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>In the US FICAM anticipates the vast majority of external credentials it will accept to be assertion based.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>I should also mention that u-prove (zero knowledge prrof) cryptography contains elements of both certificates and assertions. &nbsp; I have limited expectations for any short term traction on that however.&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>The reality is that the main driving force on the internet is access to API, and attributes. &nbsp; SSO is just something that is going along for the ride.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>The US Gov PIV card deployment needs BAE (SAML attribute query) to retrieve attributes and be useful. &nbsp;(perhaps overstated)<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>Lets discuss how you want to separate the issues. &nbsp;If we tackle them all together we will probably get nowhere.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>John B.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><div><div><div><div><p class=MsoNormal>On 2011-03-14, at 8:08 AM, Rainer Hörbe wrote:<o:p></o:p></p></div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><div><p class=MsoNormal>John, Patrick and I had a discussion about the pros and cons of federation models based on credentials versus assertions. The attached document is a preliminary result with conclusions like<o:p></o:p></p><div><div><ul type=disc><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1'>PKI and non-PKI federation models need to be combined in most cases at higher LoA<o:p></o:p></li><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1'>To implement a federation an RFC 3647-style policy is insufficient; A more complete Trust Framework is needed<o:p></o:p></li><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1'><span style='font-size:9.0pt'>Whereas the Higher Education sector favors brokered trust, e-Government and Industry prefer the PKI approach. But it is not a question of&nbsp;</span><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'>one way or the other.&nbsp;</span><o:p></o:p></li></ul></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>Request for feedback:<o:p></o:p></p></div><div><p class=MsoNormal>I wonder where this discussion should be homed. FIWG, BCTF and TFMM are related, and it is also an extrakantarian issue. Any interest to take over this discussion? &nbsp;<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>- Rainer<o:p></o:p></p></div></div></div></div></div><p class=MsoNormal>&lt;pki vs non-pki.pdf&gt;<o:p></o:p></p></blockquote></div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><br>_______________________________________________<br>WG-FI mailing list<br><a href="mailto:WG-FI@kantarainitiative.org">WG-FI@kantarainitiative.org</a><br><a href="http://kantarainitiative.org/mailman/listinfo/wg-fi" target="_blank">http://kantarainitiative.org/mailman/listinfo/wg-fi</a><o:p></o:p></p></div><p class=MsoNormal><br><br clear=all><br>-- <br><b><span style='font-size:9.0pt;font-family:"Tahoma","sans-serif";color:#343634'>Patrick Harding</span></b><span style='font-size:9.0pt;font-family:"Tahoma","sans-serif";color:#343634'>&nbsp; |&nbsp;&nbsp;CTO</span><span style='font-size:10.0pt;font-family:"Verdana","sans-serif"'><br></span><b><span style='font-size:8.5pt;font-family:"Tahoma","sans-serif";color:#343634'>Ping</span></b><b><span style='font-size:8.5pt;font-family:"Tahoma","sans-serif";color:#E71939'>Identity</span></b><span style='font-size:8.5pt;font-family:"Arial","sans-serif"'>&nbsp;&nbsp;|&nbsp;&nbsp; <a href="http://www.pingidentity.com/" target="_blank">www.pingidentity.com</a><br>- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br><b><span style='color:#005568'>O:</span></b> <span style='color:#343634'>+1 781.373.4859</span> &nbsp; <b><span style='color:#005568'>M:</span></b> <span style='color:#343634'>+1 617.304.0659</span><br><b><span style='color:#005568'>Email:</span></b> <a href="mailto:pharding@pingidentity.com" target="_blank">pharding@pingidentity.com</a><br>- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<o:p></o:p></span></p><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0><tr><td nowrap valign=top style='padding:0in 0in 0in 0in'><div><p class=MsoNormal><b><span style='font-size:8.5pt;font-family:"Arial","sans-serif";color:#005568'>Connect with Ping</span></b><span style='font-size:8.5pt;font-family:"Arial","sans-serif"'><br><span style='color:black'>Twitter: @pingnewsflash</span><br><span style='color:black'>LinkedIn Group: Ping's Identity Cloud</span> &nbsp; &nbsp;<br><span style='color:black'><a href="http://Facebook.com/pingidentitypage">Facebook.com/pingidentitypage</a></span> </span><o:p></o:p></p></div></td><td nowrap valign=top style='padding:0in 0in 0in 0in'><div style='margin-left:15.0pt'><p class=MsoNormal><b><span style='font-size:8.5pt;font-family:"Arial","sans-serif";color:#005568'>Connect with me</span></b><span style='font-size:8.5pt;font-family:"Arial","sans-serif"'><br><span style='color:black'>Twitter: @pingcto</span><br><span style='color:black'><a href="http://LinkedIn.com/in/patrickharding">LinkedIn.com/in/patrickharding</a></span> </span><o:p></o:p></p></div></td></tr></table><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div></div></body></html>