<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">It is a complicated almost religious discussion.<div><br></div><div>I don't think assertions (SAML, openID) or PKI client Auth are going away any time soon.</div><div><br></div><div>The trust model and technology are slightly disjoint discussions.</div><div><br></div><div>People can use smartcards with self issued certificates and SAML providers can sign assertions with certificates with roots ross certified to specific PKI bridges.</div><div><br></div><div>This is probably more a FIWG discussion.</div><div><br></div><div>That is where the rubber hits the road for the more complicated cross federation issues, when it comes to trust models.</div><div><br></div><div>For certificates vs assertions there is a privacy related issue. &nbsp;Depending on the use case.</div><div>For Defence intelligence and Police credentials there may be no expectation of privacy or anonymity or privacy when your credential is used.</div><div><br></div><div>However many privacy people in the Citizen to Gov use case want to stop correlating identifiers across sites. &nbsp;In some case there is a legal requirement for this.</div><div><br></div><div>I helped start Xcert software (now RSA KeyOn) 12 years ago to work on federated identity issues using PKI client Auth. &nbsp;Why PKI failed in the consumer/internet space is a big topic.</div><div><br></div><div>In the US FICAM anticipates the vast majority of external credentials it will accept to be assertion based.</div><div><br></div><div>I should also mention that u-prove (zero knowledge prrof) cryptography contains elements of both certificates and assertions. &nbsp; I have limited expectations for any short term traction on that however.&nbsp;</div><div><br></div><div>The reality is that the main driving force on the internet is access to API, and attributes. &nbsp; SSO is just something that is going along for the ride.</div><div><br></div><div>The US Gov PIV card deployment needs BAE (SAML attribute query) to retrieve attributes and be useful. &nbsp;(perhaps overstated)</div><div><br></div><div>Lets discuss how you want to separate the issues. &nbsp;If we tackle them all together we will probably get nowhere.</div><div><br></div><div>John B.</div><div><br></div><div><div><div>On 2011-03-14, at 8:08 AM, Rainer Hörbe wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">John, Patrick and I had a discussion about the pros and cons of federation models based on credentials versus assertions. The attached document is a preliminary result with conclusions like<div><div><ul class="MailOutline"><li>PKI and non-PKI federation
models need to be combined in most cases at higher LoA</li><li><span lang="EN-US">To implement a federation an
RFC 3647-style policy is insufficient; A more complete Trust Framework is needed</span></li><li><span lang="EN-US"><font class="Apple-style-span" size="3"><span class="Apple-style-span" style="font-size: 12px;">Whereas the Higher Education sector favors brokered trust, e-Government and Industry prefer the PKI approach. But it is not a question of&nbsp;</span></font></span><font face="Arial"><span id="IDAAZACI" direction="target"><font class="Apple-style-span" size="3"><span class="Apple-style-span" style="font-size: 12px;">one way or the other.</span></font><span class="nbsp1" style="height: 12px; width: 4px; padding-left: 4px;"><font class="Apple-style-span" size="3"><span class="Apple-style-span" style="font-size: 12px;">&nbsp;</span></font></span></span></font></li></ul></div><div><br></div><div>Request for feedback:</div><div>I wonder where this discussion should be homed. FIWG, BCTF and TFMM are related, and it is also an extrakantarian issue. Any interest to take over this discussion? &nbsp;</div><div><br></div><div>- Rainer</div><div></div></div></div><span>&lt;pki vs non-pki.pdf&gt;</span><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div></div></div></div></blockquote></div><br></div></body></html>