<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Aug 14, 2015 at 11:07 AM, Mansour Moufid <span dir="ltr"><<a href="mailto:mansourmoufid@gmail.com" target="_blank">mansourmoufid@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Key ID is interesting for another reason: it's an indicator of an<br>
outdated methodology</blockquote><div><br></div><div>KIDs are definitely not an "outdated methodology" for a lot of use cases. JOSE is a expansive, comprehensive standard that's trying to cover many use cases (which is probably a bad idea, but I digress). For replacing something like CMS in an infrastructural / service-to-service use case, you definitely want to record the key used to encrypt a particular message. The same goes for things like encrypted bearer tokens (i.e. JWT)</div></div><div><br></div><div>When you're talking about person-to-person messaging though, clearly there are other, better options which don't involve publicly revealing a personally identifiable KID.</div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>