A prototype implementation of the OpenID Financial-grade API

Abstract

With the rise of the financial technology (FinTech) industry and the introduction of the Payment Services Directive 2 (PSD 2) [33], banks are moving towards digitization. With this comes the ability for third-party companies and service providers to provide bank account holders their services independently of the banks themselves. For example, one such provider might utilize machine learning to gauge the credit score of a bank account holder based on their transaction history. To provide their services, these third-party providers need to access the bank account holder’s data. Methods such as screen scraping were used to provide this access. However, its insecurity and weaknesses in such a high-stake high-risk environment necessitated a secure alternative. With that in mind, the OpenID Financial-grade API (FAPI) specification describes a hardened version of the OAuth 2.0 Authorization Framework and the OpenID Connect Core 1.0 (OIDC) Authentication Layer. It makes use of several new extensions such as Pushed Authorization Requests (PARs) and Rich Authorization Requests (RARs) as well as JSON Web Signature (JWS) to offer non-repudiation, which is critical should, e.g., a client attempts to refute they ever initiated a payment request. While the first version of the FAPI, namely FAPI 1.0, has been finalized in early 2021, its successor, FAPI 2.0, is still in its infancy. Despite this, the FAPI 2.0 is designed to provide the same strong security guarantees while mitigating attacks on the first version that were discovered [17, 26]. As the specification is still being drafted, it has garnered relatively little public attention. Even so, end-users and developers alike, especially in the FinTech industry, should benefit from a demonstration of this new specification, specifically as a software implementation. This thesis covers the development of a prototype for the FAPI 2.0 with which end-users can simulate the Baseline and Advanced profile flows. Developers can gain insight into the specifics of an example implementation of the profiles.

Mit dem Aufstieg der Finanztechnologiebranche (FinTech) und der Einführung der Payment Services Directive 2 (PSD 2) [33] bewegen sich die Banken in Richtung Digitalisierung. Damit einher geht die Möglichkeit für Drittunternehmen und Dienstleister, Bankkontoinhabern ihre Dienste unabhängig von den Banken selbst anzubieten. Ein solcher Anbieter könnte zum Beispiel maschinelles Lernen nutzen, um die Kreditwürdigkeit eines Kontoinhabers auf Basis seiner Transaktionshistorie zu ermitteln. Um ihre Dienste anbieten zu können, müssen diese Drittanbieter auf die Daten des Kontoinhabers zugreifen, wofür Methoden wie Screen Scraping verwendet wurden. Die Unsicherheit und Schwächen dieses Verfahrens in einer Umgebung mit hohem Risiko erforderten jedoch eine sicherere Alternative. Vor diesem Hintergrund beschreibt die OpenID Financial-grade API (FAPI) Spezifikation eine gehärtete Version des OAuth 2.0 Authorization Frameworks und der OpenID Connect Core 1.0 (OIDC) Authentication Layer. Sie nutzt mehrere neue Erweiterungen wie Pushed Authorization Requests (PARs) und Rich Authorization Requests (RARs). Um Non-Repudiation zu bieten, können JSON Web Signatures (JWS), was notwendig ist, wenn z. B. ein Client versucht, zu widerlegen, dass er jemals eine Zahlungsanfrage initiiert hat. Während die erste Version der FAPI, nämlich FAPI 1.0, Anfang 2021 fertiggestellt wurde, steckt ihr Nachfolger, FAPI 2.0, noch in den Kinderschuhen. Trotzdem soll die FAPI 2.0 die gleichen starken Sicherheitsgarantien bieten und gleichzeitig Angriffe auf die erste Version abwehren, die entdeckt wurden [18, 26]. Da sich die Spezifikation noch in der Entwurfsphase befindet, hat sie bisher relativ wenig öffentliche Aufmerksamkeit erregt. Dennoch sollten sowohl Endbenutzer als auch Entwickler, insbesondere in der FinTech-Branche, von einer Demonstration dieser neuen Spezifikation profitieren, insbesondere in Form einer Softwareimplementierung. Diese Arbeit umfasst die Entwicklung eines Prototyps für die FAPI 2.0, mit dem Endbenutzer die Baseline- und Advanced-Profile-Flows simulieren können. Entwickler können einen Einblick in die Spezifika einer Beispielimplementierung der Profile erhalten.