idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2024 年 5 月)

執筆日: 2026-05-21(遡及執筆) この記事は 2024 年 5 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、IETF SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。所掌の主力仕様は OpenID for Verifiable Credential Issuance (OID4VCI)OpenID for Verifiable Presentations (OID4VP)Self-Issued OpenID Provider v2 (SIOPv2) の 3 本。共同議長は Kristina Yasuda、Joseph Heenan、Torsten Lodderstedt の 3 名体制。

2024 年 5 月は WG 発足(2023 年 8 月)から約 9 か月目に位置する。本月は APAC 友好枠 = 火曜 PST middayEU 友好枠 = 木曜 PST 8am / 5pm CEST の 2 系統の定例コール(DCP WG + SIOP call 名義)を週次で運用しつつ、月末 Identiverse 2024(5/28-31, Las Vegas)期間中の 5/29 に ARIA Resort(Bluethorne 8 ルーム)で 3 時間のハイブリッドコールを開催する形で進行した。所掌仕様(OID4VP / OID4VCI / SIOPv2)の開発は AB/Connect 配下の GitHub リポジトリ(openid/OpenID4VP, openid/OpenID4VCI, openid/SIOPv2, openid/oid4vc-haip-sd-jwt-vc)で続いている。

5 月の本月の主軸テーマは以下のとおり。

  • 新クエリ言語提案の初公開 (OID4VP Issue #178): Daniel Fett が 5/21 に「Proposal for new query language」を起票し、Presentation Exchange v2 の代替となる新クエリ言語の最初の具体構文案(SD-JWT VC / mDoc 双方を扱う credentials オブジェクトと claims パスベース要求)を公開。複数 credential の AND / OR 要求、ネスト構造、format-specific パラメータの設計が示された
  • Transaction Data メカニズムの 4 Issue 分解 (OID4VP): Kristina Yasuda が 5/14 に Issue #172 / #173 / #174 を起票し、transaction_data を「Presentation Request 内の格納位置 / エンコード方式 / Response 内の格納位置」の 3 軸に分解。さらに先月(4 月)起票の Issue #168 と合わせて、後の PR #197(6/18 起票・10/21 merge)の論点整理の前提を形成
  • CWT Proof Type 削除提案 (OID4VCI Issue #320): Oliver Terbu (awoie) が 5/14 に起票し、「CWT proof のエンコード(base64url of COSE_Sign1 か)が完全には規定されておらず、ほぼ実装者がいない」「JWT proof と並存させる積極的な動機が見出せない」と削除を提案。Takahiko Kawasaki が POTENTIAL Interop Event Track 1 での CWT 利用を提示するなど、削除可否の根拠を巡る活発な議論が始まった(最終削除は 8/2 の PR #369 にて)
  • c_nonce 必須性論争の本格化 (OID4VCI Issue #331): 5/27 に awoie が起票。Section 7.2 が「MUST incorporate ... a c_nonce」と書く一方、proof 内の nonce が OPTIONAL と規定されている矛盾を指摘。本月内に awoie / Sakurann / bc-pi らの間で 8 件の主要コメントが交わされ(最終的にこの Issue は通算 35 コメントを超える長期議論となる)、後の WG ラフコンセンサス(Token Endpoint からの c_nonce 除去と専用 Nonce Endpoint 新設)の出発点となった
  • PR #293 "rework credential and batch credential endpoint" の議論加速: Paul Bastian 起票(4/15 起票)。Credential Endpoint に proofs[] 配列を導入し、同一データセットの複数 credential を 1 リクエストで発行可能にする基盤的変更。5/7 APAC / 5/14 APAC / 5/16 EU 等のコールでレビューが進み、6/12 merge に向け収束した
  • Concept and Terminology Cleanup Part 1 (PR #155) merge: Daniel Fett 起票の用語整理 PR が 5/7 に merge され、「Credential」を主要用語として採用しつつ「instance of Credential」を batch issuance 説明に併用する方針が反映された
  • Identiverse 2024 ハイブリッドコール(5/29)の開催: 18 名参加(うち Visa の Ranjiva Prasad が対面参加)の 3 時間枠で、(1) W3C Digital Credentials API プロファイル化(w3c_dc_api / w3c_dc_api.jwt 新 response mode 導入)、(2) Transaction Data の option 2b = signed hash 採用、(3) Wallet Authenticity の three-party model 維持を巡る John Bradley の慎重論、(4) Credential Configuration ID を scope ベース flow でも使えるようにする方向、(5) c_nonce の DPoP nonce 類似モデルへの整合、を議論
  • EMV SCA Flow vs OAuth ベース Payment Authorization の問題提起 (OID4VP Issue #180): Anders Rundgren (cyberphone) が 5/24 起票。EMV / Apple Pay 等の伝統的決済認証フローが「単純で stateless」「multi-phase 取引対応」「PII 暗号化必須」など、OID4VP の transaction_data 設計と前提が大きく異なることを指摘。後の Issue #188「Payment を別 super project に分離」(6/1 起票)の伏線
  • Application-layer Credential Request 暗号化提起 (OID4VCI Issue #339): Gareth Oliver が 5/31 起票。Wallet Server を介する architecture では、device key の AS への露出が RP との結託による追跡可能性を生むため、Credential Request の application-layer 暗号化が必要と主張。HAIP 系の wallet-backend モデルへのプライバシー要件提起
  • OID4VP Browser API Extension の Presentation Definition 関連論点 (OID4VP Issue #182): Kristina Yasuda が 5/28 起票。Browser API では platform がどの credential を要求しているか判断するため presentation_definition_uri ではなく presentation_definition 本体が必要となる制約と、trust framework での RP 認可整合の課題を切り出し

5 月の本 WG 定例コールとしては、APAC 友好枠 5/7(議事録 000302、Paul Bastian)・APAC 友好枠 5/14(議事録 000317、Sebastien Bahloul)・EU 友好枠 5/16(議事録 000315、Joseph Heenan)・5/23 EU 友好枠(議事録 000337、Juba Saadi、本文はマークダウン添付)・Identiverse Hybrid 5/29(議事録 000356、Christian Bormann、配信は 5/30)の計 5 回が ML アーカイブから確認できる。5/21 APAC 友好枠 / 5/28 APAC 友好枠 / 5/30 EU 友好枠の通常コールは Identiverse 開催に伴いキャンセルされた(5/21 週の連絡 000328000335 で Kristina Yasuda がカレンダー予定の取り消しを連続案内)。同時に 6/4 / 6/6 の通常コールも EIC 2024(6/4-7, Berlin)開催に伴いキャンセルされる旨が告知された。

2. 公開された仕様・ドラフト改訂

DCP WG は 2024 年 5 月時点で新規 Implementer's Draft や Final 仕様の OIDF 公式公開を行っていない。所掌仕様(OID4VP / OID4VCI / SIOPv2)は AB/Connect 配下の GitHub リポジトリで Editor's Draft が継続的に更新されている段階で、月内の主たる動きは GitHub 上の PR merge による Editor's Draft 改訂である。

OID4VCI リポジトリ: 5 月にマージされた PR

openid/OpenID4VCI リポジトリで 5 月にマージされた PR は 6 件

PRタイトルマージ日著者
#155Concept and Terminology Cleanup, Part 15/7danielfett
#299In 4VCI the Credential Issuer is an RS (not an AS)5/2bc-pi
#307Change working group to DCP5/7jogu
#314remove use of the authorization_pending and slow_down error codes5/17bc-pi
#319clarify batch endpoint encryption5/28c2bo
#321Add support for a credential denial error5/27thereisnogabe

PR #155: Concept and Terminology Cleanup, Part 1(5/7 merge)

Daniel Fett 起票。OID4VCI の用語整理 PR。「Credential」を主要用語として採用しつつ、batch issuance 説明では「instance of Credential」を併用する方針で 5/7 APAC コールにて確認の上 merge(議事録 000302 より)。後続の PR #293(Credential Endpoint 再設計)が乗る用語基盤となった。

PR #299: Credential Issuer は RS であり AS ではない(5/2 merge)

Brian Campbell(bc-pi)起票。OID4VCI における Credential Issuer の役割は OAuth 2.0 用語での Resource Server (RS) であって Authorization Server (AS) ではない、と明確化する editorial 修正。Issue #311(peppelinux 起票、5/2)で「AS と RS が同一エンティティの場合・別エンティティの場合の説明追加」の派生 issue が、Issue #309(Sakurann 起票、5/2)で「Credential Issuer が AS としても振る舞う可能性の明記」の派生 issue が起票され、本 PR が議論の出発点となった。

PR #307: WG 名称を DCP へ変更(5/7 merge)

jogu 起票。spec front matter の workgroup 表示を「Web Authentication」等の旧称から正式に 「Digital Credentials Protocols」 に変更する一行修正。WG 発足から 9 か月で公的なメタ情報が正規化された。

PR #314: authorization_pending / slow_down エラーコード削除(5/17 merge)

bc-pi 起票、Issue #60 解決。OAuth 2.0 Device Authorization Grant (RFC 8628) 由来のエラーコード authorization_pending / slow_down を OID4VCI から削除する破壊的変更。OID4VCI の token endpoint は device grant のような polling パターンを採用しないため不要 という整理。

PR #319: Batch Endpoint の暗号化明確化(5/28 merge)

c2bo 起票、Issue #286 の batch endpoint 部分の解決。Credential Endpoint の credential_response_encryption を Batch Credential Endpoint にも適用する範囲を明示する editorial。なお後の月(6 月)に Joseph Heenan が Batch Credential Endpoint そのものの廃止を提案することになり、本 PR の整備は短期間で部分的に無効化される運命にあった。

PR #321: Credential Denial エラー追加(5/27 merge)

Gabe(thereisnogabe)起票。Issuer が「リクエスト自体は妥当だが credential を発行しない」を返したいケース(例: 与信判断の結果 NG)に対応するエラーコードを追加。issuer の発行拒否権を仕様に明記する小さいが意味のある変更。

OID4VP リポジトリ: 5 月にマージされた PR

openid/OpenID4VP リポジトリで 5 月にマージされた PR は 3 件。VCI に比べ低調だが、5/29 Identiverse コールに向けた論点切り出し(Issue 起票)が多い月だった。

PRタイトルマージ日著者
#163Remove 'Examples' from title of Appendix A5/8jogu
#167change MAY to can to clarify relationship with rfc67495/9Sakurann
#179fix annoncreds vp_token example reference typo5/27nemqe

起票され議論された主要 PR / Issue(未マージのまま 5 月を終えたもの)

Issue #178 OID4VP: 新クエリ言語の提案(5/21 起票)

Daniel Fett 起票(Issue #157 / #160 / #161 / #162 関連)。Presentation Exchange v2 の代替となる新クエリ言語の 最初の具体構文案credentials オブジェクト下に identifier ごとの credential 要求を記述し、format 指定と format-specific パラメータ(SD-JWT VC では vct / alg_values、mDoc では doctype / namespace)を併記。claims 配列内で path ベースの選択的開示要求を行う設計が提示された。

主要やり取り(5 月内):

  • Tobias Looker (tplooker, 5/28): アルゴリズム交渉(algorithm negotiation per credential request)に依然反対。先行 Issue #136 でのコメントを再掲し、wallet-issuer 間の事前 metadata 交換で十分との立場
  • Daniel Fett の応答: 各 claim object が polymorphic(単純な path 要求と複合要求 required: N, from: [...] の和集合)になる設計トレードオフを TypeScript 型表現で説明
  • 5/29 Identiverse コール後の議論で、Issue #157 の要件リスト・use case リストへの整合が継続論点に

本 Issue は 7/25 の PR #220(Approach 1)の起点となる。

Issue #172 / #173 / #174 OID4VP: Transaction Data の 3 軸分解(5/14 起票)

Kristina Yasuda 起票:

  • #172: Presentation Request 内のどこに transaction_data オブジェクトを置くか
  • #173: Presentation Request 内で transaction_data をどうエンコードするか
  • #174: Response 内のどこに transaction_data を含めるか

5/16 EU 友好枠コールで「format specifications の stability と non-repudiation を巡る議論」「base64url エンコード vs hashing アプローチ」を経て、これら 4 つ(先行の Issue #168 含む)に分解する整理が確定。新 credential format を作る案ではなく、既存 VP に補助構造として組み込む方針が EU QTSP(Qualified Trust Service Provider)の要件を念頭に採用された。

Issue #320 OID4VCI: CWT Proof Type の削除提案(5/14 起票)

Oliver Terbu (awoie) 起票。CWT proof type の削除を提案。

主要やり取り(5 月内):

  • babisRoutis (5/17): 「Totally agree」と全面同意
  • Takahiko Kawasaki (5/23): POTENTIAL Interop Event Track 1 の Light Profile が CWT Key Proof を実装することを LSP_POTENTIAL_Interop-Event_Description_Track1_v5.pdf の "IV. Parameter specification" 節をもって反論。「proof_types_supported value が cwt」と仕様内に明記されている
  • Paul Bastian (5/23): 当初「ISO ドキュメントも POTENTIAL ドキュメントも cwt に言及していない」と反論、その直後に「seem to be wrong... No clue how that got in there」と訂正。ISO 仕様は jwt / cwt の選択を明示せず例示は jwt と確認
  • Brian Campbell (bc-pi, 5/23): 「CWT proof のあいまいさは、binary 構造を Credential Request JSON に文字列として含める方法が OID4VCI に規定されていない点にある」と指摘。Takahiko の「hexadecimal encoding が CBOR 標準」との応答に対し、JSON envelope への埋め込み形式の不在を改めて指摘

本 Issue は本月内には決着せず、最終的に 7/23 ML での Kristina の削除提案 → 8/2 PR #369 merge に至る長期 issue の出発点となった。

Issue #331 OID4VCI: c_nonce は proof で必須か(5/27 起票)

Oliver Terbu (awoie) 起票。本月最後の週 (5/27-31) に集中的なコメント (約 8 件) が付いた論点。仕様 7.2 節「The proof element MUST incorporate the Credential Issuer Identifier (audience), and a c_nonce value generated by the Authorization Server or the Credential Issuer」が c_nonce を MUST と読めるのに対し、proof 内の nonce claim は OPTIONAL と規定されている矛盾を指摘。

主要やり取り(5 月内):

  • awoie (5/27): 「Assuming it is NOT required」のテキスト改訂案 2 種("and if provided a c_nonce" / "and a nonce value if a c_nonce value was provided")を提示
  • Sakurann (5/27): 「c_nonce は現状 mandatory な意図(token endpoint または credential endpoint のエラー応答で必ず提供)」と認識を示しつつ、「ある実装者は c_nonce 実装のハードルが高く、proof に at_hash を入れて replay 防止と同等効果を達成する迂回実装をしていた」と現実を共有
  • awoie (5/27): 「ではなぜ proof 内の nonce が OPTIONAL なのか」と矛盾を再強調

本 Issue は 6 月以降の WG ラフコンセンサス形成(Token Endpoint からの c_nonce 除去と専用 Nonce Endpoint 新設)に発展し、最終的に PR #381(8/27 起票・10/8 merge)で解決される長期論点の出発点となった。

Issue #339 OID4VCI: Credential Request の application-layer 暗号化(5/31 起票)

Gareth Oliver 起票。Wallet と Issuer の間に Wallet Server を挟むアーキテクチャ では、mDoc の device key を AS が見ると RP と結託して presentations を追跡可能になる点を指摘。Credential Request の application-layer 暗号化と単発 MSO 利用により、追跡可能性を issuer-RP 結託に限定できると主張。HAIP / wallet-backend モデル前提のプライバシー要件提起であり、後の月(2024-10 / 2025-04 / 2025-05)に WG で本格議論される長期 Issue の起点。

Issue #180 OID4VP: EMV SCA Flow と OAuth ベース Payment Authorization の対比(5/24 起票)

Anders Rundgren (cyberphone) 起票。EMV / Apple Pay 等の伝統的決済認証フローの設計原理(stateless / multi-phase / アカウントベース / PII 暗号化)が、OID4VP の transaction_data 設計と前提が大きく異なることを問題提起。「Merchant は OAuth スコープでカバーされない追加エンティティである」と OAuth ベース統合の限界を指摘。

主要やり取り(5 月内):

  • Sakurann (5/28): 「提案は全 11 ステップを OAuth / wallet ベースに置き換えるものではなく、step 2-5 のユーザ識別・認可取得部分に OpenID4VP + transaction_data を使う狭い適用」と読み替え。digitallabor-berlin/eudiw-sca の参照仕様を提示
  • cyberphone (5/28 / 5/30): 「提示された仕様は EMV 標準(約 30 年前)と比較してプロトコルステップが 2 倍、機能性は半分」と反論。defensive-publications/emv-data-enhancement.pdf を提示

本 Issue は 6/1 起票の Issue #188「Make payment-authorization a separate super project」の伏線となり、cyberphone は 6 月以降「Payment 分離プロジェクト」論を継続展開する。

Issue #182 OID4VP: Browser API での presentation_definition_uri 省略(5/28 起票)

Kristina Yasuda 起票。David Chadwick の PR #155(W3C Digital Credentials API プロファイル)の議論コメント(discussion_r1579730768)を独立 Issue 化。Browser API では platform が「どの credential が要求されているか」を判断して適切な wallet を選択する必要があるため presentation_definition_uri ではなく presentation_definition 本体が必要となる制約と、trust framework が RP の「許可された PD URI」を保持して wallet が照合するモデルとの整合性問題を切り出した。RP に PD と PD URI 双方を指定させる 解決案を Chadwick が提示。

OID4VP / OID4VCI: その他 5 月に起票された注目 Issue

OID4VP

  • #166 — jogu, 5/3, 「Wallet should not return credentials where the signature has expired」(5/2 WG コール議論を受けた整理。例: SD-JWT の exp 経過 credential を返すべきでない)
  • #168 — Sakurann, 5/7, transaction data の type 値と type 固有内容の定義場所
  • #169 — Sakurann, 5/7, OID4VP 側でも credential format identifier / format を明示的に定義
  • #170 — awoie, 5/8, 他仕様が OID4VP のプロファイルを定義する場合のガイドライン
  • #171 — awoie, 5/14, OID4VP パラメータを VP に規範的に carry over する方法定義
  • #176 — yaromin, 5/16, response encryption key の記載位置を新パラメータ列挙の外に
  • #177 — yaromin, 5/16, wallet がサポートする client identifier scheme の判定可能性
  • #185 — cre8, 5/29, stapling 情報(OCSP / Bitstring Status List)の VP 内取り扱い
  • #187 — cyberphone, 5/31, QES for payment authorizations(Issue #180 / #188 の連動)

OID4VCI

  • #309 — Sakurann, 5/2, AS が Issuer も兼ねるケースの明記(PR #299 から派生)
  • #310 — peppelinux, 5/2, credential_definition.credentialSubject.value_types の詳細仕様
  • #311 — peppelinux, 5/2, AS と RS が同一 / 別エンティティの場合の editorials
  • #312 — paulbastian, 5/3, Scope と Authorization Details の optionality 明確化
  • #313 — andprian, 5/6, Credential Endpoint への同一 AT 複数リクエスト時の挙動(同一 credential 返却 / 新規生成 / 拒否のいずれか)
  • #315 — sschulz-t, 5/7, Credential Issuer Metadata のネスト構造と display プロパティ
  • #316 — sschulz-t, 5/7, Credential Issuer Metadata の例が誤って W3C credential を示している
  • #324 — awoie, 5/21, 暗号化された credential response 内の鍵の明確化
  • #327 — timcappalli, 5/26, IETF SD-JWT VC の Credential Response 例の欠落
  • #328 — timcappalli, 5/26, ISO mDL の Credential Response 例の欠落
  • #337 — Sakurann, 5/28, 暗号化リクエスト / 暗号化レスポンスの追加例ペアの要請
  • #338 — awoie, 5/28, client auth なし token request 例で client_id 欠落

3. ミーティングと議論

5 月の DCP WG コールは月後半が Identiverse 2024(5/28-31)開催によりキャンセルされた関係で前半に集中した。本月の決定の多くは 5/16 EU 友好枠コールおよび 5/29 Identiverse Hybrid コールで形成された。

3-1. 2024-05-02 EU 友好枠コール(議事録: Jan Vereecken 000294

参加者 18 名。主要議題:

  • 4/30 APAC コール recap: Batch mdoc issuance の Interop Event 候補、transaction data の payment authorization 文脈での議論を共有
  • Credential Response Encryption (Issue #286): Credential Endpoint には credential_response_encryption が既に存在するが、batch / deferred endpoint には未規定。Oliver Terbu が「ISO WG4 要件」と位置づけ、Brian Campbell と John Bradley が実用性を議論
  • PE Requirements 関連 Issue:
    • #159(verifier と wallet 間の credential 検証責任分担): 限定的支持
    • #160(free-form text の Presentation Request 要素): 「OAuth WG で常に却下されてきたパターン」として Joseph が拒否
    • #161(credential 横断の claim consistency): 「運用経験がまだ少ない」として John Bradley が一旦保留
    • #158: 「payload claims のみクエリ可能・header はクエリ不可」を明確化する提案
    • #64(JWT critical headers): 議論継続
  • PR #299: merge 承認、follow-up clarification issue(後の Issue #309 等)への分岐を許容

3-2. 2024-04-30 APAC 友好枠コール(議事録: Tobias Looker 000295, 5/2 配信)

参加者: Joseph Heenan, Daniel Fett, Torsten Lodderstedt, Oliver Terbu, Christian Bormann, Tim Cappalli, Sudesha Shetty, Mike Jones, Brian Campbell, Victor Lu, Gabe, Ryan Galluzzo, David Waite。

5 月の文脈に直接影響する論点として:

  • LSP Interop Event Updates: Oliver が VCI metadata track 1 提案を提示。「lite」(現行 OID4VCI 整合)と「full」(MSO による部分 claim 返却を試験)の 2 credential profile を議論。Tobias は「形式分割ではなく、credential request 内の追加パラメータで MSO 返却を制御」を提案
  • Transaction Authorization: Mike が cross-device flow での sensitive transaction data 露出のプライバシー懸念を提起。Torsten が PR #59 merge により利用可能になった request encryption を使う payment confirmation 例を walkthrough。CSS(Cloud Signature Consortium)標準との eIDAS 適合性議論
  • Mandatory Features (Issue #157): Kristina が post-IIW 更新で再提示。コンセンサスが得られていないトピックに対し Issue #158-#162 の 5 件を分岐。Mike が「問題提起の明確化」を要請
  • Issue #162: Joseph「実装者支持は十分」、Tobias「relying party のトレードオフへの実装ガイダンスを精査すべき」、Torsten「複数 credential 要求は UX 向上に有用」

3-3. 2024-05-07 APAC 友好枠コール(議事録: Paul Bastian 000302

参加者: Paul Bastian, Kristina Yasuda, Joseph Heenan, Daniel Fett, Brian Campbell, Michael Jones, Oliver Terbu, Christian Bormann, Tobias Looker, Sebastian Bahloul。

主要議題と決定:

  • OID4VCI Terminology & PR #155: 「Credential」を主要用語、batch issuance 説明では「instance of Credential」を併用する方向で合意。PR #155 は本コール後 merge
  • Batch Credential Issuance (PR #293): 更新後 terminology に基づく提案レビュー。Positive feedback を確認。proof object の重複排除に向け「cnf-like mechanism」を実装する方向性
  • Client Metadata (OpenID4VP Issue #17): DCR(Dynamic Client Registration)由来パラメータの非適用懸念。Metadata が署名されるべきか、複数メカニズムにまたがる parameter sourcing の明確化が議題
  • Query Language Evolution: Daniel Fett が「format specifications followed by format-specific values」「vp_tokenpresentation_submission の概念統合」を含む共同作業を提示。n of m credentials / claims 要求の複雑な例も提示。後の Issue #178(5/21 起票)の先行プレビュー
  • Upcoming Events: Kristina が Identiverse での hybrid DCP セッション開催を志願。EIC / DICE 等の他カンファレンスも言及

3-4. 2024-05-14 APAC 友好枠コール(議事録: Sebastien Bahloul 000317

参加者 13 名: Brian Campbell, Christian Bormann, Daniel Buchner, Joseph Heenan, Kristina Yasuda, Michael Jones, Oliver Terbu, Paul Bastian, Sebastien Bahloul ほか。

主要議題と決定:

  • OpenID4VCI Updates: Paul Bastian が terminology PR の merge と PR #293(credentials proofs structure rework)を計画として共有。Media types / request types に関する Orie / Tobias / Joseph の議論
  • W3C FedID Working Group: 「4 名の OIDF 代表が invited experts として参加」「3 つの DCP chair 席のうち 1 席が vacant」と共有
  • OpenID4VP Implementer's Drafts: ID1 → ID2 移行か ID3 待ちかの議論。ID3 のブロッカーは (1) クエリ言語決着、(2) Browser API での wallet metadata negotiation、(3) client_id_scheme セキュリティ懸念、(4) SD-JWT normative annex 完了。Kristina「ID3 はすぐには出ない」と明示し、ID2 が現状の conformance testing 推奨版 と位置づけ
  • VP Transaction Data (Issue #156): stability と non-repudiation の format 規定を巡る議論。base64url エンコード vs hashing アプローチ。新 credential format を作る案ではなく、Issue #168 / #172 / #173 / #174 に分解する整理(EU QTSP 要件影響)

3-5. 2024-05-16 EU 友好枠コール(議事録: Joseph Heenan 000315

参加者: Joseph Heenan, Kristina Yasuda, Daniel Fett, Andreea Prian, Arjen van Veen, Bjorn Hjelm, Brian Campbell, Gabe, Jan Vereecken, Jin Wen, Juba Saadi, Michael Jones, Oliver Terbu, Pedro Felix, Rajvardhan Deshmukh, Ryan Galluzzo, Sebastian Birckerle, Sebastian Bahloul, Sudesh Shetty, Lukasz Jaromin。

主要議題と決定:

  • VP Query Language: Daniel が WG 要件と implementer フィードバックを踏まえた改訂提案を提示。AND/OR 論理表現を議論し、「1 つの requirement に対し複数 credential を返す」場合の新 issue を識別。「有用な出発点」のコンセンサス、異議なし
  • VP Transaction Data: Kristina が 'transaction data' タグで 4 つの Issue(#168 / #172 / #173 / #174)を起票したと共有。Issue #173 では verifier validation を扱うため「transaction request の base64url エンコードをリクエスト・レスポンス双方に含め、wallet 承認の検証を簡素化」する案
  • レビュー対象 PR:
    • OpenID4VP #175: 条件付き credential request flow ドキュメント追加
    • OpenID4VCI #314: authorization_pending ステータス削除(異議なし)
    • OpenID4VCI #319: batch endpoint 暗号化明確化
    • OpenID4VCI #321: credential 拒否用エラーコード新設
  • 未解決 Issue: client_id_scheme セキュリティ考察は決着が必要。client_id_schemeclient_id 自体に統合し、既存の JWT iss / aud フィールドを活用する 暫定方向性が議論された
  • イベント: Identiverse hybrid(オンライン + 対面)開催を確認。Identiverse 期間中および EIC 期間中の通常 WG ミーティングはキャンセル

3-6. 2024-05-23 EU 友好枠コール(議事録: Juba Saadi 000337

Juba Saadi(lissi.id)が 5/23 16:05 UTC に議事録を ML に投稿。本文は 23-05-2024.md マークダウン添付ファイルで配布されており、ML アーカイブの本文には添付ファイル名のみが残る形式。本コールの議論は 5/29 Identiverse Hybrid コール(議事録 000356)の前提として参照されている。

3-7. 2024-05-29 Identiverse Hybrid コール(議事録: Christian Bormann 000356、5/30 配信)

本月で最も重要なコール。ARIA Resort(Identiverse 2024 会場、Bluethorne 8 ルーム)で 9am-12pm PDT の 3 時間枠、18 名参加(うち Visa の Ranjiva Prasad が対面で payment 視点の input を実施)。

参加者: Joseph Heenan, Kristina Yasuda, Andy Regenscheid, Brian Campbell, Christian Bormann, David Chadwick, Jan Vereecken, Joao Rodolfo Vieira Silva, John Bradley, Juba Saadi, Lukasz Jaromin, Mike Jones, Oliver Terbu, Pedro Felix, Ranjiva Prasad (Visa), Sebastien Bahloul, Tom Jones, Victor Lu。

主要議題と決定(議事録 000356 より):

  • W3C Digital Credentials API プロファイル: API レスポンスでの暗号化方式を議論。JARM スタイル暗号化の必須化ではなく、新 response mode w3c_dc_api / w3c_dc_api.jwt の導入 にコンセンサス。expected_origins で複数 origin を許容(backend 柔軟性のため)
  • Transaction Data (Issue #173): PII 露出リスク低減のため「object を hash 化して base64 エンコード」が好まれ、「option 2b = signed hash」を採択。Issue #174 では transaction data オブジェクトを credential format から分離する選好を確認
  • Wallet Authenticity Verification (Issue #141): wallet 検証を mandatory 化することへの強い懸念。John Bradley が「I think this is a horrible idea, but if you have to do it, then it should be part of the verifiable credential」と強く反対の立場を表明し、wallet 情報を別個の verifiable credential として扱うアプローチが preferred と整理
  • Credential Configuration ID: 現状「format と type をチェック必須」がエラーを生む実装者フィードバック。scope ベース flow でも credential_configuration_id を使えるようにする 方向でコンセンサス形成中
  • c_nonce と Proof Requirements: optionality のあいまいさを議論。DPoP nonce ハンドリングモデルに揃え、AS の能力に応じて nonce 要件を柔軟化する提案

本コールでの決定が 6 月以降の PR 群(Batch Credential Endpoint 廃止、c_nonce Nonce Endpoint 化、W3C DC API プロファイル PR #155)に直結する。

なお agenda(000353)では以下の時間配分が予定されていた:

  • OpenID4VP 9:10-10:45: Browser API extension PR (25 min) / Query Language (25 min) / Transaction Data (15 min) / Verifier Authentication (20 min) / Presenting VC without VP (10 min)
  • OpenID4VCI 10:45-12:00: credential_configuration_id 利用 (15 min) / Credential Batches 発行最適化 (15 min) / 追加 PR レビュー (15 min) / c_nonce 要件明確化 (20 min) / metadata の Profile サポート (10 min)

4. メーリングリストの主要スレッド

本月の ML は前半に通常コール議事録、月末に Identiverse 関連ロジスティクスと議事録が集中した。GitHub bot からの自動投稿(HAIP リポジトリ)が多く混在する。

4-1. 「California DMV Webinar including OID4VP use case in production」(2024-05-01, Gail Hodges 000293

Gail Hodges が 5/3 12-1pm の California DMV Webinar を案内。DMV が OID4VP と VC-JWT credential を本番運用 している事例を共有(DMV website への online login)。今後 mDoc と SD-JWT もサポート予定。DMV Wallet / mDL プログラムは 2023 年 8 月にカリフォルニア州 150 万人限定のパイロットとして開始し、本月時点で 40 万人超がアプリをダウンロード済み。OID4VP の現実世界での実装事例として DCP WG が参照する代表ケースとなった。

4-2. 「Hybrid DCP WG meeting at Identiverse」(2024-05-14, Joseph Heenan 000304

5/29 9am-noon PST 開催のハイブリッドコール案内。対面参加者向け Eventbrite 登録案内付き。「リモート参加には登録不要」と明示。後の 000336(Mike Leszcz, 5/21)で Cisco-style 詳細案内(場所: Bluethorne 8 expo floor / Zoom リンク)が再送された。

4-3. 「DCP WG + SIOP Call 系列キャンセル通知」(2024-05-21〜24, Kristina Yasuda)

000328000335 の 8 連続通知で、(a) Identiverse 2024 期間中の通常コール(5/21 APAC / 5/23 EU / 5/28 APAC / 5/30 EU)と (b) EIC 2024 期間中の通常コール(6/4 APAC / 6/6 EU)のカレンダー予定取り消しを案内。OIDF 公式の会議運用文化が ML アーカイブで明確に追える事例。

4-4. 「[minutes] 29th May 2024 DCP WG call (hybrid call @ Identiverse)」(2024-05-30, Christian Bormann 000356

5/29 Identiverse Hybrid コールの議事録(§3-7 参照)。本月内の唯一の「3 時間ヘビーセッション」議事録であり、6 月以降の WG 議論の前提資料として頻繁に参照された。

4-5. 「please review editorial PRs in VCI」(2024-05-27, Kristina Yasuda 000352

Kristina が VCI 側で発生している editorial PR 群(後の PR #329-336 系列)への WG レビューを呼びかけ。本月 5/26-27 にかけて Sakurann が立て続けに editorial PR を 8 件起票(contributors 追加、affiliation 変更、SD-JWT VC credential response 例追加、credential_offer_uri への randomness 追加、tx_code の明確化、invalid_scope 削除、各 example の credential format 明示など)。これらは 6/12 〜 6/21 にかけて順次 merge される。

4-6. 「Minutes from APAC DCP Working Group Call」(2024-05-08, Paul Bastian 000302

5/7 APAC コールの議事録(§3-3 参照)。Daniel Fett の新クエリ言語提案の WG 初公開、PR #155 の terminology 整理確定など、本月後半の議論の前提となる重要な記録。

5. GitHub 上の議論

5 月の AB/Connect 配下リポジトリで、DCP WG コール / ML と直接連動して動いた主要 GitHub スレッドを整理する。

5-1. openid/OpenID4VCI#331 — Is c_nonce required in proof or not?

  • 起票: 2024-05-27, Oliver Terbu (awoie)
  • 5 月のコメント数: 約 8 件(通算では 35 件超の長期 Issue に発展)

§2 で詳述。WG 議論が長期化し、PR #381(8/27 起票・10/8 merge)の発端となる。本月の議論で「c_nonce mandatory」「c_nonce optional」「条件付き optional」のいずれも実装現場で観察される事実が共有され、仕様文言と実装現実のギャップが浮き彫りになった。

5-2. openid/OpenID4VCI#320 — Consider removing cwt proof type

  • 起票: 2024-05-14, Oliver Terbu (awoie)
  • 5 月のコメント数: 約 4 件(通算では 27 件の長期 Issue)

§2 で詳述。Takahiko Kawasaki vs Oliver / Paul / Brian の構図で、POTENTIAL Interop Event Track 1 の実装根拠と、ISO 仕様の「proof type 選択を明示しない」中立姿勢、JSON envelope への CBOR 埋め込み方式の規定不在が論点として整理された。最終削除は 8/2 PR #369。

5-3. openid/OpenID4VP#178 — Proposal for new query language

  • 起票: 2024-05-21, Daniel Fett
  • 5 月のコメント数: 数件(議論の集中は 6 月以降)

§2 で詳述。本月内では Tobias Looker(algorithm negotiation 反対)、Daniel Fett(claim object の polymorphism 設計説明)、その後 Sam Goto(要件リスト・use case リストへの参照)、Tom Jones(user 向け透明性要件提示)などが断続的に意見表明。7 月の PR #220 起票への単線的な発展ではなく、5/29 Identiverse コール・6 月以降の各コールで議論を蓄積する長期 issue 化した。

5-4. openid/OpenID4VCI#325 — c_nonce uniqueness の明確化(5/22 起票・後にクローズ)

  • 起票: 2024-05-22, Giuseppe De Marco (peppelinux)
  • 5 月のコメント数: 約 8 件(issue / review コメント合算)

c_nonce の uniqueness 要件を明確化する PR。

主要やり取り:

  • Takahiko Kawasaki (5/27): 実装観点から 3 つの規約を提示
    • Uniqueness: 新規発行する c_nonce 値は過去に発行した値と異なる
    • Multiple Use: wallet は server が reject するまで c_nonce を複数回使用可能
    • Issuance Timing: 同じ応答内で同じ c_nonce を返してもよい
  • peppelinux (5/27): 同意しつつ「exceptional ケースの定義が必要」
  • Pedro Felix (pmhsfelix, 5/27): 「server が複数応答で同じ c_nonce を返すことが MAY か、client が同じ c_nonce を使うことが SHOULD か MUST か」の現状解釈を整理
  • Takahiko Kawasaki (5/28): Java 擬似コードで MULTIPLE USE と UNIQUENESS の挙動を例示

本 PR は最終的に 9/27 に jogu が「stalled」として明示クローズし、Issue #313 での議論継続を提案。本月時点で「c_nonce の uniqueness / lifetime / one-time use」を巡る根本的な実装解釈の幅が明らかとなった。

5-5. openid/OpenID4VCI#293 — rework credential and batch credential endpoint(4/15 起票、5 月に議論加速)

  • 起票: 2024-04-15, Paul Bastian
  • 5 月の議論: 5/7 APAC コール、5/14 APAC コール、5/16 EU コール等でレビュー

Credential Endpoint に proofs[] 配列を導入し、同一データセットの複数 credential を 1 リクエストで発行可能にする基盤的構造改革。5/7 APAC コールで「positive feedback」を確認し proof object 重複排除に向け「cnf-like mechanism」実装方向で議論。5/14 APAC コールで Paul が PR の merge 計画を共有。最終的に 6/12 merge へ進む。

5-6. openid/OpenID4VP#172 / #173 / #174 — Transaction Data の 3 軸分解

  • 起票: 2024-05-14, Kristina Yasuda
  • 5 月のコメント数: #172=0, #173=3, #174=3

§2 で詳述。5/16 EU コール議論と 5/29 Identiverse コールでの option 2b = signed hash 採択により、本月内に方向性が確定。後の PR #197(6/18 起票)の構造的前提を成す。

5-7. openid/OpenID4VP#180 — Payment Authorizations - Consider the EMV SCA flow

  • 起票: 2024-05-24, Anders Rundgren (cyberphone)
  • 5 月のコメント数: 2 件(議論集中は 6 月以降)

§2 で詳述。Identity と Payment の統合に関する根本的な設計哲学の対立が ML 上で表面化した最初の Issue。cyberphone は本月以降「payment 分離 super project」論を継続展開し、6/1 起票の Issue #188 / 6/18 起票の Issue #196(暗号化された payment authorization)へと議論を発展させる。

5-8. openid/OpenID4VCI#339 — Support Credential Request application-layer encryption

  • 起票: 2024-05-31, Gareth Oliver
  • 5 月のコメント数: 0 件(議論集中は 6 月以降と 2025 年)

§2 で詳述。HAIP / wallet-backend アーキテクチャ前提のプライバシー要件。本月末日起票だが、wallet server がプロキシとして介在するモデルでの device key 露出による追跡可能性 という根本的論点を提起し、後の議論(2024-10 Microsoft Hybrid Meeting、2025 年複数回の WG コール)の起点となった。

5-9. openid/oid4vc-haip-sd-jwt-vc — HAIP リポジトリの整理活動

ML スレッド 000296000300(5/7-8)、000306(5/14)、000338000350(5/23-24)で HAIP リポジトリの issue 79 / 86 / 95 / 100 / 101 / 102 等への bot 通知が連続。GitHub 上では本月の HAIP 新規 PR / Issue 起票は限定的だったが、既存 issue の整理が進行していた。

6. 関連イベント

  • Identiverse 2024(5/28-31, Las Vegas, ARIA Resort & Casino): 北米最大級の IAM カンファレンス。DCP WG は会期中の 5/29 9am-noon PDT に ARIA 内 OIDF meeting room(Bluethorne 8、エキスポフロア同階)で 3 時間のハイブリッドコールを開催。Mike Leszcz(OIDF Operations Director)が運営。Visa の Ranjiva Prasad が対面参加し payment 視点を持ち込んだ。Identiverse 期間中の通常 DCP WG コール(5/28 APAC / 5/30 EU)はキャンセル
  • California DMV Webinar (5/3 12-1pm PT): Gail Hodges が ML で告知。「DMV が OID4VP × VC-JWT を本番運用している事例」を非専門業界・行政関係者に解説。現実世界での OID4VP デプロイ実例として DCP WG が引用する数少ない大規模パイロット
  • EIC 2024 (European Identity and Cloud Conference) 6/4-7 Berlin への準備: 5 月後半に Kristina Yasuda が EIC 関連の通常コール 6/4 / 6/6 のキャンセルを ML で告知。本月内に EIC 受賞アナウンスはまだ無いが、KuppingerCole からの awarding 通知がこの時点で DCP WG 共同議長に届いていた可能性が高い(受賞アナウンスは 6/30 openid.net/dcp-wins-eic-award/ で公開)
  • POTENTIAL Interop Event Track 1 の継続実装: Takahiko Kawasaki(Authlete)が Issue #320 の議論内で LSP_POTENTIAL_Interop-Event_Description_Track1_v5.pdf を引用し、CWT Key Proof を含む Light Profile の実装状況を共有。EU Large Scale Pilots プログラム(POTENTIAL コンソーシアム)と OID4VCI 仕様議論の連動が ML 上で明確化

7. 今後の予定

2024 年 5 月末時点で WG が共有していた当面の予定:

  • 6 月:
    • PR #293(Credential Endpoint 再設計)の merge と、続く Batch Credential Endpoint 統合の検討
    • 5/29 Identiverse コール議題(W3C DC API プロファイル、transaction_data、wallet authenticity、c_nonce、credential_configuration_id)の各論点を具体 PR / Issue に落とし込む作業
    • 5/26-27 Sakurann editorial PR 群(#329 〜 #336)の WG レビューと merge
    • EIC 2024 (6/4-7, Berlin) への共同議長参加。Kristina Yasuda がキーノート登壇予定(テーマ: 「Digital Identity Wallets can cross the chasm to widespread adoption」)
    • 通常コール 6/4 / 6/6 はキャンセル、6/11 以降に再開
  • IETF 120 Vancouver (7/20-26) 向け SD-JWT / SD-JWT VC ドラフト準備: 7/8 締切が意識される
  • 新クエリ言語の WG 採択判断: 5/29 議題を経て 6-7 月コールで「Approach 1」具体構文を巡る検討継続
  • c_nonce 仕様文言の整合: Issue #331 を中心に proof 内 nonce optionality と Section 7.2 の MUST 表記の整合性確保

8. 参考情報源

ML スレッド(pipermail)

GitHub Issues / PRs

OID4VCI

OID4VP

SIOPv2

公式ページ・関連情報