idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2024 年 6 月)

執筆日: 2026-05-21(遡及執筆) この記事は 2024 年 6 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、IETF SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。所掌の主力仕様は OpenID for Verifiable Credential Issuance (OID4VCI)OpenID for Verifiable Presentations (OID4VP)Self-Issued OpenID Provider v2 (SIOPv2) の 3 本で、共同議長は Kristina Yasuda、Joseph Heenan、Torsten Lodderstedt の 3 名体制。

2024 年 6 月は WG 発足(2023 年 8 月)から約 10 か月目の節目に位置し、APAC 友好枠 = 火曜 PST middayEU 友好枠 = 木曜 PST 8am / 5pm CEST の 2 系統の定例コール(DCP WG + SIOP call 名義)を週次で運用していた。所掌仕様(OID4VP / OID4VCI / SIOPv2)は AB/Connect 配下の GitHub リポジトリ(openid/OpenID4VP, openid/OpenID4VCI, openid/SIOPv2, openid/oid4vc-haip-sd-jwt-vc)で開発されているが、WG コール・ML での議論は DCP WG メーリングリスト(openid-specs-digital-credentials-protocols)に集約されている。

6 月の本月の主軸テーマは以下のとおり。

  • EIC 2024 で「Future Technologies and Standards」アワード受賞(6/4-7): KuppingerCole 主催の European Identity and Cloud Conference にて OpenID for Verifiable Credentials ファミリーが受賞。Kristina Yasuda がキーノートを担当した
  • Identiverse 2024 直前(5/29)のハイブリッドミーティングからの継続議論: Identiverse 2024(5/28-31)期間中に開催された 3 時間のハイブリッド DCP WG コールで提起された Browser API・transaction_data・c_nonce 等の論点が、6 月の定例コールで本格的に深掘りされた
  • OID4VCI Batch Credential Endpoint 廃止合意: 6/20 EU 友好枠コールで「Batch Credential Endpoint を廃止し、通常の Credential Endpoint で proofs[] 配列により複数 credential 発行を扱う」設計に WG 合意。ML スレッド 000382 で Joseph Heenan が ML レビューを呼びかけた(実 PR #364 merge は 7/25)
  • PR #293 "rework credential and batch credential endpoint" の merge(6/12): Paul Bastian 起票。Credential Endpoint に proofs[] 配列を導入し、同一データセットの複数 credential を 1 リクエストで発行可能にする基盤的変更。Batch Credential Endpoint 廃止の前提整備
  • Issuer Trust Evidence / Key Attestation 設計の起点 (Issue #355): 6/25 に Paul Bastian が起票し、Wallet Attestation を「Wallet Instance Attestation」と「Issuer Trust Evidence (Key Attestation)」の 2 種に分割する eIDAS 2 整合の構造案を提示。7 月以降に集中議論される長期課題の出発点となった
  • Transaction Data PR の起票 (OID4VP PR #197): Kristina Yasuda が 6/18 に起票。PSD2 Dynamic Linking 等の決済シナリオで「提示時に署名対象とする取引データ」を OID4VP に組み込む大型 PR。最終 merge は 10/21
  • wallet_unavailable エラーコード追加 PR (OID4VP PR #200) の起票: Oliver Terbu (awoie) が 6/25 起票、Issue #191 解決を目指す。Browser API 経由で wallet が未インストール/未許可の場合のエラー定義
  • CWT Proof Type の不整合議論本格化 (Issue #341): babisRoutis が 6/6 起票。proof_signing_alg_values_supported の format(JOSE 名 vs COSE integer)の実装ばらつきを指摘。後の CWT Proof Type 削除議論(7 月)の伏線となった

6 月の本 WG 定例コールとしては、EU 友好枠 6/11(議事録 000357、補正 000359 / 000360)・APAC 友好枠 6/13(議事録 000361)・APAC 友好枠 6/18(議事録は EU 6/20 議事録に組み込み)・EU 友好枠 6/20(議事録 000384)・APAC 友好枠 6/25(議事録 000387)・EU 友好枠 6/27(議事録 000389)の計 6 回が ML アーカイブから確認できる。本月初週(6/3-6)は EIC 2024 開催のため定例コールが見送られた可能性が高い(ML に該当週の議事録なし)。

なお、本月は IETF 120 Vancouver (2024-07-20 〜 26) に向けたドラフト更新締切(7/8)が WG コールで複数回言及されており、月末にかけて IETF 提出準備の議論が増えている。

2. 公開された仕様・ドラフト改訂

DCP WG は 2024 年 6 月時点で新規 Implementer's Draft や Final 仕様の OIDF 公式公開を行っていない。所掌仕様(OID4VP / OID4VCI)は AB/Connect 配下の GitHub リポジトリで Editor's Draft が継続的に更新されている段階で、月内の主たる動きは GitHub 上の PR merge による Editor's Draft 改訂である。

OID4VP リポジトリ: 6 月にマージされた PR

openid/OpenID4VP リポジトリで 6 月にマージされた PR は 8 件

PRタイトルマージ日著者
#165clarify what is mutually exclusive (client_metadata and pre-registered clients)6/14Sakurann
#181affiliation change6/8Sakurann
#183fix indentation6/10Sakurann
#186add Jan Vereecken as a contributor6/8Sakurann
#192fix indentation to use 2 spaces everywhere6/13c2bo
#194Correct claim-based to claims-based6/13selfissued
#195remove path_nested description from Response Parameters section, move into W3C VC Annex6/20paulbastian
#198substitute jwt_vp_json example in section 6.1 to sd-jwt vc example6/27bc-pi

PR #165: client_metadata と pre-registered clients の排他関係明確化(6/14 merge)

Sakurann(Kristina Yasuda)起票。Verifier 側 client metadata の供給方法として「(a) client_metadata リクエストパラメータ、(b) Verifier 事前登録(pre-registered clients)」の 2 経路が並立する場合にどちらか一方のみ有効であることを規範化する editorial 修正。client_metadata_uri を含む client metadata 取得モデルの整理(後の 7 月 PR #210 = client_metadata_uri 削除)への伏線となる位置づけ。

PR #195: path_nested 記述を W3C VC Annex へ移動(6/20 merge)

Paul Bastian 起票。Presentation Submission の path_nested フィールドは W3C VC の Linked Data Proof 経路でのみ意味を持つため、Response Parameters の本文から W3C VC 固有 Annex に移す editorial 整理。SD-JWT VC や mDoc 等のフォーマット固有挙動と切り離す方針。

PR #198: jwt_vp_json 例を SD-JWT VC 例に置換(6/27 merge)

Brian Campbell (bc-pi) 起票。Section 6.1 の Presentation 例を jwt_vp_json から SD-JWT VC ベースに差し替え。SD-JWT VC を OID4VP の代表的なクレデンシャル形式として位置づける編集判断であり、6/13 APAC コールで合意された Issue #149(「W3C LDP + JWT-VC の組合せ例を W3C LDP + SD-JWT VC に変更」)の流れに沿う。

OID4VCI リポジトリ: 6 月にマージされた PR

openid/OpenID4VCI リポジトリでは 6 月に 13 件の PR がマージされた。OID4VP より活発で、Credential Endpoint の構造改革が中心。

PRタイトルマージ日著者
#293rework credential and batch credential endpoint6/12paulbastian
#318clarify optionality of scope and authorization_details6/12paulbastian
#322added examples illustrating Authorization Servers and Resource (Issuer) split6/18peppelinux
#329kristina's affiliation change6/13Sakurann
#330adding contributors: Dimitri James Tsiflitzis and Jan Vereecken6/2Sakurann
#332add sd-jwt vc credential response example6/3Sakurann
#333clarify which credential format each example uses6/20Sakurann
#334clarify that tx_code parameter in the offer is not the code6/17Sakurann
#335removing invalid_scope definition6/3Sakurann
#336add randomness to the credential_offer_uri6/12Sakurann
#347moved use case appendix ahead of ack and notices6/14awoie
#350fix indentation of examples to 2 spaces everywhere6/18c2bo
#353Update Credential Offer example to use credential_configuration_ids6/21deshmukhrajvardhan

PR #293: Credential / Batch Credential Endpoint の再設計(6/12 merge)

Paul Bastian 起票。本月で最も重要な構造改革 PR。Credential Endpoint に proofs[] 配列を導入し、同一データセットの複数 credential を 1 リクエストで発行可能にする。IDunion ハッカソン(4/23-24、4 参加者)で実装テスト済みの設計を踏まえて起票された。レビュー時に Giuseppe De Marco から「複数の条件分岐で仕様が過度に複雑化している」との指摘があり、Kristina Yasuda が「この PR を merge してから batch credential endpoint と credential endpoint の統合(廃止)に進む計画」と方針を示した上で、レビュアー達が条件付き承認する形で merge。この merge が 6/20 EU コールでの Batch Credential Endpoint 廃止合意の前提となる。

PR #318: scopeauthorization_details の併用整理(6/12 merge)

Paul Bastian 起票、Issue #294 関連。Authorization Code Flow で scopeauthorization_details をどう組み合わせるかの規範を整理。後続の PR #346(credential_identifiersauthorization_details フローで必須化、7/10 merge)と同系列の整備。

PR #322: AS / Resource Server 分離アーキテクチャの例追加(6/18 merge)

Giuseppe De Marco (peppelinux) 起票。Authorization Server と Credential Issuer(Resource Server 相当)が別主体である場合の構成例を追加。EU Digital Identity Wallet 実装側からの要望に基づく。

PR #336: credential_offer_uri への randomness 追加(6/12 merge)

Sakurann 起票。credential_offer_uri の URL に推測困難性(unguessability)を持たせるためのセキュリティ整備。Credential Offer の Pre-Authorized Code Flow で URI を short-lived な one-shot capability として扱う前提を強化する。

起票され議論された主要 PR(未マージのまま 6 月を終えたもの)

PR #197 OID4VP: transaction_data の追加(6/18 起票、10/21 merge)

Kristina Yasuda 起票、Issue #174 / #173 / #172 解決を目指す大型 PR。提示時に「取引固有データ(金額・受取人・タイムスタンプ等)」を VP の署名対象に含めることで PSD2 Dynamic Linking 等の決済シナリオを satisfy する設計。EU Digital Wallet Consortium の Stefan Kauhaus が ML / GitHub で「次の Implementer's Draft に必ず入れてほしい」と明示支持を表明した一方、Paul Bastian は「two-party model を three-party framework に持ち込む構造リスク」「専用 response type もしくは専用 credential format の方が良いのでは」と設計上の疑問を提起。本月時点では未解決のまま 10 月まで議論継続。

PR #200 OID4VP: wallet_unavailable エラーコード追加(6/25 起票、7/23 merge)

Oliver Terbu (awoie) 起票、Issue #191 解決。Browser API 経由のリクエストで wallet が利用不可(未インストール、ユーザーが許可しない等)の場合に返すエラーコードの定義。6/13 APAC コールでプライバシー観点のレビューを通過済みで、7 月の merge に向け準備完了状態で月を終えた。

PR #346 OID4VCI: credential_identifiersauthorization_details フローで必須化(6/12 起票、7/10 merge)

Paul Bastian 起票。Authorization Code Flow で authorization_details を使う場合、Token Endpoint 応答中の各 authorization_details 要素に credential_identifiers が必須であることを明示。scope ベースのフローとの違いを規範的に区別する整備で、6/25 APAC コールでも議論された(Paul の参加待ちで一旦延期)。

3. ミーティングと議論

6 月の DCP WG コールでは、Identiverse 2024(5/29 ハイブリッドコール)で提起された論点の継続審議と、IETF 120 締切(7/8)に向けたドラフト整備が中心となった。

3-1. 2024-05-29 Identiverse Hybrid Meeting からの繰越論点

6 月コールの議論を理解する前提として、直前の Identiverse 2024 ハイブリッドコール(5/29、9am-12pm PDT、3 時間枠、参加者 18 名)で提起された論点を簡潔に整理する。当該コール議事録(000356、Christian Bormann)の主要決定:

  • W3C Digital Credentials API プロファイル: 新 response mode w3c_dc_api / w3c_dc_api.jwt の導入方針(JARM を直接使わない)
  • Transaction Data: Object 配列ではなく 「option 2b - signed hash」 で合意(PII 漏洩防止)
  • Wallet Authenticity: 実装複雑性とプライバシーへの懸念。three-party model の利点を保つ設計を継続検討
  • Credential Configuration ID: scope ベース flow でも使えるようにすべきとのフィードバック
  • c_nonce: optionality に曖昧さあり、DPOP の nonce ハンドリングモデルに揃える提案

これらが 6 月の各コールで具体的 PR / Issue に落とし込まれる。

3-2. 2024-06-11 EU 友好枠コール(議事録: Lukasz Jaromin 000357、補正 Oliver Terbu 000359

参加者 16 名: Kristina Yasuda, Jan Vereecken, Oliver Terbu, Elizabeth Garber, Paul Bastian, Sudesha Shetty, Lukasz Jaromin, Victor Lu, Daniel Fett, Michael Jones, Brian Campbell, Christian Bormann, Tobias Looker, John Bradley, Tom Jones, Sebastien Bahloul。

主要議題と決定:

  • 編集 PR ボランティア募集: 増加する PR 群への対応として複数人ボランティアを呼びかけ
  • Encrypted responses in Batch and Deferred Endpoint: Batch / Deferred Endpoint への暗号化適用範囲を議論
  • Use Cases Appendix の前方移動: Acknowledgements の前に移す提案(後の OID4VCI PR #347 として 6/14 merge)。一部反対あり
  • JWT 署名例の妥当性検証: 仕様内 JWT 例の invalid signature を修正するボランティア決定
  • PR #293(Credential Endpoint 再設計): 追加で 2 件の承認を条件に merge 可とした。proofs[] 配列内の single-element ケースの扱いを別 Issue で議論する前提付き
  • PR #336(credential_offer_uri randomness): merge 準備完了確認
  • c_nonce 必須性: WG として「c_nonce は引き続き必須で維持」に傾く議論

その後、Oliver Terbu が 6/12 朝に補正投稿 000359 を行い、議事録の c_nonce 取扱い記述を以下に訂正:

  • no c_nonce from the token endpoint
  • c_nonce from the credential endpoint is optional. returned in the credential error response if needed
  • whether we want to protect against Unknown Key Share attacks. direction was to make ath mandatory (Oliver Terbu, 2024-06-12, ML 投稿 000359 より)

Lukasz が同日 000360 で「最後の一文(c_nonce を必須維持)は誤解を招くため取り消す」と公式に撤回。Unknown Key Share 攻撃対策として ath を必須化する方向性が確認され、これが後の Issue #357(wallet-provided nonces for PoP, 6/27 起票)への伏線となる。

3-3. 2024-06-13 APAC 友好枠コール(議事録: Oliver Terbu 000361

参加者: Oliver Terbu, Kristina Yasuda, Renata Toktar (DSR Corporation, 新規参加紹介), Brian Campbell, Christian Bormann, Daniel Fett, Javier Ruiz, John Bradley, Judith Karner, Lukasz Jaromin, Paul Bastian, Andreea Prian, Bjorn Hjelm, Sebastien Bahloul, Pamela Dingle。

冒頭で **「OID4VC が EIC アワードを受賞」**したことを WG として祝賀。同時に Contribution Agreement 締結済みコントリビューターに PR 起票を呼びかけ。

主要議題と決定:

  • OID4VP Issue #68: PR 準備完了。担当者割当て確定
  • OID4VP Issue #149(W3C LDP + JWT-VC 例を W3C LDP + SD-JWT VC に変更): 合意成立。PR 担当割当て(後の PR #198 として 6/27 merge)
  • OID4VP Issue #174(transaction_data の格納位置): Zero-Knowledge Proof スキーム対応と署名追加コスト削減のため、transaction data を credential-format-specific presentation に格納する設計で合意
  • OID4VP Issue #191(wallet_unavailable: プライバシー観点レビュー通過、PR 準備完了
  • OID4VP Issue #124(client_id_scheme: 問題の重大度を議論したが結論には至らず、Issue スレッドで継続

3-4. 2024-06-18 APAC 友好枠コール

agenda 000383 は Joseph Heenan が「進行が遅れているのでコール冒頭で議題を決める」と簡略告知。独立した議事録は ML に投稿されていないが、議論内容は 6/20 EU コール議事録に取り込まれている(後述)。

このコールに前後して、6/18 朝に Joseph Heenan が 「Removal of VCI batch endpoint」 という ML スレッド 000382 を投稿し、Batch Credential Endpoint 削除の論点出しを行った(§4-1 参照)。

3-5. 2024-06-20 EU 友好枠コール(議事録: Andreea Prian 000384

参加者: Kristina Yasuda, Joseph Heenan, Ryan Galluzzo, Pedro Felix, David Chadwick, Brian Campbell, Judith Kahrer, Sudesha Shetty, Nemanja Patrnogic, Rajvardhan Deshmukh。

主要議題と決定(議事録から):

  • 編集 PR ボランティア不足: 現状の配分は持続不可能との明示
  • Batch Endpoint 廃止合意: 「Batch Endpoint を廃止し、Credential Endpoint で同一タイプ・同一データセットの複数 credential を扱う」に合意。異なる credential type は別リクエストとすることを規範化。Pedro Felix が PR 起票を担当(後の OID4VCI PR #364、7/25 merge)
  • Browser API: expected_origin のテキスト記述で合意。signed request object 外の client_id / client_scheme パラメータを 削除(encrypted から signed request への移行で不要化)
  • Credential Identifiers: authorization_details flow で必須化することに合意。RAR 使用時はこれだけで十分とも確認

アクションアイテム:

  • Pedro Felix: Batch Endpoint 統合 PR 起票
  • Rajvardhan Deshmukh: OID4VCI 4.1.2 節の例の修正 PR(後の PR #353 として 6/21 merge)
  • Sudesha Shetty: presentation submission の path 考慮レビュー
  • Andreea Prian: QES ユースケース調査
  • Kristina Yasuda: payment セクター関係者コンタクト
  • Brian Campbell: c_nonce 削除の理由整理

懸案: ARF 1.4 へのコメント、c_nonce を optional 化する合意はまだ得られていない。

3-6. 2024-06-25 APAC 友好枠コール(議事録: Christian Bormann 000387

参加者: Christian Bormann, Joseph Heenan, Andres Olave, Brian Campbell, David Waite, Gareth Oliver, Giuseppe De Marco, Jan Vereecken, Lukasz Jaromin, Nemanja Patrnogic, Rajvardhan Deshmukh。

主要議題と決定:

  • OID4VP W3C DC API プロファイル PR: 新規議論はあまり進まず、前回サイクルからのフィードバックを反映する段階。Brian Campbell が「request という名前のパラメータの中に request object が入る」命名の混乱を指摘するも「受け入れざるを得ない」との結論。返却データ型を any ではなく 明示的な object 型にすべきとのコンセンサス形成。Joseph がリポジトリ issue 起票と例の更新を担当
  • credential_identifiers 必須化提案: IIW 議論を起点に Joseph が提案。Paul Bastian 不在のため、「authorization_details フロー全般か RAR 限定か」の判断は次回に持ち越し
  • c_nonce 必須性: Nemanja Patrnogic が「後続リクエストへのセキュリティ便益」を強調する一方、Wallet Provider 実装にばらつきがあると指摘。仕様 7.2 節と 7.3.2 節に 矛盾する記述が存在することが確認された。Joseph が「(a) optional であることを明確化、(b) 必須化しエラーレスポンスで c_nonce を返す方式」の 2 択を提示。Lukasz が代替案の input を行う可能性を示唆
  • IETF 120 Vancouver: ドラフト更新締切は 7/8

3-7. 2024-06-27 EU 友好枠コール(議事録: Andrew Lim @ Cisco/Duo Security、Joseph Heenan 経由転送 000389

参加者 12 名: Joseph Heenan, Bjorn Hjelm, Brian Campbell, David Chadwick, Pamela Dingle, Oliver Terbu ほか。

主要議題と決定:

  • OID4VP PR #155(W3C DC API プロファイル): Brian Campbell が「未使用ファイル(PlantUML 等)の残骸あり」と指摘。David Chadwick が PR 承認。レビュアーコメントは承認後も全て対応する方針を確認
  • OID4VCI PR #346(credential_identifiers 必須化): David Chadwick がレビューコメント対応の確認を担当
  • OID4VCI Issue #331(c_nonce 必須性): 議論を経て 「仕様内で明確に optional」とする方向にコンセンサスが傾く。エラーレスポンスから c_nonce を削除する案にも支持
  • ath / JTI の OID4VCI 内利用: Oliver Terbu が新規 issue を起票することにコミット(後の Issue #357 として 6/27 起票)
  • ARF 1.4 コメント: Oliver Terbu と Lukasz Jaromin が締切前にコメント寄稿することを表明

4. メーリングリストの主要スレッド

4-1. 「Removal of VCI batch endpoint」(2024-06-18, Joseph Heenan)

スレッド 000382。Joseph Heenan が VCI Batch Credential Endpoint の 廃止提案を ML に投稿。根拠は (1) Batch Endpoint には「未解決の問題と各種の複雑性」が複数存在し、削除がそれらを一掃すること、(2) 「一度に 20 種類の異なる credential を発行する」現実的ユースケースが存在するか不明、(3) Batch 経路を別建てで維持する意味のあるサーバ側最適化があるか疑問。実装者からのフィードバックを募り、上記の Removal of VCI batch endpoint を 6/20 EU コール議題化、結果として 同コールで廃止合意に至った。GitHub での tracking は openid/OpenID4VCI#18。本月の DCP WG 典型的オープンガバナンス事例として記録に値する。

4-2. 「DCP WG + SIOP meeting minutes: Jun 11, 2024」(2024-06-11, Lukasz Jaromin / Oliver Terbu 補正)

メインスレッド 000357 / 補正 000359 / 撤回 000360c_nonce 必須性をめぐる議事録の記述に誤りがあり、Oliver Terbu が翌朝補正、Lukasz が公式撤回するという修正プロセスがそのまま ML に残ったケース。WG の運用透明性を示す事例として参照価値が高い(§3-2 参照)。

4-3. 「Proposed Agenda Items」(2024-06-24, Giuseppe De Marco 000385

イタリアで Wallet 実装を進める Giuseppe De Marco(peppelinux)が 4 つの提案議題を ML に投稿。

  1. OpenID Federation Trust Framework のギャップ: ARF v1.4 Annex 2 で OpenID Federation が eligible trust framework として列挙されているにも関わらず、OpenID HAIP 仕様には記載がない不整合
  2. OpenID4VP ドラフトの古さ: 「現行 draft は古いように見える」と更新タイムラインを照会
  3. Wallet Attestation の最終化: Relying Party への Wallet Attestation 配送の技術的方式と法規適合性(Issue #141 関連)
  4. RP Metadata 定義の明確化: 優先度が高いにもかかわらず初期作業が停滞している(Issue #17 / #189 関連)

これらは 7/2 APAC コール agenda(Joseph Heenan 投稿 000390)にもそのまま転載され、Giuseppe の論点が以降の WG コール議題形成に直接寄与した。

4-4. 「Notes / agenda 系の事務スレッド」

本月の ML には 000356(5/29 Identiverse hybrid 議事録、6/3 配信)、000358(5/9 議事録の遅延配信)、000361(6/13 議事録)、000384(6/20 議事録)、000387(6/25 議事録)、000389(6/27 議事録の Joseph 経由転送)と、agenda 通知(000383, 000386, 000388)が中心。本月は GitHub bot からの自動投稿(HAIP リポジトリの issue / comment 通知 000362000381)が大量に流入し、人手による技術スレッドは相対的に少ない。HAIP リポジトリ側で 6/14 集中の整理作業(後述 §5)が起きていたことの ML 上の影として観察される。

5. GitHub 上の議論

6 月の AB/Connect 配下リポジトリで、DCP WG コール / ML と直接連動して動いた主要 GitHub スレッドを整理する。

5-1. openid/OpenID4VCI#355 — Issuer Trust Evidence / key attestations for OpenID4VCI

  • 起票: 2024-06-25, Paul Bastian
  • 6 月のコメント数: 数件(議論集中は 7 月)
  • 最終状況: 7 月以降の WG ラフコンセンサス整理(§3 of 2024-07 レポート参照)へ発展

問題提起: eIDAS 2 整合のため、従来「Wallet Attestation」と呼んでいた概念を 2 つに分割する設計提案。

  • Wallet Instance Attestation (WIA): Wallet アプリケーション自体の認証用
  • Issuer/Wallet Trust Evidence (ITE/WTE): Wallet Secure Cryptographic Device (WSCD) を認証

ITE/WTE を Credential Endpoint で新 proof type 経由で送る案が「最も破壊的でなく実装容易」と評価された。提案構造:

  • Wallet Provider が署名する attestation JWT
  • attestation 内の cnf 鍵に対する proof JWT
  • オプションの device_keys 配列(信頼公開鍵)
  • オプションの status 情報(WSCD 侵害連絡用)

本月時点では ready-for-PR ラベル付与・Paul Bastian と John Bradley (ve7jtb) に割当のみで議論開始の段階。7 月に最も活発な OID4VCI Issue へと発展する出発点。

5-2. openid/OpenID4VCI#357 — Additional options for wallet-provided nonces for PoP

  • 起票: 2024-06-27, Oliver Terbu (awoie)
  • 6 月のコメント数: 13 件(うち多くは 7 月コメント、6 月分は数件)

6/27 EU コール議論を受けて、Oliver Terbu が「c_nonce を optional 化する場合に Unknown Key Share 攻撃等の懸念にどう対応するか」の論点を整理する目的で起票(Issue #19 と連動)。3 つの代替案を提示:

  1. ath (Access Token Hash) の利用
  2. jti (JWT ID): Wallet 側で十分にランダムな ID を生成
  3. Nonce フィールド: Wallet 自身が nonce 生成(ただし「Server 側で異なる nonce 種別の区別が困難なため、おそらく良くない」と Oliver 自身が留保)

長期 Issue として 1.1 milestone に割当てられ、後続月で継続議論される。

5-3. openid/OpenID4VCI#341 — CWT proof headaches

  • 起票: 2024-06-06, babisRoutis
  • 6 月のコメント数: 5 件

OID4VCI 実装間で CWT proof type の metadata 表現が 4 通りに分かれていることを指摘:

  1. JOSE アルゴリズム名("ES256" 等)を使用
  2. COSE アルゴリズムを string で表現
  3. proof_signing_alg_values_supported を完全省略
  4. COSE アルゴリズムを integer で表現(正しい形式)

draft 13 では 1〜3 は規範違反。仕様が必須化している proof_signing_alg_values_supported正しい形式と内容に関する明確化を求めた。

本 Issue は CWT proof type の根本的有用性に対する WG の疑念を喚起し、7/23 ML スレッド 000406(Kristina の CWT proof type 削除提案)に直結する伏線となった。

5-4. openid/OpenID4VCI#342 — Problems in Authorization Code with scope and multiple Credential Datasets

  • 起票: 2024-06-07, Paul Bastian
  • 6 月のコメント数: 15 件

Paul Bastian が Authorization Code Flow の scope ベース 利用時に「複数の異なるデータセットを持つ同一 credential type(例: 複数 ePrescription)」を 1 リクエストで扱えない技術的制約を指摘。

  • authorization_details 利用時: token 応答の credential_identifiers 配列サイズから必要な credential request 数を判断可能
  • scope 利用時: 「この方法は機能しない(authorization_details 固有のため)」。Wallet はエラーが返るまでリクエストを送り続ける必要があるが「不適切」

提案: credential_identifiers を全フローで利用可能にすることで authorization_details 限定を解消(Issue #294 も関連)。本 Issue は後に PR #392 で resolve される長期課題。

5-5. openid/OpenID4VP#188 — Make "payment-authorization" a separate super project

  • 起票: 2024-06-01, Anders Rundgren (cyberphone)
  • 6 月のコメント数: 17 件(最も活発な OID4VP Issue)

cyberphone が「Payment Authorization を Identity 仕様から 完全に分離した別プロジェクトにすべき」と提案。主張:

  • Identity と Payment 機能の結合は不必要な複雑性を生む
  • 両者は異なるステークホルダー・推進主体を持つ
  • Selective Disclosure と Payment Authorization の両方を扱う統合 wallet は非現実的(「frankenwallet」)
  • Core identity ドキュメントが payment 固有内容で散らかる

別プロジェクトで扱うべき機能として、E-receipts、口座残高照会、Discovery、Risk-based authentication、Confidential issuer-to-payer messaging 等を列挙。本人のプロトタイプでは JSON ではなく Deterministically Encoded CBOR を使用との技術メモも追加。

最終的に duplicate / pending-close ラベルが付き、PR #197(transaction_data)の議論に集約される。6/1 起票の本 Issue が「OID4VP に payment を組み込む合意形成プロセス」の起点となった。

5-6. openid/OpenID4VP#189 — [New Client Metadata Parameter] presentation_definitions_supported

  • 起票: 2024-06-07, Giuseppe De Marco (peppelinux)
  • 6 月のコメント数: 10 件

Federation / Trust Framework のオンボーディング時に「Verifier がどの credential / attribute を要求できるか」を 事前承認・追跡可能にする要請。

提案: 新 client metadata パラメータ presentation_definitions_supported(Verifier の許容 presentation_definition の ID 配列)を追加し、「presentation request に含まれる presentation_definitionpresentation_definitions_supported に含まれる ID をすべて or 一部使用すること」を policy enforce する allowlist として機能させる。

本 Issue は Giuseppe の Proposed Agenda Items ML 投稿(§4-3)の 4 つ目「RP Metadata 定義の明確化」と直結する。pending-close ラベル付与で最終的に上位スレッドに統合された。

5-7. openid/OpenID4VP#193vct matching in credential queries

  • 起票: 2024-06-12, Daniel Fett
  • 6 月のコメント数: 4 件

Presentation Exchange (PE) v2 が 文字列マッチングベースであるため、SD-JWT VC の VC Type (vct) 階層継承を表現できないことを指摘。「タイプ X を要求した時、X を継承する Y も受け入れたい」という inheritance のセマンティクスが PE では満たせない。

提案:

  1. 開発中の新クエリ言語に inheritance を組み込む(vc+sd-jwt 形式固有ルール)
  2. SD-JWT VC 仕様内に処理ルールとして定義

本 Issue は後に PR #266(新クエリ言語 Approach 3)で解消される、新クエリ言語の 要件出し段階の重要な技術提起。

5-8. openid/OpenID4VP#196 — Encrypted payment authorizations

  • 起票: 2024-06-18, Anders Rundgren (cyberphone)
  • 6 月のコメント数: 2 件

cyberphone(§5-5 の Issue #188 と同著者)が payment authorization 専用の暗号化方式を別途定義すべきとの追加提案。Payment 文脈で Payee を含む複数主体が payment data を見られないようにするためには、汎用 VP 暗号化では不十分という主張。Issue #188 と連動した「Payment は分離プロジェクト」論の補強。

5-9. openid/oid4vc-haip-sd-jwt-vc — 6/14 集中整理

HAIP(High Assurance Interoperability Profile)リポジトリでは 6/14 前後に GitHub bot 通知(ML スレッド 000362000381)が連続発生し、issue クローズや comment が集中。6 月内の主要新規 issue:

HAIP は 6 月時点で本格的な技術議論よりも 既存 issue 整理が中心。

6. 関連イベント

  • Identiverse 2024(5/28-31、Las Vegas): 直前の 5/29 にハイブリッド DCP WG コールを Wynn Las Vegas で開催。3 時間枠で参加者 18 名、Ranjiva Prasad (Visa) も対面参加し OID4VCI への payment / PSD2 視点の input を行った。同コール議事録 000356 は 6 月の各コール議論の前提資料として機能
  • European Identity and Cloud Conference 2024 (EIC 2024, 6/4-7, Berlin): KuppingerCole 主催の欧州最大級 IAM カンファレンス。DCP WG が 「Future Technologies and Standards」アワードを受賞。受賞対象は OpenID for Verifiable Credentials ファミリー。Kristina Yasuda がキーノート登壇し「Digital Identity Wallets が mainstream adoption の chasm を越えるには」というテーマで講演。受賞理由として WG の市場インパクト(EUDI ARF への参照、3 件の draft ISO 標準、EBSI project の 18 wallet による実装、NIST 実装計画)が挙げられた。OIDF 公式発表は openid.net/dcp-wins-eic-award/(6/30 公開)
  • IETF 120 Vancouver (7/20-26) 向けドラフト更新締切 (7/8): 6/25 / 6/27 コールで言及。SD-JWT、SD-JWT VC、Token Status List 等の OID4VC 隣接仕様の IETF 提出準備が並行進行
  • IIW Spring 2024(4/16-18 開催)の議論の継続反映: Joseph Heenan が 6/25 コールで「IIW 議論を起点に credential_identifiers 必須化を提案」と言及し、本月の WG 議論は前々月の IIW 議論を継承する形で進行

7. 今後の予定

2024 年 6 月末時点で WG が共有していた当面の予定:

  • 7 月:
    • Batch Credential Endpoint 廃止 PR の起票(Pedro Felix 担当、後の PR #364 として 7/25 merge)
    • W3C Digital Credentials API プロファイル PR (#155) の最終化と merge(7/9 merge)
    • credential_identifiers 必須化 PR (#346) の merge(7/10 merge)
    • wallet_unavailable エラーコード PR (#200) の merge(7/23 merge)
    • Issuer Trust Evidence / Key Attestation 設計 の本格議論(Paul Bastian / John Bradley 担当、Issue #355 ベース)
    • c_nonce 取扱い: Optional 化方向で仕様整理。Brian Campbell が c_nonce 削除理由を整理予定
  • OID4VP Implementer's Draft 3 (ID-3): W3C DC API プロファイル組み込みと新クエリ言語の扱いを軸にリリーススコープを確定する段階
  • IETF 120 Vancouver (7/20-26): SD-JWT 系仕様の進捗反映を WG にフィードバック
  • ARF 1.4 コメント寄稿: Oliver Terbu / Lukasz Jaromin が締切前に対応

8. 参考情報源

ML スレッド(pipermail)

GitHub Issues / PRs

公式ページ・関連発表