idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2024 年 8 月)

執筆日: 2026-05-20(遡及執筆) この記事は 2024 年 8 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、IETF SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。WG ページ (openid.net/wg/digital-credentials-protocols) によれば、所掌の主力仕様は OpenID for Verifiable Credential Issuance (OID4VCI)OpenID for Verifiable Presentations (OID4VP)Self-Issued OpenID Provider v2 (SIOPv2) の 3 本である。共同議長は Kristina Yasuda、Joseph Heenan、Brent Zundel ら。

DCP WG は 2023 年 8 月に OpenID Foundation Specs Council により創設が承認された比較的新しい WG で、2024 年 8 月時点では既に専用 ML(openid-specs-digital-credentials-protocols)と週 2 回の定例コール(APAC 友好枠 = 火曜 PST middayEU 友好枠 = 木曜 PST 8am / 5pm CEST、いずれも DCP WG + SIOP call 名義)が運用されている。一方で、対象仕様である OID4VP / OID4VCI 自体は引き続き AB/Connect WG 配下のリポジトリ(openid/OpenID4VP, openid/OpenID4VCI)で開発されており、本月の PR / Issue 議論はすべてこれらリポジトリで進行している。

2024 年 8 月時点の最新ドラフトは OID4VCI Editor's Draft -14OID4VP Editor's Draft -21 で、Brian Campbell が ML で版固定 URL を共有している(Week-of-Mon-20240805/000421)。

本月の主要な動きは以下のとおり。

  • HDK(Hierarchical Deterministic Keys)議論の開始: 8/1 EU 友好枠コール(議事録 000415)で Sander Dijkhuis が EU Large Scale Pilots 由来の鍵導出手法をプレゼンし、Paul Bastian が OpenID4VC プロトコルへの統合に必要な調整点を整理。「device binding のための proof key を増やすと linkability リスクが増す」「BIP32 / ARKG / KBSS 等の手法と SecureEnclave / Strongbox での実装可否」が主論点
  • CWT Proof Type の廃止確定: OID4VCI PR #369(babisRoutis 起票、Issue #320 解決)が 8/2 にマージされ、proof type から CWT が削除された。1 週間ポリシーと 5 件の approval を経ての merge
  • transaction_data メカニズムへの実装者プッシュ: 8/8 EU 友好枠コールが「Payments と QES (Qualified Electronic Signature) use-cases に焦点」をテーマに開催(agenda 000418)。VISA から Ranjiva / Stefan、D-Trust から Mark がゲスト登壇し、PR #197(Kristina Yasuda 起票、6/18)への実装者フィードバックを共有
  • client_id_scheme セキュリティ問題の本格議論: VP Issue #124(Daniel Fett 起票)に対する設計討議が月内通じて加速。8/29 EU 友好枠コール(議事録 000436)では Oliver Terbu の PR #237(8/27 起票、client_id_scheme を完全廃止し X.509 / DID / Verifier Attestation / OpenID Federation 等の in-band 登録に統合する案)が提示された
  • 非破壊拡張(Non-breaking Extensibility)アーキテクチャ原則の合意: 8/27 APAC 友好枠コール(議事録 000438)で Mike Jones が「other values may be defined and used; unknown values must be ignored」の規約を VP / VCI 両仕様に取り込む方針で合意。VP Issue #227 と VCI Issue #375 として並行 PR 化することが決定
  • c_nonce 取り扱いの方向性確定: 8/27 コールで「Token Endpoint 応答からの c_nonce 除去と専用 Nonce Endpoint 新設」が WG 合意となり、Brian Campbell が同日 PR #381 を起票(実際の merge は 10/8)
  • Wallet Attestation の取り扱い決定: VP Issue #141 について、8/27 コールで「option 2 = ordinary credential として type 区別で扱う」方針を採択
  • DCP WG Hybrid Meeting(IIW 39 前日)の登録開始: 8/19 に Mike Leszcz から「Cisco San Jose 開催(10/28 9am-12pm PT)」の Eventbrite 登録案内(000425

8 月の本 WG 定例コールとしては、APAC 友好枠 8/6(agenda 000417)・EU 友好枠 8/1(議事録 000415)・EU 友好枠 8/8(agenda 000418、Payments/QES 特集)・APAC 友好枠 8/20(agenda 000423)・EU 友好枠 8/22(agenda 000424000431)・APAC 友好枠 8/27(議事録 000438)・EU 友好枠 8/29(議事録 000436)が ML アーカイブから確認できる。

2. 公開された仕様・ドラフト改訂

DCP WG は 2024 年 8 月時点で新規 Implementer's Draft や Final 仕様の OIDF 公式公開を行っていない。所掌仕様(OID4VP / OID4VCI)は AB/Connect 配下の GitHub リポジトリで Editor's Draft が継続的に更新されている段階で、8 月時点の最新版は次のとおり。

これらの版番号は Brian Campbell が 8/9 に ML へ共有した stable URL によるもの(000421、「将来 URL の内容が変わるので版固定リンクを参照してほしい」との趣旨)。

OID4VP リポジトリ: 8 月にマージされた PR

openid/OpenID4VP リポジトリで 8 月にマージされた PR は 1 件のみ

PRタイトルマージ日著者
#226shortened affiliation of Kristina and Torsten, incr. revision number8/9tlodderstedt

7 月末から 8 月にかけては VP 側で大規模 PR の merge は発生せず、「議論のための PR」(#237 = client_id_scheme 統合案、9 月以降に持ち越し)と「Issue 起票」(#224, #225, #232 など)が中心だった。

OID4VCI リポジトリ: 8 月にマージされた PR

openid/OpenID4VCI リポジトリでは 8 月に 5 件の PR がマージ された。VCI 側は議論の収束が早く、複数の clarification PR が短期間で merge されている。

PRタイトルマージ日著者
#367Fixes #287; Clarify mso_mdoc credential response and add example8/6awoie
#369Removes CWT Proof8/2babisRoutis
#373shortened affiliation of Kristina and Torsten8/9tlodderstedt
#377Correct document history8/20jogu
#365Fix c_nonce language; may fix #3318/20awoie

PR #369: CWT Proof Type の廃止(8/2 マージ)

babisRoutis 起票、Issue #320 解決。proof type から CWT を削除する破壊的変更。5 件の approval と 1 週間ポリシーを経て jogu が「5 approvals, no unresolved comments, open more than a week - merging!」とコメントし merge。bc-pi が「Sakurann says it's good and I'm a trusting person」と冗談混じりに承認したやり取りが残っている。CWT proof は実装者からのプッシュが弱く、JWT proof に統一する方向で WG の合意があった。

PR #367: mso_mdoc credential response の明確化(8/6 マージ)

awoie 起票、Issue #287 解決。ISO mDL (mso_mdoc) 形式での Credential Response の期待形式を明示し、短縮されたサンプルを追加した。Jacob からの構造提案を awoie と Sakurann が双方了承し、jogu が 4 件 approval を確認の上 merge。

PR #365: c_nonce 言語修正(8/20 マージ)

awoie 起票、Issue #331(c_nonce の Token Endpoint 応答における必須性)の暫定対応。後の PR #381 による Nonce Endpoint 新設の前段として、c_nonce まわりの記述揺れを修正した editorial PR。Issue #331 の根本解決は 8/27 コールでの「Nonce Endpoint 新設」合意と PR #381 の起票に持ち越された。

OID4VP リポジトリ: 8 月に起票された主要 Issue

  • #224 — marcoscaceres, 8/6, 「Clarifications on processing expected_origins and processing steps」(W3C Digital Credentials API との整合性に関する論点)
  • #225 — peppelinux, 8/8, 「Clarification on the Definition of 'Holder'」
  • #227 — selfissued (Mike Jones), 8 月中旬, 「Enable non-breaking extensibility」("the response from the Response Endpoint to the Wallet" を含む各メッセージ型の名称付与と、未定義値を無視する規約の明示)— 後の PR #240 で解決
  • #232 — jogu, 8/25, 「Mechanism for trust frameworks to limit the credentials & claims that a verifier is allowed to request」

OID4VCI リポジトリ: 8 月に起票された主要 Issue

  • #371 — srosenda, 8 月, 「Authorization token prefix 'Bearer' is misspelled in some examples」
  • #374 — haraakar, 8/12, 「Draft version 14 contains error in document history」(PR #377 で解決)
  • #375 — selfissued, 8 月, 「Enable non-breaking extensibility」(VP #227 と並行、後の PR #382 で解決)
  • #376 — nemqe, 8 月, 「Interpretation of issuer metadata display parameters」
  • #378 — babisRoutis, 8/21, 「locations and resource parameters requirements」
  • #379 — edouardhue, 8/22, 「Clarification about passing issuer and authorization server state」
  • #383 — selfissued, 8 月, 「IANA registrations missing for some defined parameters」

起票され議論された主要 PR(未マージのまま 8 月を終えたもの)

PR #381 OID4VCI: c_nonce 除去と Nonce Endpoint 新設(8/27 起票)

Brian Campbell(bc-pi)起票、Issue #39 解決(関連 Issue #331 / #357 にも対応)。Token Endpoint 応答からの c_nonce / c_nonce_expires_in 除去と、必要な issuer 向け専用 Nonce Endpoint の必須化を提案。8/27 APAC 友好枠コール(議事録 000438)で「Nonce Endpoint 新設のコンセンサス」が形成された直後に起票されたが、Torsten Lodderstedt からは「nonce を単純に除去すると wallet が credential issuance request を試行しない限り proof-of-possession 用の nonce を取得できない」という懸念が示され、tlodderstedt 自身が「専用 Nonce Endpoint を追加するべき」と提案。HTTP メソッドが GET か POST かを巡る議論も発生し、最終的に POST + appropriate cache-control headers で合意。merge は 10/8 に持ち越し。

PR #237 OID4VP: client_id_scheme の完全廃止案(8/27 起票)

Oliver Terbu(awoie)起票、Issue #124 解決を目指す。client_id_scheme パラメータそのものを廃止し、(1) X.509 証明書、(2) DID、(3) Verifier Attestation、(4) OpenID Federation、(5) 事前登録クライアント、の 5 つの認証手段を既存の client metadata retrieval に統合する設計案。

主要論点(8 月中の議論):

  • Downgrade 攻撃懸念: Daniel Fett が「verifier が実際に何を検証したかと wallet が何を検証したかが一致しなければならない」と指摘。処理順序の標準化が必要との立場
  • 処理順序: awoie は「wallet ポリシーが手段サポートを決める」と主張、Fett は「実装一貫性のために明確な順序が必要」と反論
  • JWK Binding: 議論を経て「VP に対する JWK Thumbprint の暗号学的バインディング(aud=<JWK-Thumbprint>:<client_id> 形式)」がダウングレード攻撃対策として追加される方向に
  • client_id 一意性: martijnharing が「事前登録クライアントと in-band 手段が同じ client_id を使う場合に wallet がどう区別するか」を問題提起

本 PR は最終的には 9/27 に クローズ(merge せず) され、Daniel Fett の代替案 PR #263(9/13 起票、client_id 自体にプレフィックスを付与する設計)へ統合される方向で議論が進む。

PR #220 OID4VP: 新クエリ言語アプローチ 1(7/25 起票、8 月に活発議論)

Daniel Fett 起票、Issue #178 解決を目論む 15 commit の大型 PR。Presentation Exchange に代わるクエリ言語の「Approach 1」として提示された。

8 月の議論で浮上した論点:

  • Presentation Exchange に対する真の改善になっているか
  • プロトコル非依存の独立仕様として切り出すべきか
  • purpose を free text にするか reason code にするか(プライバシー・セキュリティ観点)
  • credential identifier を string にするか integer にするか
  • ネスト深度の制限と表現力のトレードオフ
  • HR シナリオ等での「at least one」要件
  • purpose descriptions の多言語化

最終的にこの PR は クローズ(merge せず) となり、9/18 起票の PR #266「Approach 3」に発展する。

PR #197 OID4VP: transaction_data メカニズム(6/18 起票、8 月に Payments/QES 特集)

Kristina Yasuda 起票。8/8 EU 友好枠コール(Payments/QES 特集)でゲスト登壇(VISA の Ranjiva / Stefan、D-Trust の Mark)からの実装者フィードバックが集まった。

8 月の議論で浮上した論点:

  • Paul Bastian「transaction_dataresponse_type または専用 credential format に分離した方が設計上きれい」「二者間トランザクションを三者間 credential framework に押し込むことで予期せぬ非互換が生じうる」
  • 一方で EU Digital Wallet Consortium からは「PSD2 Dynamic Linking の payment confirmation 要件に合致するため pilot する」との実用支持

実際の merge は 10/21 まで持ち越される。

PR #233 OID4VP: client_metadata の許容パラメータ明確化(8/25 起票)

Joseph Heenan(jogu)起票。5/21 の WG コンセンサスを反映し、client_metadata で許容する metadata パラメータを限定する PR。「OpenID Connect Dynamic Client Registration の他のパラメータは、本仕様の profile が明示的に定義しない限り使用してはならない」「OpenID Federation Entity Statement 等の権威ある情報源を client_metadata の値で上書きしてはならない」「jwks は暗号用公開鍵を含めうる(個別 authorization request 用の ephemeral key を含む)」を規定。

8 月の議論では、Oliver Terbu「requests 内の jwks は署名検証に使ってはならない」、Brian Campbell「明確化のため RFC 7591 用語を採用すべき」、また「MUST NOT」と「SHOULD NOT」のいずれを使うかの強度議論が中心。最終的に WG は「より強い制約 (MUST NOT) を採用」して仕様の明確性を保つ方針で 9/27 に merge。

3. ミーティングと議論

DCP WG は 2024 年 8 月時点で APAC 友好枠(火曜 PST midday)EU 友好枠(木曜 PST 8am / 5pm CEST) の 2 系統の定例コールを毎週開催している。8 月のコールは大部分が前月末に起票された PR・Issue のフォローアップと、IIW 39 前後の Hybrid Meeting 計画、そして月末に Mike Jones / Brian Campbell / Oliver Terbu らが提示した一連のアーキテクチャ提案の集中討議に充てられた。

3-1. 2024-08-01 EU 友好枠コール(議事録: Joseph Heenan)

議事録は Week-of-Mon-20240729/000415。参加者: Joseph Heenan, Kristina Yasuda, Daniel Fett, Andreea Prian, David Chadwick, Hicham Lozi, Jan Vereecken, Javier Ruiz, Juba Saadi, Lilli Walter, Lukasz Jaromin, Martijn Haring, Micha Kraus, Michael Jones, Paul Bastian, Pedro Felix, Sander Dijkhuis, Sebastian Bickerle, Sebastien Bahloul, Steve Venema。

主要議題と議論:

  • PR レビュー: 新クエリ言語 (OpenID4VP PR #220) の数週間内 merge ターゲット確認(実質未解決論点は別 Issue 化する方針)と、CWT Proof 除去 (OpenID4VCI PR #369) の異議なき場合の近日 merge 予定
  • HDK (Hierarchical Deterministic Keys) プレゼン: Sander Dijkhuis が EU Large Scale Pilots 由来の鍵導出手法を解説。「wallet が credential 所持を証明する device binding は必須だが、proof key が複数あると linkability リスクが高まる」「現状ワークアラウンドとして multiple keys / batch issuance / BBS+ multi-signature がある」「first approach は鍵管理 / 保管が困難」と整理。BIP32 / ARKG / KBSS 等の解はあるが、blinded proof 機構も必要。iOS SecureEnclave / Android Strongbox での実装可否は理論上は両立するが要評価
  • OpenID4VC プロトコル調整: Paul Bastian が「HDK 統合に必要なプロトコル変更」を提示。local / remote key derivation のいずれでも batch issuance と reissuance を wallet HSM の user approval なしで簡素化できる
  • Linkability 議論: David Chadwick が「issuer と verifier 間の linkability 防止」を提起。BBS+ 以外の選択肢として Google の zero-knowledge proof アプローチが言及され、8/7 の W3C WICG コール(London 23:00)で Google 側のプレゼンが予定されていることを共有

アクション: PR #220 / #369 のレビュー継続、HDK の HSM 適合性評価、WICG ZKP プレゼンのフォローアップ。

3-2. 2024-08-06 APAC 友好枠コール(agenda 000417

agenda 投稿は Joseph Heenan。議題は IPR リマインダ / イベント / Thursday コール(payments use cases)への事前周知 / Oliver / Tobias の client_id_scheme security 提案(VP Issue #124 ベース)/ レビュー要請 PR / 他の open PRs / Issues。本コールの議事録は ML には独立して公開されていないが、8/27 議事録の前提として client_id_scheme 議論の起点となった。

3-3. 2024-08-08 EU 友好枠コール(agenda 000418、Payments/QES 特集)

agenda 投稿は Kristina Yasuda。「Payments と QES use-cases での transaction_data メカニズム」をテーマに、ゲスト登壇を含む特別構成:

  • VISA から Ranjiva と Stefan が payments use case を 10 分プレゼン + Q&A
  • D-Trust から Mark が QES use case を 10 分プレゼン + Q&A
  • 20-30 分の WG 議論

本コールは月内で最も実装者ヘビーなセッションで、PR #197(Kristina Yasuda 起票の transaction_data)への直接的なユースケース検証の場となった。コール後の Paul Bastian による「transaction_data を専用 response_type / credential format に分離する代替案」の問題提起(PR #197 のコメント)は本セッションの議論を反映している。本コール自体の独立議事録は ML には公開されていない。

3-4. 2024-08-20 APAC 友好枠コール(agenda 000423

agenda 投稿は Kristina Yasuda。Subject は「[agenda] DCP WG + SIOP call (PST 8am) - focus on transaction data in payments and QES use-cases」だが、本文の議題は 8/8 のフォローアップ性質。transaction_dataclient_id_scheme、wallet authentication 関連 PR の進捗確認が中心。独立議事録は ML には公開されていない。

3-5. 2024-08-22 EU 友好枠コール(agenda 000424 / 000431

agenda 投稿は Kristina Yasuda。議題:

  1. IPR リマインダ / ノートテイク
  2. 紹介 / 再紹介
  3. agenda adoption
  4. イベント / 外部組織アップデート
  5. 「Tuesday の client_id_scheme security 議論のフォローアップ」
  6. transaction_data PR (#197) の議論
  7. Wallet が Verifier に対して認証する課題(VP Issue #141
  8. ready-for-PR な Issue
  9. 他の open PRs / Issues

本コールでの独立議事録は ML に公開されていないが、8/29 コールが「ここでの議論を引き継ぐ」前提で構成されている。

3-6. 2024-08-27 APAC 友好枠コール(議事録: Steve Venema)

議事録は Week-of-Mon-20240902/000438(9 月初週に届いたメッセージ)。本月で 最も決定が集積したコール で、9 月以降の WG 方向性を規定した。参加者は Bjorn Hjelm, Brian Campbell, Christian Bormann, Daniel Fett, Gail Hodges, Hicham Lozi (Apple), Jan Vereecken, John Bradley, Joseph Heenan (OIDF & Authlete), Ketan Mehta, Kristina Yasuda (OIDF), Martijn Haring, Michael Jones, Nemanja Patrnogic, Oliver Terbu, Rajvardhan Deshmukh, Steve Venema, Sudesha Shetty, Tim Cappalli (Okta), Tobias Looker (MATTR), Tom Jones, Torsten Lodderstedt ほか。

主要議題と決定:

  • OIDF DCP Hybrid Meeting 登録案内: 10/28 Cisco 開催、午後の一般 OIDF meeting とは別登録が必要であることを周知
  • client_id_scheme セキュリティ (VP Issue #213 / VCI Issue #366 関連): 特に unsigned request での downgrade 攻撃が論点。詳細議論は PR コメントで継続する方針
  • Extensibility 言語 (VP Issue #227 / VCI Issue #375): Mike Jones が「Other values may be defined and used. If you encounter a value you don't understand then you must ignore it」を architectural principle として両仕様に取り込む案を提示。両仕様で別 PR を作る方針で合意(後の VP #240 / VCI #382)
  • Wallet Attestation Verification (VP Issue #141): 欧州 Digital Identity 要件への対応として、option 2 = ordinary credential として type 区別で扱い user consent を要求する を採択
  • c_nonce in Proof Requirements (VCI Issue #331): 専用 Nonce Endpoint を新設して Token Endpoint 応答における c_nonce の有無を巡る曖昧さを排除する 方向で合意(Brian Campbell が同日 PR #381 起票)

アクション割当:

  • Mike Jones: extensibility 言語の PR 投入(後の PR #240 / #382)
  • Christian Bormann: wallet attestation 仕様 PR
  • Oliver Terbu: client_id_scheme PR コメント反映と処理指示の追加

3-7. 2024-08-29 EU 友好枠コール(議事録: Michael Jones)

議事録は Week-of-Mon-20240826/000436。参加者: Joseph Heenan, Kristina Yasuda, Mike Jones, Giuseppe De Marco, George Fletcher, Steve Venema, Jin Wen, Brian Campbell, Paul Bastian, Christian Bormann, Daniel Fett, Jan Vereecken, David Chadwick, Ben Piercey, Martin Auer, Andreea Prian, Rajvardhan Deshmukh, Judith Kahrer, Bjorn Hjelm, Oliver Terbu, Hicham Lozi, Nemanja Patrnogic, Martijn Haring, Torsten Lodderstedt, Sebastien Bahloul。

主要議題と議論:

  • Federation Wallet Architecture プレゼン: Giuseppe De Marco が Federation Wallet Architectures draft(Connect WG 配下で採用審議中)を紹介。Credential Issuer / Wallet / Credential Verifier の entity type を定義し、OpenID4VC を拡張する四者間モデルを提示。DCP WG への提案タスクとして「jwks metadata の定義」と「verifier request の制約」が挙げられた。Federation 統合に関する未解決 Issue が残ることが指摘された
  • OpenID4VP client_id_scheme (PR #237): Oliver Terbu が提示。Mike Jones / Brian Campbell / Joseph Heenan がレビューを引き受け
  • Client Metadata Contents (PR #233): Issue #17 関連。Oliver が「requests 内の jwks は署名検証に使ってはならない」と強調。parameter 定義と許容場所が論点。Brian Campbell が RFC 7591 用語の採用 を推奨
  • Transaction Data 処理 (PR #197): Kristina が議論をリード。Paul Bastian が「transaction authorization を別 credential format に分離するべき」と主張。二者間 authorization と三者間 authorization モデルの比較、credential format usage rights、issuer / verifier 間関係の整理が議論された

アクション: PR #237 と PR #233 のレビュー、Oliver が jwks 使用制限の明確化テキスト提供、Mike Jones が extensibility 言語のレビュー。

3-8. 「OpenID4VP の無名メッセージ型命名コンテスト」(8/30)

Mike Jones が ML に Contest: Name the nameless OpenID4VP message type! を投稿。Issue #227 に紐づけ、「Response Endpoint から Wallet への応答」(OpenID4VP v1.0.21 の direct_post response mode 節に登場し redirect_uri を含む)に正式名称が無い問題を提起。Jones は「response from the endpoint」から「response from the Response Endpoint to the Wallet」への文言修正も提案。命名提案を WG コミュニティから募集するスタイルで、これは Issue #227 における extensibility 規約付与 と一体の整備案である。

4. メーリングリストの主要スレッド

4-1. 「OIDF DCP WG meeting notes for 2024-07-25」(2024-07-29 開始, Jan Vereecken)

スレッドは Week-of-Mon-20240729/000407 ほか。7/25 EU 友好枠コールの議事録が 7 月末に投稿され、8 月初週まで返信が継続したスレッド。Giuseppe De Marco(000408)、Kristina Yasuda(000409)、Tom Jones(000410)、Giuseppe De Marco(000411)が返信。Federation Wallet Architecture と DCP の境界、key derivation 議題の起点となった。

4-2. 「1st August 2024 DCP WG call」議事録(2024-08-02, Joseph Heenan)

スレッドは Week-of-Mon-20240729/000415。8/1 EU 友好枠コールの議事録(§3-1 参照)。Sander Dijkhuis の HDK プレゼンを巡る議論が中心で、当該議事録は後の DCP WG での key derivation 議題の参照点となった。

4-3. 「What is the state of the conformance tests?」(2024-08-13 開始, Richard Esplin)

スレッドは Week-of-Mon-20240812/000422 を起点に 8/19 週へ続く。Dock Labs の Richard Esplin が「OID4VCI(issuance flows)と OID4VP(relying party flows)の conformance test ソースコードはどこにあるのか」を問題提起。本人は (1) OID4VP リポジトリのテスト、(2) OpenID Conformance Suite、(3) 2022 / 2023 の Issue を確認したが該当コードを発見できなかったと報告。

返信:

  • Joseph Heenan(000429: 「VP wallet テストは利用可能。テストコードは現状 demo system にしかデプロイされておらず、ソースは conformance suite repository の demo branch にある」と回答。さらに今後のロードマップとして「(1) VCI issuer tests を年内、(2) VP verifier tests を続いて、(3) VCI wallet tests を最後に」開発予定と告知。問い合わせは certification at oidf.org 経由を推奨
  • Marcos Caceres(000430: 「W3C/Browser Digital Credentials API テストは github.com/web-platform-tests/wpt/tree/master/digital-credentials にある。現状は malformed request の処理と (定義中の) canonical structure 検証をサポート。今後 WebDriver API を開発予定(WebAuthn WebDriver と類似のアプローチ)」と補足。OpenID コミュニティからの contribution を歓迎すると明言
  • Richard Esplin(000433: フォローアップ

このスレッドは、DCP WG 配下仕様の conformance / interop インフラが 2024 年 8 月時点で「VP wallet テストは demo 段階のみ、VCI / verifier / wallet 系は年内開発」という状況 を ML 上で明示的に共有した点で重要。

4-4. 「On-going call for adoption in Connect WG: 'OpenID Federation Wallet Architectures 1.0'」(2024-08-09, Kristina Yasuda)

スレッドは Week-of-Mon-20240805/000420。Connect WG 配下で進行中の「OpenID Federation Wallet Architectures 1.0」採用審議を DCP WG メンバーに案内し、OID4VP / OID4VCI に詳しい者からのフィードバックを要請。この文書は後の DCP-Connect 境界線議論の起点であり、8/29 EU 友好枠コールでの Giuseppe De Marco プレゼン(§3-7)に直結する。

4-5. 「Contest: Name the nameless OpenID4VP message type!」(2024-08-30, Michael Jones)

スレッドは Week-of-Mon-20240826/000437。VP Issue #227 と紐づき、direct_post response mode 節における「Response Endpoint から Wallet への応答」メッセージ型の正式名称付与を WG コミュニティに呼びかけた投稿(§3-8 参照)。extensibility 規約(VP #240 / VCI #382)の整備とセットで進む整理作業の宣伝的位置づけ。

5. GitHub 上の議論

8 月の AB/Connect 配下リポジトリ(OID4VP / OID4VCI)における GitHub 議論で、DCP WG コール / ML と直接連動して動いた主要スレッドを整理する。

5-1. openid/OpenID4VP#237 — Address client_id_scheme problems

  • 起票: 2024-08-27, Oliver Terbu(awoie)
  • 状況: 9/27 にクローズ(merge せず)、Daniel Fett の代替案 PR #263 に統合
  • Issue #124 解決を目論み、client_id_scheme パラメータを廃止して 5 つの認証手段(X.509 / DID / Verifier Attestation / OpenID Federation / pre-registered)を既存の client metadata retrieval に統合する案
  • 8 月終盤の議論で Daniel Fett が「verifier の検証期待値と wallet の検証実体が一致しなければ downgrade 攻撃が成立する」と指摘。awoie は「wallet policy が手段サポートを決める」立場、Fett は「実装一貫性のため処理順序の標準化が必要」立場で対立
  • 議論の収束点として「VP に対する JWK Thumbprint の暗号学的バインディング(aud=<JWK-Thumbprint>:<client_id>)」が downgrade 攻撃対策として浮上
  • martijnharing が「事前登録クライアントと in-band 手段が同じ client_id を使う場合の区別」を問題提起

5-2. openid/OpenID4VCI#381 — Remove c_nonce from token endpoint, define new Nonce Endpoint

  • 起票: 2024-08-27, Brian Campbell(bc-pi)
  • 状況: 9 月時点で議論継続、10/8 merge
  • 8/27 APAC 友好枠コールでの「Nonce Endpoint 新設」合意(§3-6)直後に起票された PR
  • Issue #39 を解決(関連 Issue #331 / #357 にも対応)
  • Torsten Lodderstedt が「c_nonce を単純に除去すると wallet は credential issuance request を試行しない限り proof-of-possession 用 nonce を取得できず複雑化する」と懸念表明、自ら「専用 Nonce Endpoint を追加すべき」と建設的提案
  • 8 月終盤の議論で HTTP method を GET にするか POST にするかが論点となり、POST + appropriate cache-control headers で合意形成

5-3. openid/OpenID4VP#197 — Add transaction_data

  • 起票: 2024-06-18, Kristina Yasuda(Sakurann)
  • 状況: 8 月に Payments/QES 特集コール(8/8)で実装者ヘビーな議論、最終 merge は 10/21
  • Paul Bastian が「transaction_data を専用 response_type または専用 credential format に分離した方が設計上きれい」「二者間トランザクションを三者間 credential framework に押し込むことで予期せぬ非互換が生じうる」と問題提起
  • EU Digital Wallet Consortium からは「PSD2 Dynamic Linking の payment confirmation 要件に合致するため pilot する」との実用支持
  • 8 月後半は PR への new commit よりも ML / コール上の方向性議論が中心

5-4. openid/OpenID4VP#220 — Introduce new query language (Approach 1)

  • 起票: 2024-07-25, Daniel Fett
  • 状況: 後にクローズ(merge せず)、9/18 の PR #266「Approach 3」に発展
  • 8/1 EU 友好枠コールで「数週間内 merge ターゲット」と確認されたが、8 月中の議論で構造的な疑念が積み上がり、最終的に大幅再設計が必要との判断
  • 主要論点: Presentation Exchange に対する真の改善か、プロトコル非依存仕様として切り出すべきか、purpose を free text にするか reason code にするか(プライバシー観点)、credential identifier の型、ネスト深度、HR シナリオの「at least one」要件、purpose の多言語化

5-5. openid/OpenID4VCI#369 — Removes CWT Proof

  • 起票: 2024-07-25, babisRoutis
  • 状況: 8/2 merge
  • Issue #320 解決。proof type から CWT を削除する破壊的変更
  • 5 件 approval、1 週間ポリシー完了で jogu が merge 宣言。CWT proof は実装者プッシュが弱く、JWT proof に統一する WG 合意が形成済みだった

5-6. openid/OpenID4VP#224 — Clarifications on processing expected_origins and processing steps

  • 起票: 2024-08-06, Marcos Caceres
  • W3C Digital Credentials API(ブラウザ側)からの要請に基づく、expected_origins 処理ステップの明確化要求
  • 8/19 週の conformance tests スレッドへの Caceres の参加(§4-3)と並行する、ブラウザ実装側からの DCP WG への継続的フィードバック流入の一例

6. 関連イベント

  • W3C WICG Digital Credentials API call(8/7、ロンドン時間 23:00 / 米国西海岸時間昼): Google の zero-knowledge proof アプローチが presentation 予定として 8/1 EU 友好枠コールで Kristina Yasuda が告知。linkability 防止策の選択肢として DCP WG が注視
  • DCP WG Hybrid Meeting at Cisco(10/28 開催)の登録開始: 8/19 に Mike Leszcz(OIDF Operations Director)から ML に Eventbrite 登録案内(000425)。会場は Cisco San Jose Building 10 - Union Square (300 E Tasman Dr)。9am-12pm PT、ハイブリッド形式(WebEx 接続)、最終登録締切 10/18、Cisco 提出用最終リスト 10/21 締め。IIW 39 Fall(10/29-31, Computer History Museum, Mountain View)の前日 に開催されることが意識されている
  • Federation Wallet Architectures 1.0 採用審議(Connect WG): 8/9 に Kristina Yasuda から DCP WG ML に告知(000420)。DCP-Connect 境界線議論の起点

7. 今後の予定

2024 年 8 月末時点で WG が共有していた当面の予定は以下のとおり。

  • 9 月:
    • VP / VCI の client_id_scheme セキュリティ問題(Issue #124)への PR 収束。PR #237 (Oliver Terbu) のレビュー継続と、必要に応じた代替設計の検討
    • 非破壊拡張規約(Issue #227 / #375)の VP / VCI 両仕様への並行 PR 投入(Mike Jones が担当)
    • Wallet Attestation 仕様 PR の起票(Christian Bormann が担当、option 2 = ordinary credential として type 区別で扱うアプローチ)
    • Nonce Endpoint 新設 PR (#381) の磨き込みと merge
    • transaction_data (PR #197) と新クエリ言語 (PR #220) の継続討議
    • VCI の c_nonce 関連 Issue #331 の根本解決
  • 10/28: DCP WG Hybrid Meeting at Cisco San Jose
  • 10/29-31: IIW 39 Fall(Computer History Museum, Mountain View)
  • 2024 年末まで: VCI issuer 向け conformance test の開発完了見込み(Joseph Heenan のロードマップ)
  • 2025 年以降: VP verifier テスト、VCI wallet テストの順次開発、EU implementing acts 次回ラウンドへの参照可能化を見据えた仕様 Final 化議論の本格化

8. 参考情報源

ML スレッド(pipermail)

GitHub Issues / PRs

公式ページ