idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2024 年 9 月)

執筆日: 2026-05-20(遡及執筆) この記事は 2024 年 9 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、IETF SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。WG ページ (openid.net/wg/digital-credentials-protocols) によれば、WG が所掌する主力仕様は OpenID for Verifiable Credential Issuance (OID4VCI)OpenID for Verifiable Presentations (OID4VP)Self-Issued OpenID Provider v2 (SIOPv2) の 3 本である。共同議長は Kristina Yasuda(SPRIND)、Joseph Heenan(Authlete)、Dima Postnikov、Brent Zundel(Yubico)。

2024 年 9 月時点で DCP WG は 発足直後の立ち上げ期 にあたり、専用 ML(openid-specs-digital-credentials-protocols)と週次定例コール(APAC 友好枠と EU 友好枠の 2 系統、いずれも DCP WG + SIOP call の名称で運営)が稼働している。一方で、対象仕様である OID4VP / OID4VCI 自体は 依然として AB/Connect WG 配下のリポジトリ(openid/OpenID4VP, openid/OpenID4VCI)で開発されている 過渡期である。実際、9 月の PR / Issue 議論はすべてこれら AB/Connect 配下のリポジトリで行われている。DCP WG への正式な「家移し」(Call for Adoption)は翌四半期以降に持ち越されており、本月の議論の中心テーマの 1 つは「OID4VP / OID4VCI の Final 1.0 をどう出すか」というプロセス論であった。

2024 年 9 月の本 WG における主要な動きは以下のとおり。

  • VCI / VP の 1.0 Final 化加速の提案: 9 月 9 日付で Joseph Heenan が ML に「Moving OpenID4VCI & VP specs to final / EU wallet implementing acts」を投稿(Week-of-Mon-20240909/000443)。EU デジタルアイデンティティウォレットの implementing acts が「Final 化された規格しか参照できない」点を踏まえ、年内 1.0 Final 公開、当初 1.1 予定の機能のうち breaking change を伴うもののみ 1.0 に取り込み、新クエリ言語等の追加機能は非破壊な 1.1 として後追いする運営方針を提案
  • client_id_scheme セキュリティ問題の決着方針確定: Daniel Fett の PR openid/OpenID4VP#263「Change client_id_scheme to a prefix」が 9 月 13 日に起票され、client_id 自体に did:, x509_san_dns:, https: 等のプレフィックスを付与する設計案を提示。9 月 23 日には Joseph Heenan が ML 全体に Request for VP implementor feedback を出し「10 月 1 日に WG として最終決定する」と告知(実際の merge は 10 月 3 日)
  • 新クエリ言語アプローチ #3 の提示: Daniel Fett の PR openid/OpenID4VP#266「Introduce new query language (Approach 3)」が 9 月 18 日に起票。後の DCQL の原型となる、id ベースの credential / claim set 定義案
  • VCI Nonce Endpoint 構想の具体化: Brian Campbell の PR openid/OpenID4VCI#381(8 月起票)が WG コール議論を経て中身を固めた月。「Token Endpoint 応答から c_nonce を除去し、専用 Nonce Endpoint を必要に応じて備える」設計が WG で支持を集める
  • VP / VCI への non-breaking extensibility 言語の導入: Michael Jones(selfissued)の PR openid/OpenID4VP#240(9 月 16 日 merge)および openid/OpenID4VCI#382(9 月 26 日 merge)。「unknown values must be ignored」型の拡張規定を両仕様に追加し、Implementer's Draft 後の非破壊拡張のための土台を整備
  • OIDF Process Document / IPR Policy 改訂提案: 9 月 25 日に Gail Hodges が ML に OIDF Process and IPR Updates を投稿。理事会が 9 月 12 日に全会一致で改訂案を承認、21 日間の会員レビュー(9/13 〜 10/4)と投票期間(10/5 〜 10/19)が告知された。Quorum 算定の現実化(「Active Contributor の 20% または 20 名のいずれか少ない方」)、Errata Corrections 用語の正式定義、IPR 適用範囲の表形式整理が主眼

本月の DCP WG 定例コールとしては APAC 友好枠 9/3・EU 友好枠 9/5(議事録 000442)・APAC 友好枠 9/10・EU 友好枠 9/12(議事録 000448)・APAC 友好枠 9/17(agenda 000451)・EU 友好枠 9/19(agenda 000453)・APAC 友好枠 9/24(議事録 000458)・EU 友好枠 9/26(agenda 000460)が ML アーカイブから確認できる。

2. 公開された仕様・ドラフト改訂

DCP WG は 2024 年 9 月時点では新規 Implementer's Draft や Final 仕様の OIDF 公式公開を行っていない。所掌仕様(OID4VP / OID4VCI)は AB/Connect WG 配下のリポジトリで Editor's Draft が継続的に更新されている段階で、本月の主要な「公開」はメーリングリストや GitHub 上での実装者フィードバック募集と PR レビュー要請である。

1.0 Final 化タイムラインの提案

9 月 9 日付の Joseph Heenan による ML 投稿 Moving OpenID4VCI & VP specs to final / EU wallet implementing acts は、本月以降の WG 運営を規定した重要メールである。Heenan は以下を提案している。

  • EU デジタルアイデンティティウォレットの implementing acts は「Final 化された規格しか参照できない」。次回 implementing acts は 2025 年前半に改訂期に入る見込みであり、それまでに OID4VCI / OID4VP の Final 1.0 を出したい
  • OIDF のプロセス上、Final 化までには「7 日間の WG Last Call → 60 日間のパブリックレビュー → 7 日間の投票」と、PR マージに関する 1 週間ポリシーを経る必要がある。逆算すると 本月以降 2 週間が breaking change を取捨選択する critical window
  • 戦略は FAPI WG が踏襲した手法にならい、(1) 必要な breaking change のみを 1.0 に取り込み、(2) 新規機能は非破壊な 1.1 として後追いリリースする
  • 「赤(必須)」項目: ISO mDL ブラウザ API 要件、Deferred Endpoint 関連 issue(1.0 で削除し 1.1 で復活もあり得る)、Display metadata パース改善、バージョニング規約
  • 「黄(保留)」項目: 新クエリ言語は時間制約により 1.1 行き

この提案は 9 月後半の WG コールおよび ML 議論を一貫して規定し、10 月 8 日のコール(議事録 000470)での「Final 1.0 への機能押し込み」合意につながる。

OID4VP リポジトリ: 9 月にマージされた PR

openid/OpenID4VP リポジトリでは 9 月に 13 件の PR がマージ された(後の WGLC / ID3 公開直前期にあたる 10 月の駆け込み投入と比較すると、editorial / 軽微 normative 整理が中心)。

PRタイトルマージ日著者
#238Rename Appendix B9/9deshmukhrajvardhan
#234Better define response uri9/10jogu
#250response_mode was missing in browser API example unsigned request9/10bc-pi
#252fix: End-User term alignment9/10peppelinux
#246fix: user agent term and client_id value in credential api request9/10peppelinux
#245Bump actions/download-artifact from 2 to 4.1.79/10dependabot
#257Fix GitHub action that publishes compiled version spec from main9/11jogu
#243Clarify signing and encryption of JARM responses9/11selfissued
#242Add normative reference to JWK spec9/11selfissued
#235Make clear that names/values are UTF-8 in x-www-form-urlencoded9/12jogu
#240Enable non-breaking extensibility9/16selfissued
#233Clarify what can go in client_metadata authz request parameter9/27jogu
#270clarify base64url definition9/30Sakurann

技術的に重要なものを補足する。

PR #240: 非破壊拡張の正式言語化(9/16 マージ)

Michael Jones が起票し、jogu が approve・merge。Issue #227 を解決。「定義されていない値は無視せよ(unknown values must be ignored)、定義されていない値は今後追加され得る(other values may be defined and used)」という拡張規約を仕様本文に明示し、1.0 Final 化後の非破壊拡張のための言語的土台を整備した。8 月 27 日の WG コールで Jones が「architectural principle として VCI / VP 両仕様に取り込むべき」と提案し、コール側合意が得られたうえで Jones 自身が PR 投入した経緯(call notes 000438)。21 件のレビューコメントを経て 9/16 merge。

PR #243: JARM 応答の署名 / 暗号化整理(9/11 マージ)

Michael Jones による editorial。response_mode=direct_post.jwt 等での JARM (JWT Secured Authorization Response Mode) 応答の暗号化要件を明示。

PR #234: response_uri の定義精緻化(9/10 マージ)

Joseph Heenan(jogu)による定義整理。direct_post / direct_post.jwt 等で Verifier がレスポンスを受け取る response_uri の意味を明確化。

OID4VCI リポジトリ: 9 月にマージされた PR

openid/OpenID4VCI リポジトリでは 9 月に 4 件の PR がマージ された。

PRタイトルマージ日著者
#390Fix GitHub action that publishes compiled version spec9/11jogu
#382Enable non-breaking extensibility9/26selfissued
#398clarify base64url encoded definition9/27Sakurann
#391Add extensibility to Credential Response9/30c2bo

PR #382: 非破壊拡張の正式言語化(9/26 マージ)

Michael Jones が OID4VP #240 と並行で投入。Issue #375 を解決。9/24 の APAC 友好枠コール(議事録 000458)で RAR (Rich Authorization Requests) との関係が論点となり、Kristina Yasuda から「RAR 仕様本来のテキストから逸脱していないか」、Joseph Heenan から「extensions 等の専用メンバーで extensibility を明示すべきでは」とのコメントが付いた。RAR の主著者である Torsten Lodderstedt にレビュー依頼が出され、Thursday の EU 友好枠フォローアップで継続討議されたうえで 9/26 に merge。

PR #391: Credential Response への extensibility 付与(9/30 マージ)

Christian Bormann(c2bo)が起票。9/12 の DCP WG コール(議事録 000448)で「Credential Response 拡張のための 3 オプション」が議論され、Option 2 が WG として支持された結果のフォローアップ実装である。具体的には Credential Response を常に配列形式で返し、各 credential を notification_id などのオプションメタデータを含むオブジェクトでラップする設計を採用。Deferred Endpoint も同じ array response 形式を再利用する。Issue #386 / #58 を解決。30 件のレビューコメントを経て 9/30 merge。

OID4VP リポジトリ: 9 月に起票された主要 Issue

WGLC 直前の整理期にあたるため、長期検討用 issue が多数起票された。

  • #241 — jogu, 9/1, 「Does anyone use response_type=code with OID4VP?」(実装利用実態を問う。x509_san_dns 等の client ID scheme 周りで仕様が不完全な点を指摘し、利用が無ければ削除提案。後に「1.2 or later」マイルストーンへ)
  • #244 — jogu, 9/3, 「Browser API example unsigned request conformance」
  • #247 — awoie, 9/5, 「Allow wallet to choose public key retrieval method」
  • #248 — jogu, 9/6, 「Verifier authentication across multiple trust models/ecosystems」(Verifier が複数の信頼モデルを同時に支える際の wallet への認証手段選定問題。verifier authentication elements を配列で持たせる案を提示。後に Final 1.0 マイルストーンに分類)
  • #249 — bc-pi, 9/6, 「VP Token format extensibility」(後の DCQL 設計に直接フィード)
  • #251 — c2bo, 9/6, 「client_metadata section (text & references)」
  • #255 — martijnharing, 9/10, 「Permit the use of the new query language instead of presentation exchange」(Section 5 の presentation_definition MUST 要件を緩和して別クエリ言語を許容する提案)
  • #256 — martijnharing, 9/10, 「vp_token definition referencing OpenID4VCI」
  • #259 — Sakurann, 9/11, 「Define where in mdoc presentation to include transaction data」
  • #261 — cyberphone, 9/12, 「Payments - Credential Presentation & Verification」
  • #262 — samuelgoto, 9/12, 「Should Appendix A be referenced in section 7 as wallet invocation option?」
  • #264 — samuelgoto, 9/16, 「Update Appendix 1 to be consistent with latest Digital Credentials API snapshot」
  • #265 — patatoid, 9/17, 「Same-device / cross-device differentiation」
  • #268 — jogu, 9/20, 「Require JAR typ value to be used in request objects」
  • #269 — tplooker, 9/23, 「Remove client_id_scheme = redirect_uri
  • #272 — breynders-cb, 9/27, 「Further clarify redirect_uri shape with direct_post responses」

OID4VCI リポジトリ: 9 月に起票された主要 Issue

  • #384 — millenc, 9/3, 「Support for embedded disclosure policies」
  • #385 — peppelinux, 9/3, 「The Value of Having JWKS in the Credential Issuer Metadata」
  • #386 — paulbastian, 9/5, 「Add extensibility to Credential Response」(PR #391 で解決)
  • #387 — bc-pi, 9/5, 「VP Token format extensibility」
  • #388 — babisRoutis, 9/6, 「Pre-Authorized Code Flow: When wallet must include authorization_details to the Token Request?」
  • #393 — bc-pi, 9/17, 「Remove the option to return c_nonce from the credential response」(PR #381 が前提)
  • #394 — tplooker, 9/17, 「Consider removing the c_nonce_expires_in parameter」(「nonce はいつでも invalidate され得るため expires_in は実装者にミスリーディング」と主張)
  • #395 — OR13, 9/19, 「Generic nonce endpoint」
  • #396 — fabrii, 9/19, 「OID credential issuer identifier」

起票され議論された主要 PR(未マージのまま 9 月を終えたもの)

PR #266 OID4VP: 新クエリ言語アプローチ #3(9/18 起票、後の DCQL の原型)

Daniel Fett 起票。id ベースの credential / claim set 定義と、format 固有のクエリパラメータを併設する設計案を初提示。9/24 の APAC 友好枠コール(議事録 000458)で Daniel が最新変更を説明したものの、Oliver Terbu・Tobias Looker・Martijn Haring から「sd_alg_values 系のパラメータが mdoc / SD-JWT VC 双方の文脈で相互運用性問題を引き起こす」との指摘が出て、当該パラメータを含めない方針で合意した。Martijn は数日以内に claim optionality の構文に関する PR コメントを提出することを約束。本 PR は 10/23 の WGLC 直前まで磨かれ、最終的に 200 件超のレビューコメントを経て DCQL として 10 月にマージされる。

PR #263 OID4VP: client_id_scheme のプレフィックス化(9/13 起票)

Daniel Fett 起票。Issue #124(client_id_scheme セキュリティ問題)の解決策として、client_id_scheme 別パラメータを廃止し client_id 自体に did:, x509_san_dns:, https:, web-origin: 等のプレフィックスを付与する案。あわせて entity_idhttps に変えて OpenID Federation と整合させる。これは PR #237(Oliver Terbu の awoie・8/27 起票、client_id_scheme を完全廃止し Dynamic Client Registration / OpenID Federation / client_metadata に共通化する案。後にクローズ)を発展させた代替案である。9/24 のコール(議事録 000458)では、Brian Campbell が「did: や federation scheme は既にコロンを含んでいるので特別扱いせず識別できる」と発言、Michael Jones は「本番運用で HTTPS URL を client_id に使っている federation deployment との後方互換性が懸念」と指摘した一方、unsigned な browser API リクエストでは HTTPS URL を client_id に使うと混乱するため「browser API 文脈ではプレフィックス化が必要」と整理された。Kristina Yasuda がコール中に明確化コメントを PR に追加し、「PR #263 のアプローチで進める」緩い合意が得られた。

PR #381 OID4VCI: Nonce Endpoint 新設(8/27 起票)

Brian Campbell 起票。Token Endpoint 応答からの c_nonce / c_nonce_expires_in 除去と、必要な issuer に対する専用 Nonce Endpoint の必須化。Issue #39 解決。9/12 の DCP WG コール(議事録 000448)で「Credential Error Response における nonce 機構を残すか除去するか」が論点として残り、追加レビューが必要との判断で merge は持ち越し(実際の merge は 10 月 8 日)。

PR #389 OID4VCI: Key Attestations の初版(9/6 起票)

Paul Bastian 起票。Issue #355 / #368 / #215 / #150 の解決を目論み、metadata 追加・Security Considerations 更新・key attestation 必須型の proof type 新設・key type と user authentication 関連パラメータ整理を含む大型 PR。9 月内には First Draft Review 段階で、9/17 / 9/19 のコール agenda に「Key attestation first draft review requested」として掲載された(agenda 000451, 000453)。最終的な merge は 11 月 19 日。

PR #392 OID4VCI: credential_configuration_id をクレデンシャルリクエストで使用可能化(9/16 起票)

Sakurann 起票。Issue #132 / #175 / #342 を解決し、credential request での credential 識別を credential_configuration_id でも可能にする。9/23 の Joseph Heenan からの ML 投稿 Request for VCI implementor feedback で「format ベースの既存オプションを残すか削除するか」を 10/1 までに WG として決定すべく実装者フィードバックを募集(RAR リクエストの ID1 以降の経緯と類比し「相互運用性とシンプルさのため削除候補」と Heenan は説明)。最終的な merge は 11 月 18 日。

3. ミーティングと議論

DCP WG は 2024 年 9 月時点で APAC 友好枠(火曜 PST midday)EU 友好枠(木曜 PST 8am) の 2 系統の定例コールを毎週開催している。月内に確認できる主なコールは以下 7 回。議事録が ML に明示的に投稿されたのは 8/27 分(9/3 着)、9/5 分(9/8 着)、9/12 分、9/24 分の 4 件である。

3-1. 2024-08-27 APAC 友好枠コール(議事録は 9/3 着信、Steve Venema)

議事録は Week-of-Mon-20240902/000438。9 月の議論を方向づけた直前のコールであり本月レポートでも参照する。参加者 23 名: Bjorn Hjelm, Brian Campbell, Christian Bormann, Daniel Fett, Gail Hodges, Hicham Lozi (Apple), Jan Vereecken, John Bradley, Joseph Heenan, Ketan Mehta, Kristina Yasuda, Martijn Haring, Michael Jones, Nemanja Patrnogic, Oliver Terbu, Rajvardhan Deshmukh, Steve Venema, Sudesha Shetty, Tim Cappalli (Okta), Tobias Looker (MATTR), Tom Jones, Torsten Lodderstedt ほか。

主要決定:

  • Extensibility 言語: Mike Jones が「other values may be defined and used; unknown values must be ignored」の architectural principle を両仕様に取り込む方針で合意 → 後の PR #240 / #382 として実装
  • Wallet Attestation: Issue #141 への対応として「ordinary credential として type 区別で扱う」option 2 を採択
  • VCI #331 c_nonce: 専用 Nonce Endpoint を新設し、関連 PR を merge する前にこの endpoint 定義を作る方針で合意

アクション割当: Oliver Terbu が PR #237 のコメント反映、Mike Jones が extensibility 言語の PR 投入、Christian Bormann が wallet attestation PR、Torsten Lodderstedt が client_id_scheme 除去関連のコメント追加。

3-2. 2024-09-03 APAC 友好枠コール(agenda 000439

agenda 投稿は Joseph Heenan。議題は IPR リマインダ / イベント / EU implementing acts updates from editors/chairs / Publishing priorities for VCI and VP revisions / c_nonce PR (#381) / client_id_scheme セキュリティ提案 (issue #124) / Non-breaking extensibility PR (OpenID4VP #240, OpenID4VCI #382) / Other PRs and issues / Editorial issues needing volunteer contributors。本コールの議事録は ML には公開投稿されていないが、9/12 のコール議事録から「9/5 EU 側で同題討議」と読み替えられる。

3-3. 2024-09-05 EU 友好枠コール(議事録は 9/8 着信、Christian Bormann)

議事録は Week-of-Mon-20240902/000442。主要論点:

  • EU implementing acts: Joseph Heenan が「今回 (2024 年) のラウンドに間に合わせるには遅すぎる、次のラウンドで対応すべき」と整理
  • バージョン管理: 1.0 と 1.1 の breaking change の扱いを議論。Presentation Exchange を MUST 要件のままにするか、別クエリ言語を併存可能とするかが論点
  • client_id セキュリティ: client_id_scheme メカニズムの validation order を議論。Daniel Fett が「client_id_with_scheme パラメータを新設して両者を結合し、verifier が用いたメカニズムを判別不能となる security issue を防ぐ」案を提示
  • Oliver Terbu が client_id 検証の validation ordering 案を提示、Mike Jones と Brian Campbell からは「signed request を MUST にすべきか」(browser API リクエストは常に署名されるとは限らない)
  • アップカミングイベント: 翌週開催の ETSI/CEN Workshop for the European Digital Identity Wallet を Kristina Yasuda が紹介

3-4. 2024-09-12 EU 友好枠コール(議事録: Pedro Felix)

議事録は Week-of-Mon-20240909/000448。参加者 23 名: Andreea Prian, Bjorn Hjelm, Brian Campbell, Christian Bormann, Daniel Fett, David Chadwick, Gareth Oliver, George Fletcher, Hicham Lozi, Jan Vereecken, Javier Ruiz, Joseph Heenan, Judith Kahrer, Lee Campbell, Lukasz Jaromin, Martijn Haring, Mike Jones, Oliver Terbu, Paul Bastian, Pedro Felix, Rajvardhan Deshmukh, Sebastien, Steve Venema。

主要議題と議論:

  • Query Language Redesign: Daniel Fett が「以前案で確認された polymorphic and recursion issues」に対処する改訂アプローチを提示。実装者である Lee Campbell と Paul Bastian は「以前のアプローチでも特段の問題は経験していない」と報告。新案のメリットが見えないとの懸念が出て、Joseph Heenan は「もう少し議論を尽くしてから進めるべき」と整理
  • Verifier Authentication 問題: 「複数の信頼モデルをまたぐ Verifier の wallet への認証」を Joseph Heenan が「OID4VP 1.0 の major risk」と表現し緊急対応を要請。Torsten Lodderstedt が提案を提出済みでコミュニティフィードバック待ち(後の Issue #248 に対応)
  • Credential Response 拡張: 3 オプションが提示され、option 2 が望ましいとの合意。PR 開発の承認(後の PR #391 として 9/30 merge)
  • Nonce Endpoint: Token Endpoint 応答からの c_nonce 除去を議論。Credential Error Response における nonce 機構の去就が未決で追加レビュー必要

3-5. 2024-09-17 APAC 友好枠コール(agenda 000451

agenda 投稿は Kristina Yasuda。議題ハイライト:

  • VP/VCI 1.0 Final Publication: 「テスト / 実装済みのものを 1.0 Final として出し、それ以後は後方互換バージョンを継続」のコンセンサス討議
  • Query Language: VP PR #258 「Presentation Exchange の代替として別クエリ言語を許容」(martijnharing、Issue #255 に対応)
  • Credential Response Extensibility: VCI PR #391
  • Token Endpoint Response: VCI PR #381 c_nonce 除去
  • Client ID Scheme Security: Issue #124
  • Credential Request Enhancement: VCI PR #392 credential_configuration_id オプション
  • Claims Display and Query: VCI PR #276 claims display description / paths
  • Digital Credentials API Alignment: VP Issue #264 Appendix 更新
  • Key Attestation: VCI PR #389 first draft review 要請
  • 11 月 18 日週の DCP WG Hybrid Meeting(IIW 39 前日週)について Kristina から事前案内

3-6. 2024-09-19 EU 友好枠コール(agenda 000453

agenda 投稿は Kristina Yasuda。9/17 APAC 友好枠の同じ議題セットを EU 時間で再討議。VCI PR #392 / VP PR #258 / VP Issue #124 / VCI PR #391 (updated) / VCI PR #381 (updated) / VCI PR #276 / VP Issue #264 / VCI PR #389 を順に議論。議事録は ML に明示的に投稿されていない(agenda メールでは Subject 行の "PST 8am" と本文の "midday" が不一致との注も)。

3-7. 2024-09-24 APAC 友好枠コール(議事録: Joseph Heenan)

議事録は Week-of-Mon-20240923/000458。参加者: Kristina Yasuda, Joseph Heenan, Daniel Fett, Christian Bormann, Martijn Haring, Lukasz Jaromin, Nemanja Patrnogic, Niels Klomp, Giuseppe De Marco, Tobias Looker, Oliver Terbu, Michael Jones, Brian Campbell, Edmund Jay, Hicham Lozi, Gail Hodges, Rajvardhan Deshmukh, Tom Jones, Bjorn Hjelm。

主要決定:

  • TPAC イベント報告: payment / web ステークホルダ間の連携が進展。ブラウザ API のプライバシー期待値と selective disclosure をユーザーにどう説明するかが課題。「ブラウザ向け issuance profile を作る必要」「異なる WG 間の協調」が認識。OID4VP のブラウザ API 上動作モデルは前年比で受容が広がった
  • eKYC 投票通知: メンバーへ案内。abstain(棄権)票もクオラム要件には寄与する点を強調
  • Client ID Scheme Security (PR #263): Brian Campbell「did: や federation scheme は既にコロンを含んでいるので特別扱い不要」、Mike Jones「production の federation deployment で HTTPS URL を client_id にしている事例との互換性が懸念」、unsigned な browser request では HTTPS URL を client_id に使うと混乱、で議論。「browser API 文脈ではプレフィックス化必須、PR アプローチで概ね合意」と整理。Kristina がミーティング中に PR にクラリフィケーションコメントを追加
  • VCI Non-breaking Extensibility (PR #382): Kristina「RAR 仕様の本来テキストから逸脱していないか」、Mike「RAR リクエスト用の extensibility は merge 前に必須」、Joseph「extensions 等の専用メンバーで extensibility を明示すべきでは」と発言。RAR 主著者の Torsten にレビュー依頼、Thursday の EU 友好枠でフォローアップ
  • Query Language (PR #266): Daniel が最新変更を説明。Oliver / Tobias / Martijn「sd_alg_values 系パラメータは MDL と SD-JWT VC 双方で相互運用性問題を引き起こす」と指摘 → 当該機能を一旦除外、ユースケース判明後に追加。Martijn は数日以内に claim optionality 構文に関する PR コメントを提出

3-8. 2024-09-26 EU 友好枠コール(agenda 000460

agenda 投稿は Joseph Heenan。1.0 PR の最終整理が中心議題 となり、以下が「next week merge を狙う」優先項目として明示された。

  • VP: client_id_scheme プレフィックス化 (Issue #124 / PR #263) — 翌週 merge ターゲット
  • VP: 代替クエリ言語 (#258) — 最新コメントを議論
  • VP: ブラウザ API 規範依存の除去 (#254)
  • VCI: credential_configuration_id オプション (#392) — 翌週 merge ターゲット
  • VCI: Credential Response Extensibility (#391)
  • VCI: Key Attestations
  • VCI: c_nonce PR (#381) — Torsten 要求の変更に対処
  • VCI: RAR Extensibility (#382)

その他レビュー要請 PR: VP client_metadata (#233), VP additional request examples (#218), VCI credential offer endpoint clarification (#380)。1.1 タイムライン議論: クエリ言語 attempt 3 (#266)、複数信頼モデルにわたる Verifier の wallet 認証 (#248) の取り扱い。

4. メーリングリストの主要スレッド

4-1. 「Moving OpenID4VCI & VP specs to final / EU wallet implementing acts」(2024-09-09 開始, Joseph Heenan)

スレッドは Week-of-Mon-20240909/000443。本月の方向性を決定づけたメッセージ。Heenan が WG 共同議長兼 OID4VP / OID4VCI エディタの立場で、EU デジタルアイデンティティウォレットの implementing acts が「Final 化された規格しか参照できない」点に着目し、年内 1.0 Final 公開のロードマップを提示。FAPI WG が採用した「breaking change のみ 1.0 に押し込み、非破壊機能は 1.1」戦略の踏襲を提案する。「赤(必須)」項目 ─ ISO mDL ブラウザ API 要件・Deferred Endpoint・Display metadata パース・バージョニング ─ と「黄(後回し)」項目 ─ 新クエリ言語 ─ の整理が行われた。返信スレッドは ML 上には大規模化していないが、9/12 のコール議事録に「Heenan の提案を WG として共有」と記録されており、以後 10 月の運営合意につながった。

4-2. 「Request for VP implementor feedback: breaking change to fix client_id_scheme security」(2024-09-23 開始, Joseph Heenan)

スレッドは Week-of-Mon-20240923/000456。Issue #124(Daniel Fett 起票の client_id_scheme セキュリティ懸念)への解決策として、PR #263 を WG として 10/1 までに最終決定すべく実装者にフィードバックを募った投稿。「WG メンバーの多くがこの解決策で security 問題を解決し、かつ実装可能と感じている」と評価。PR コメントまたは ML 返信での意見表明を要請した。

4-3. 「Request for VCI implementor feedback: Mandating credential_configuration_id in Credential Request when using scopes」(2024-09-23 開始, Joseph Heenan)

スレッドは Week-of-Mon-20240923/000455。Issue #294 / PR #392(Sakurann 起票)に関連し、Credential Request での credential 識別子として credential_configuration_id を「3 つ目の選択肢として追加するか」「既存の format ベースのオプションを削除して簡素化するか」を実装者に問う。Heenan は「削除する主目的は仕様を小さく・シンプルに・相互運用性高く保つことであり、ID1 以降の RAR リクエストで既に行われたこと」と説明。credential configuration ID は引き続き issuer metadata に依存せず out-of-band で通信可能とする点も保証された。10/1 までに WG として最終決定する旨を告知。

4-4. 「OIDF Process and IPR Updates」(2024-09-25 開始, Gail Hodges)

スレッドは Week-of-Mon-20240923/000459。OIDF Process Document と IPR Policy の改訂案が 9/12 に理事会で全会一致承認された旨の通知。WG レベルで知っておくべき主な改訂点:

  • 新規定義: 「Non-Core Decision」「Core Decision」「Quorum Requirement」「Substantive Change」「Errata corrections」「Work Group Draft」
  • Specifications Council のメンバーシップ要件明確化
  • Quorum 算定の現実化: 「対象 WG の Active Contributors の 20% または 20 Contributors のいずれか少ない方」
  • 一部の決定を会員全体投票から「理事会のスーパー多数決確認投票」へルーティング変更
  • IPR Policy に「Final Specifications Incorporating Errata Corrections」を明示的に包含
  • 「Table 1: Overview of IPR applicability」と「(b) License」段落を新設し、どの文書種別にどの権利が及ぶかを表で整理
  • 21 日間メンバーレビュー(9/13 〜 10/4)、投票期間(10/5 〜 10/19)

4-5. 「OIDF DCP WG Meeting Notes for 2024-09-12」(2024-09-12, Pedro Felix)

スレッドは Week-of-Mon-20240909/000448。9/12 EU 友好枠コールの議事録(前述 §3-4 で詳細を引用)。返信議論は ML 上に発生していないが、本議事録が後続の Credential Response Extensibility option 2 採択(PR #391)の根拠として複数回引用された。

5. GitHub 上の議論

9 月の AB/Connect 配下リポジトリ(OID4VP / OID4VCI)における GitHub 議論で、DCP WG コール / ML と直接連動して動いた主要スレッドを整理する。

5-1. openid/OpenID4VP#266 — Introduce new query language (Approach 3)

  • 起票: 2024-09-18, Daniel Fett
  • 状況: 9 月時点では Editor's Draft へのフィードバック収集中、最終的に 10/23 merge(後の DCQL の原型)
  • 9/24 のコール(議事録 000458)が直接の議論場となり、Oliver Terbu・Tobias Looker・Martijn Haring が sd_alg_values 系パラメータの相互運用性懸念を提示
  • 過去 2 案(Approach 1, Approach 2)に対し、id ベースの credential / claim set 定義と format 固有パラメータの併設を試みた設計
  • Lee Campbell と Paul Bastian は「これまでの案で問題を経験していない」と新案メリットへの疑問を表明(議事録 000448

5-2. openid/OpenID4VP#263 — Change client_id_scheme to a prefix

  • 起票: 2024-09-13, Daniel Fett
  • 状況: 9 月時点で 60 件超のレビューコメントを集積、10/3 merge
  • Issue #124(Daniel Fett, 既存)への解決案として、PR #237(Oliver Terbu, 8/27, 共通化路線、後にクローズ)の代替として登場
  • 主要論点: 「prefix 設計が did: / federation / https: 等の現存スキーマと衝突しないか」「production の federation 配備で HTTPS URL を client_id にしている事例との後方互換性」「entity_idhttps リネームによる OpenID Federation 仕様との整合」

5-3. openid/OpenID4VCI#382 — Enable non-breaking extensibility

  • 起票: 2024-08-31, Michael Jones
  • 状況: 9/26 merge(OID4VP #240 と並行)
  • 9/24 コール(議事録 000458)で、Kristina「RAR 本来テキストとの整合」、Mike「RAR 拡張は必須」、Joseph「extensions 専用メンバー化を検討」と発言が交差。RAR 主著者 Torsten のレビューを経由して merge

5-4. openid/OpenID4VCI#391 — Add extensibility to Credential Response

  • 起票: 2024-09-13, Christian Bormann
  • 状況: 9/30 merge
  • 9/12 EU 友好枠コールでの「3 オプション中の Option 2」採択合意(議事録 000448)を反映した実装
  • Credential Response を常に array で返す設計に変更し、各 credential を notification_id 等のオプションメタを含む object でラップ。Deferred Endpoint も同形式を再利用
  • 関連 issue: #386(Paul Bastian, 9/5), #58

5-5. openid/OpenID4VP#248 — Verifier authentication across multiple trust models/ecosystems

  • 起票: 2024-09-06, Joseph Heenan
  • 状況: Final 1.0 milestone 配下で議論継続(最終 close は 2025-03-27)
  • 「Verifier が複数の client_id_scheme をサポートしうるが、wallet がどれをサポートするかは事前に分からない」「同一 scheme 内でも複数の認証クレデンシャル(地域別 x509 証明書等)を持ちうる」という現実問題を提起
  • 提案: verifier authentication elements を array で持たせ、各要素に複数の信頼モデル向け署名・暗号化情報を含める設計

5-6. openid/OpenID4VP#241 — does anyone use response_type=code with OID4VP?

  • 起票: 2024-09-01, Joseph Heenan
  • 状況: 「1.2 or later」マイルストーンに送り。実装者が実際にこの応答型を使っているかを問い、x509_san_dns 等の client ID scheme での仕様不備、conformance test 未対応、複雑性過多を指摘。誰も使っていなければ削除候補とする

6. 関連イベント

  • ETSI/CEN Workshop for the European Digital Identity Wallet(9 月中旬予定として 9/5 EU 友好枠コールで Kristina が紹介)
  • W3C TPAC 2024(9 月下旬開催): 9/24 APAC 友好枠コール(議事録 000458)でフォローアップ報告。payment / web ステークホルダ間の協調が進展。「ブラウザ API のプライバシー期待値と selective disclosure をユーザーにどう説明するか」「ブラウザ向け issuance profile の必要性」が認識された。「OID4VP がブラウザ API 上で動作するモデル」自体の受容は前年比で広がったとの所感
  • OAuth Security Workshop 2025: 2025-02-26〜28、アイスランド・レイキャビク開催、Signicat ホスト。Call for Sessions の締切は 2024-11-24 / 2025-01-12。Daniel Fett が ML へ告知(Week-of-Mon-20240916/000449
  • IIW 39 / OIDF Workshop 週(10/28〜11/1): 月内に Kristina Yasuda が pre-IIW DCP WG Hybrid Meeting(Cisco ホスト想定として 8/27 議事録に記載、後に Microsoft Mountain View ホストへ変更)への参加登録を案内。DIF 主催の pre-IIW dinner の招待も ML に共有(Week-of-Mon-20240909/000444、Stein's Beer Garden)

7. 今後の予定

2024 年 9 月末時点で WG が共有していた当面の予定は以下のとおり。

  • 10 月初週(10/1 目標):
    • OID4VP client_id_scheme プレフィックス化(PR #263)の WG 最終決定
    • OID4VCI credential_configuration_id Credential Request 化(PR #392)の取り扱い決定
  • 10 月中:
    • OID4VP / OID4VCI の Final 1.0 化に向けた breaking change の最終整理
    • transaction_data メカニズム導入(PR #197、Kristina Yasuda 起票・継続議論中)
    • 新クエリ言語(PR #266)のさらなる磨き込み
    • Verifier Authentication 問題(Issue #248)の解決策合意
  • 10/28: pre-IIW DCP WG Hybrid Meeting(Mountain View)
  • 10/29〜10/31: IIW 39(Computer History Museum, Mountain View)
  • 2024 年末まで: OID4VP / OID4VCI の Implementer's Draft を切る
  • 2025 年 3 月末まで: OID4VP / OID4VCI の Final 1.0 公開、EU implementing acts 次回ラウンドへの参照可能化
  • 2025-02-26〜28: OAuth Security Workshop 2025(レイキャビク)

OIDF Process / IPR の改訂は 9/13 〜 10/4 の 21 日間メンバーレビュー、10/5 〜 10/19 の投票で確定する見込み。

8. 参考情報源

ML スレッド(pipermail)

GitHub Issues / PRs

公式ページ