idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2024 年 10 月)

執筆日: 2026-05-20(遡及執筆) この記事は 2024 年 10 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。2024 年夏に発足したばかりの新設 WG であり、設立時点では主力プロダクトの OpenID for Verifiable Presentations (OID4VP) と OpenID for Verifiable Credential Issuance (OID4VCI) はいずれも AB/Connect WG 配下の仕様として運営されており、DCP WG への正式な「家移し」は次フェーズの課題として残っていた。共同議長は Kristina Yasuda、Joseph Heenan(Authlete)、Torsten Lodderstedt(個人)。定例コールは EU 友好枠(火曜 PST midday)と APAC 友好枠(同じく火曜枠を交互運用 / 後の月から木曜化)の 2 系統で毎週開催されている。

2024 年 10 月は、OID4VP 第 3 版 Implementer's Draft(ID3, ドラフト -22 ベース)の Working Group Last Call (WGLC) が 10 月 23 日に AB/Connect WG 側で起動し、月末の IIW 39(10/29 〜 10/31, Computer History Museum, Mountain View)と pre-IIW DCP WG Hybrid Meeting(10/28, Microsoft Mountain View キャンパス)に向けて主要 PR を連続マージした、ID3 公開直前の駆け込みフェーズ にあたる。WG 全体としては「EUDI Implementing Acts の 2025 年 3 月末デッドラインに合わせ、12 月末までに新しい Implementer's Draft を出し、2025 年 3 月までに 1.0 Final を出す」という改訂タイムラインの初月でもあった。

本月の主要な動きは以下のとおり。

  • OID4VP 用の新クエリ言語 DCQL(Digital Credentials Query Language)導入の決定打: Daniel Fett の PR #266「Introduce new query language (Approach 3)」が 10/23 に 200 件超のレビューコメント を経てマージ。Presentation Exchange の代替として id ベースのクレデンシャル/クレーム集合定義を採用し、format 固有の DCQL パラメータも併設。「ID3 で DCQL を採用するか否か」の長期論争にひとまず終止符を打った
  • client_id_scheme の廃止と client_id プレフィックス化: Daniel Fett の PR #263 が 10/3 にマージ。client_id_scheme を別パラメータとして持つ従来案のセキュリティ問題(攻撃面の混乱)を、client_id 自体に did:, x509_san_dns: 等のプレフィックスを付ける案で解決
  • transaction_data メカニズム導入: Kristina Yasuda 起票・4 ヶ月超の議論 を経た PR #197 が 10/21 にマージ。決済の Dynamic Linking や QES 署名のような「認証/識別と認可の結合」ユースケースを presentation flow 内で扱えるようにした
  • OID4VCI に Nonce Endpoint を新設: Brian Campbell の PR openid/OpenID4VCI#381 が 10/8 にマージ。token endpoint 応答からの c_nonce 除去と、専用 Nonce Endpoint の必須化(必要な issuer のみ)。12 件の approval を集めた
  • client_id_scheme から派生する Federations/Trust Schemes 節の削除: Brian Campbell の PR #282 が 10/22 にマージ。古びた記述と TRAIN への単独参照を除去
  • EU Commission から OIDF への書簡受領(10/29 PT / 10/30 UTC 共有): Joseph Heenan が ML へ「EC から DCP WG 宛 letter が届いた」と告知(Week-of-Mon-20241028/000524、Wed Oct 30 04:34 UTC)。共同議長が初回 EC ミーティングを組み、その後 WG へ持ち帰る運営方針を示した。これが 11 月以降のタイムライン規定(2025-03 末 OID4VCI/OID4VP Final、2025-06 全仕様 Final、normative PR は 2025-04 末まで)の起点となる
  • pre-IIW DCP WG Hybrid Meeting (10/28): 20 名以上が現地・リモートで参加。EU letter、Key Attestation のフォーマット選定、Trust Ecosystem の根本問題、Wallet Attestation の扱いを集中議論

10 月の DCP WG 定例コールは APAC 10/1・EU 10/3(議事録 000464, 本文取得不可)・APAC 10/8(議事録 000470)・EU 10/10(議事録 000472)・EU 10/15(議事録 000475)・EU 10/24(議事録 000504)、そして特別開催の pre-IIW Hybrid Meeting (10/28) が確認できる。IIW 39 / OIDF Workshop 週(10/28 〜 11/1)の APAC / EU 定例コールは Kristina Yasuda が事前にキャンセル通知(000515 / 000516 / 000522)を出している。

2. 公開された仕様・ドラフト改訂

OID4VP Working Group Last Call 開始(2024-10-23)

Michael Jones が AB/Connect WG Chair として 10/23(Wed Oct 23 14:34 UTC)に OID4VP Working Group Last Call を発信した(DCP WG ML へは Week-of-Mon-20241021/000485 として転送)。WGLC 締切は 2024-10-30(PT 業務終了時)、対象ドラフトは openid.github.io/OpenID4VP/ 上の Working Group Draft。Jones は「Implementer's Draft 化プロセスの完了が IPR コミットメント取得に不可欠であり、これにより DCP WG が当該仕様を adopt し、EUDI Implementing Acts の 2025 年 3 月締切に向けて Final 化を目指せる」と説明している。Jones の示したスケジュールは以下のとおり。

  • WGLC: 2024-10-23 〜 2024-10-30(締切)
  • 45 日パブリックレビュー期間: 概ね 2024-11 開始(実際は 11/1 起動)
  • 7 日投票期間: 「2024-12-16 開始予定」と当時告知

実際にこの予定どおり、OIDF は 11 月 1 日付で Public Review Period for Proposed Implementer's Draft of OpenID4VP Specification を公開し、45 日のパブリックレビュー(2024-11-01 〜 2024-12-16)を開始する。スポンサー WG は AB/Connect WG(OID4VP の DCP WG 配下への正式移管は翌 2025 年初頭の Call for Adoption に持ち越し)。

ID3 における 3 大変更は OIDF の公式アナウンスにて明示されており、いずれも 10 月内にマージされた PR で実装されている。

  • DCQL(Digital Credentials Query Language) を Presentation Exchange の代替として導入(PR #266, 10/23)
  • transaction_data メカニズム の導入(PR #197, 10/21)
  • client_id_scheme の廃止 と、client_id 自身のプレフィックスとしての client id scheme 表現への変更(PR #263, 10/3)

なお WGLC 開始(10/23)時点の Editor's Draft はドラフト -22 相当、12/2 公開の -23 で editorial / 軽微 normative 修正を取り込み公式 ID3 化される(本月時点ではまだ着手前)。

OID4VP 主要 PR(2024-10)

openid/OpenID4VP リポジトリでは 10 月に 12 件の PR がマージ され、月末の WGLC 開始 / ID3 公開に向けた集中投入が行われた。

PRタイトルマージ日著者
#263Change client_id_scheme to a prefix10 月 3 日danielfett
#275Remove a left over reference to client_id_scheme parameter10 月 7 日jogu
#273Clarify that direct_post endpoint response is JSON10 月 8 日jogu
#281Proposed alterations to how optionality is handled in query language10 月 17 日tplooker
#274Complete IANA Considerations section10 月 18 日selfissued
#197add transaction_data10 月 21 日Sakurann
#282Remove the whole 'Support for Federations/Trust Schemes' section10 月 22 日bc-pi
#266Introduce new query language (Approach 3)10 月 23 日danielfett
#254Rework W3C DC API examples10 月 23 日marcoscaceres
#283add contributions10 月 23 日Sakurann
#294Use dcql in #browser_api_request example rather than pe10 月 29 日bc-pi
#296Editorial fix in the transaction_data10 月 29 日leecam

技術的に重要な PR を解説する。

PR #263: client_id_scheme のプレフィックス化(10/3 マージ)

従来 client_id と並置されていた client_id_scheme パラメータを廃止し、client_id 自体に did:, x509_san_dns:, https:, web-origin: 等のプレフィックスを付与する設計へ転換。50 件超のコメントを伴う長期議論を経てマージ。レビュアーが評価したのは「主要セキュリティ問題を解決しつつ、OpenID Federation や DID 等の他仕様を壊さない」点。あわせて entity_idhttps にリネームし OpenID Federation 仕様との衝突を回避している。

PR #266: 新クエリ言語 DCQL の導入(10/23 マージ)

Daniel Fett が起票し、Brian Campbell(bc-pi)、David Chadwick、Christian Bormann(c2bo)らが詳細なレビューを行った大型 PR。Presentation Exchange の代替として、id ベースの credential / claim set 定義と、mdoc・SD-JWT VC 等のフォーマット固有 DCQL パラメータを併設する。Fett は 57 commit にわたって反映を続け、PR は 200 件超のレビューコメント を集めた。共同議長は「残った懸念は別 issue に切り出して継続議論する」方針で merge を選択。Sakurann が「ID 前 / ID 後の breaking change はあり得るが、まずは merge して実装者フィードバックを集める」と整理した(議事録 000470)。merge により Issue #178 / #249 / #255 / #193 / #161 / #157 / #164 / #160 / #148 の 9 件が同時クローズ。

PR #197: transaction_data の導入(10/21 マージ)

Kristina Yasuda が PR 起票してから 4 ヶ月以上 の議論を経てマージ。PSD2 Dynamic Linking のような「決済金額の確認」ユースケースを VP フロー内で扱えるようにするため、リクエスト側 transaction_data、レスポンス側 tx_data_hashes の組を導入。「専用 credential type を作らず、既存 presentation flow に統合する」設計を採用した。Paul Bastian は「two-party な transaction モデルを three-party な VP モデルから明示的に分離するため、専用 response_type か専用 credential format の方がよいのでは」と建築論的な懸念を呈したが、「実装者フィードバック収集を優先」して現案で merge することを許容している。Issue #174 / #173 / #172 を同時に解決。

PR #281: optionality の扱い変更(10/17 マージ)

Tobias Looker(tplooker)が提起し、Sakurann が merge。クエリ言語における「credential レベル」と「claim レベル」の二重 optionality が UX を複雑化させていた問題への対応。jogu は「Browser API 実装を難しくしないか」と懸念を表明(credential 選択は wallet 起動前に行われるため)、Daniel Fett は「claim_sets 内に optionality が残っており、これは本来排除すべき」と指摘。Sakurann と Torsten Lodderstedt は claim_sets の完全除去を推し、David Chadwick は「purpose 記述がユーザー理解に不可欠」と発言。merge 時には Daniel Fett が後続 PR で (1) claim_sets 完全除去、(2) credentials オブジェクトへの provide_if_available フラグ追加、(3) credential_sets の object 配列化、(4) 認証済み RP 限定 purpose フィールド追加、を実装する action plan に合意。

PR #254: W3C DC API examples の再整備(10/23 マージ)

marcoscaceres が提案。W3C Digital Credentials API 自体がドラフト段階で頻繁に変更されるため、OID4VP 本文中の具体的な API 呼び出し例を削除し、「W3C Digital Credentials API 経由で送る」程度の一般的な記述に差し替え。「W3C 仕様の不安定さによる OID4VP 側の矛盾発生」を避ける目的。jogu は「non-normative なら例を残してもよいのでは」と疑問を呈したが、Sakurann と samuelgoto が decoupling 方針を支持した。

PR #282: Federations/Trust Schemes 節の削除(10/22 マージ)

client_id_scheme プレフィックス化に伴い古びていた節を Brian Campbell が一掃。jogu は「将来必要なら emergent な federation-wallet spec が適切な置き場」とコメント。あわせて TRAIN への単独参照も除去された。1 週間の公開期間と WG コール議論を経て 6 approval で merge。

OID4VCI 主要 PR(2024-10)

openid/OpenID4VCI リポジトリでは 10 月に 7 件の PR がマージ された。

PRタイトルマージ日著者
#397remove confusing text that implies that scope and authorization details cannot be used at the same time10 月 1 日Sakurann
#402Clean Up Outdated Files in Repo10 月 8 日javereec
#381remove c_nonce from the token endpoint response and define a new Nonce Endpoint10 月 8 日bc-pi
#380Clarify language around opening Credential Offer Endpoint10 月 9 日jogu
#403Add valid signatures for jwt_vc_json section10 月 21 日javereec
#372Fix authorization token Bearer prefix spelling in examples10 月 23 日srosenda
#401Complete IANA Considerations section10 月 23 日selfissued

特筆すべきは以下。

PR #381: Nonce Endpoint の新設(10/8 マージ)

Brian Campbell リード。従来は token endpoint 応答に c_nonce を含めていたため「nonce 取得のためだけに full credential request を試みる」必要が生じていた問題を解消。c_nonce を必要とする issuer に対して Nonce Endpoint の提供を MUST とし、client は credential request の負荷なしに fresh nonce を取得可能とした。レビュアーは tlodderstedt, paulbastian, jogu, Sakurann, peppelinux を含む 12 名の approval。レビュー過程では「endpoint を mandatory にすべきか」「GET / POST のどちらにすべきか」が議論となり、最終的に「c_nonce を要求する場合は MUST 提供」「POST セマンティクス」で合意。jogu の「12 approvals and no remaining objections」コメントで merge。これが翌 11 月の PR #404(credential endpoint 応答からの c_nonce / c_nonce_expires_in 除去)の前提となる。

PR #397: scope と authorization_details の併用許容(10/1 マージ)

実装者から「両者は併用可能なはず」とのフィードバックを受け、誤読を招く文言を Sakurann が削除。jogu / paulbastian / c2bo の approval で editorial 扱い merge。

PR #401 / OID4VP PR #274: IANA Considerations の完備

Michael Jones(selfissued)が両仕様で並行して実施。Implementer's Draft 化に必要な IANA 登録手続き要件を満たす作業。

HAIP(2024-10)

openid/oid4vc-haip リポジトリ(当時の名称)では 10 月にマージされた PR がなく、Issue は #2 "A term alternative to 'verifiable credentials'..?"(Sakurann, 10/16 close)のみが活動。HAIP の本格的な大型変更(mdoc プロファイル統合、direct_post.jwt 化)は 12 月以降のリポジトリリネーム(後に oid4vc-haipopenid4vc-high-assurance-interoperability-profile)と並行して進行することになり、10 月は WG コール上での議論にとどまる(後述 §3)。なお pre-IIW Hybrid Meeting では「HAIP は OID4VP / OID4VCI が ID 化された後、2025-03 期限から若干遅れて完成」というタイムラインが共有された。

OID4VP の主要 Issue 起票(2024-10)

WGLC / ID3 公開直前の整理期にあたるため、DCQL 関連の長期検討用 issue が集中起票された。

  • #288 — danielfett, 10/22, 「Filter on data in DCQL」
  • #289 — danielfett, 10/22, 「DCQL: Define details for the purpose property」(PR #281 の action plan で約束された purpose 詳細仕様化)
  • #290 — martijnharing, 10/22, 「Make following the claim_sets order in the vp query recommended instead of mandatory」
  • #291 — cyberphone, 10/23, 「Using HTTP Message Signatures (RFC 9421)?」
  • #292 — mickrau, 10/23, 「Clarify how to encode Authorization Request by-reference when using redirect_uri client id scheme」
  • #293 — bc-pi, 10/23, 「DCQL: namespace and claim_name vs path」(mdoc を path で表現できないかという設計上の異論。後に WG コール議論を経て path 化が進む)
  • #295 — markuskreusch, 10/24, 「vp_token encoding is not 100% clear」
  • #298 — sloops77, 10/30, 「Support for selecting multiple credentials via a single dcql」
  • #299 — jogu, 10/30, 「iss value to be used in signed requests is not clear?」
  • #300 — danielfett, 10/31, 「Add important privacy/security considerations for DCQL」(後の PR #469 で解決)
  • #301 — cyberphone, 10/31, 「Credential (card) image support」
  • #302 — jogu, 10/31, 「transaction_data should be allowed in browser API」(11 月の PR #303 として解決)

OID4VCI の主要 Issue 起票(2024-10)

  • #399 — fmarino-ipzs, 10/1, 「Clarification on credential_identifier(s) parameter」
  • #400 — JoTiTu, 10/2, 「UI/UX difficulties when working with different credential formats that mean the same credential type」
  • #406 — Sakurann, 10/16, 「define how is wallet attestation used with VCI」
  • #407 — georgepadayatti, 10/24, 「Dynamic credential request」
  • #409 — Sakurann, 10/28, 「Better define apr values in the key attestation」(pre-IIW Hybrid Meeting の議論を直接反映)

3. ミーティングと議論

DCP WG は 2024 年 10 月時点で APAC 友好枠(火曜)と EU 友好枠(木曜)の 2 系統の定例コールを毎週開催している。本月は通常コールに加えて、IIW 39 直前の特別コール「pre-IIW DCP WG Hybrid Meeting」が 10/28 にマウンテンビューで開催された。月後半(IIW 39 / OIDF Workshop 週)は定例コール自体が公式キャンセルされている。

3-1. 2024-10-08 APAC 友好枠コール(議事録: Christian Bormann)

議事録は Week-of-Mon-20241007/000470、18 名参加。Christian Bormann, Torsten Lodderstedt, Joseph Heenan, Kristina Yasuda ほか。

主要決定:

  • タイムライン改訂: OID4VP / OID4VCI の Final 1.0 を 2025-02 〜 03 に push する方向で合意。「新しいクエリ言語、transaction_data、wallet authentication to RPs、multi-RP authentication、ISO WG10 alignment を当初 1.1 予定だったところを 1.0 に押し込む」運営方針が確定
  • クエリ言語: 仕様の分岐を避けるため、現行 PR (DCQL) を merge して公開レビュー期間中に実装者フィードバックを集める方針を採択。「ID と Final 間で breaking change はあり得る」ことを受け入れる
  • ISO Alignment: ISO WG10 メンバーからの要件は不明確で、Multi-RP authentication 周りの直接フィードバックを求めて ISO 参加者をコールに招く方針
  • IIW プランニング: Lee Campbell が「IIW 時間を実装テスト と クエリ言語アプローチの議論に使う」と提案

アクション: クエリ言語 PR を 10 月末までに merge、年内に OID4VP Implementer's Draft を切る、OID4VP を DCP WG に正式移管、Key Attestations / IANA / Credential Endpoint 関連 PR のレビュー。

3-2. 2024-10-10 EU 友好枠コール(議事録: Oliver Terbu)

議事録は Week-of-Mon-20241007/000472。Oliver Terbu, Joseph Heenan, Daniel Fett, Kristina Yasuda, Bjorn Hjelm, David Chadwick, David Waite, Javier Ruiz, Juba Saadi, Michael Jones, Paul Bastian, Rajvardhan Deshmukh, Tim Cappalli。

主要議題:

  • Pre-IIW Event: Microsoft Mountain View ホスティング、要事前登録
  • 1.0 Final タイムライン: Executive Committee が期間延長を承認。OID4VP の新 ID と 1.0 タイムラインを合意。OID4VCI が中間 ID を要するか否かは別途決定
  • Transaction Data (PR #197): 「QTSP は transaction_data のスコープ外」と決定。wallet 中心 vs QTSP 中心のアプローチ整理
  • 新クエリ言語 / NQL (PR #266): アルゴリズム関連クエリ機能の除去、例の改訂
  • オープンな技術論点: credential set 優先度は ordered array で合意(object ではなく)。Value matching は dual values / value ではなく values 単独で合意。Optional claims presentation のエンコード方法は未決
  • Key Attestations (PR #389): JWT flow と attestation 処理を議論。x5c vs key_attestations は未決

レビュー要請: credential configuration ID, OAuth URI 使用、IANA、JWT 署名検証の 6 PR。

これらの決定が 10 月後半の PR 投入順を規定した。

3-3. 2024-10-11 Joseph Heenan ML 投稿「Proposed changes to timeline for VP/VCI 1.0 final」

メール: Week-of-Mon-20241007/000473。WG コールでの合意事項を ML 全体に共有。改訂タイムライン:

  • 2024 年末までに: OID4VP / OID4VCI の新しい Implementer's Draft を公開
  • 2025 年 3 月末: 1.0 Final を公開
  • 当初 1.1 予定の機能(新クエリ言語、transaction data、key attestations)を Implementer's Draft に前倒し取り込み

Heenan は ML 上で「pending PR のレビュー」と「新クエリ言語の相互運用テストへの実装者参加」を要請。

3-4. 2024-10-15 EU 友好枠コール(議事録: Torsten Lodderstedt)

議事録は Week-of-Mon-20241014/000475。アジェンダは 000474

主要議題と決定:

  • イベント/組織アップデート:
    • pre-IIW DCP WG 会場が Cisco から Microsoft に変更
    • CA DVM (California Department of Motor Vehicles) と OIDF の hackathon が成功、次回 11/1 開催予定
    • ISO/IEC TS 18013-7 が OpenID4VP profile for mdoc を取り込んで公開 された旨が共有
    • OpenID Connect が ISO 標準化 達成
    • OpenID Identity Assurance 仕様が Final 化 (10/3)
  • 仕様ステータス: OID4VP は来週の ID call へ移行、クエリ言語 PR の merge 待ち。OID4VCI は「直接 Final へ進むか OID4VP タイムラインに合わせるか」を週内に決定する必要
  • クエリ言語議論: 複数 PR(#274, #279, #280, #282)がレビュー中。Tobias が提案改訂、メンバーは PR #274 アンブロックのため 3 案のうちいずれかの承認を要請

アクション: ID call 前にクエリ言語前提 PR を merge、PR #279/#280/#282 のレビュー・承認、OID4VCI の進行ルート決定、Martijn が wallet 実装向けの optional value-matching 機能対応。

3-5. 2024-10-16 Joseph Heenan ML 投稿「Pre-working group last call for OID4VP spec」

メール: Week-of-Mon-20241014/000476(Wed Oct 16 18:27 UTC)。WGLC 直前の「事前告知」。火曜 (10/22) の WG コール後に公開プロセスを起動する方針を明示し、それまでに merge を目指す 4 PR を列挙:

  1. Federations/Trust Schemes 節の削除 → PR #282 (10/22 merge)
  2. IANA Considerations の完備 → PR #274 (10/18 merge)
  3. transaction_data の追加 → PR #197 (10/21 merge)
  4. Browser API 節の再整備 → PR #254 (10/23 merge)

加えて 5 つ目として「クエリ言語 PR」を挙げつつ「コンセンサスがまとまらず締切に間に合わないかもしれない」と但し書きを付けたが、結果として PR #266 は 10/23 にギリギリ merge され ID3 に間に合った。

Heenan は 「スケジュールには余裕がない、上記が merge されたか否かに関わらず火曜のコール後にプロセスを起動する」 と明言、DCP WG が VP の Final を 3 月末までに出す必要性(EUDI Implementing Acts 要件)を理由として挙げた。

3-6. 2024-10-24 EU 友好枠コール(議事録: Oliver Terbu)

議事録は Week-of-Mon-20241021/000504。23 名参加。Kristina Yasuda, Lee Campbell, Martijn Haring, David Chadwick, Michael Jones, Brian Campbell ほか。Matteo Marangoni(SICPA)が新規参加。

主要議題:

  • 来週イベント: Microsoft で 3 時間 hybrid meeting(クエリ言語テーマ)、現地枠は満員、Teams でリモート参加可。翌週の通常コールは無し。IIW セッションは共有プランニングドキュメントで調整
  • OID4VP WGLC: ID3 化プロセスが進行、初期 approval コメント受領済み。投票期間は 12 月 15 日 (ママ) 締切。レビュー期間中の normative / 非 normative 修正の手順を共同議長が整理する必要
  • OID4VCI:
    • PR #389(key attestations)は Christian / Paul の availability 待ちで deferred
    • Wallet attestation を VCI 仕様内で定義する 方向で暫定合意
    • PR #404, #405, #392 は開発者フィードバック待ち
  • OID4VP 進捗: Lee Campbell が Digital Credentials API 用の DCQL 機能の大半を実装 し、IIW 前に実験可能とするため GitHub アップロード予定

3-7. 2024-10-28 pre-IIW DCP WG Hybrid Meeting(議事録: Joseph Heenan)

特別開催。Microsoft Mountain View キャンパス(1045 La Avenida Street, Room FOX)にて 9am 〜 12pm PT、Microsoft Teams 経由のリモート参加併用、要事前登録(締切 10/18 12pm PT)。20 名超が参加。

参加者: Joseph Heenan, Kristina Yasuda, Torsten Lodderstedt, Paul Bastian, Mirko Mollik, Lukasz Jaromin, Christian Bormann, Hicham Lozi, Gareth Oliver, Tim Cappalli, Lee Campbell, Sam Goto, Mike Jones, Giuseppe De Marco, John Bradley, Oliver Terbu, Naohiro Fujie, Shigeya Suzuki, Rajvardhan Deshmukh ほか。

議事録: Week-of-Mon-20241028/000523

主要議題:

  • EU letter: 「letter が届いている、まだ public ではない、後日公開予定」とリーダーシップが報告。タイムライン目標を共有
    • 2025 年 1 月初頭: Implementer's Draft 最終投票
    • 2025 年 3 月: 1.0 Final 目標
    • 3 月以降: HAIP の継続開発
  • Key Attestation のフォーマット: wallet バックエンド vs プラットフォーム固有のトレードオフを議論。「両方サポートし市場が判断する」("support both platform vs interop")で決着。「attestation as proof vs attestation as structural element」の 2 提案を例示付きで起こす ことを宿題化
  • Trust Ecosystem / Multi-signature: 「wallet が複数 ecosystem のクレデンシャルを持つ前提のもとで、複数 trust framework にまたがるリクエストが複数署名を要するか」を議論。「問題は何か」では合意、「どう解くか」は未定 という根本合意のみ
  • Wallet Attestation: 「クエリ・presentation token 内で他のクレデンシャル同様に扱う」方針への rough consensus(一部反対意見あり)

アクションアイテム:

  • Giuseppe De Marco: proof-of-association issue 起票
  • Lee Campbell: platform-based key attestations issue 起票
  • IIW セッションの記録を DCP WG にフィードバック
  • PR #389, #392, #405 への追加レビュー要請

このアクションアイテムが翌 11 月の WG コール議論を完全に規定することになる。

3-8. 2024-10-29 〜 11-01 通常コールキャンセル

Kristina Yasuda は 10/27 に APAC コール(000515)と EU コール(000516)の同週分キャンセルを通知、10/29 にあらためて APAC コール(000522)のキャンセルを再通知。IIW 39 / OIDF Workshop 週の活動はそれらリアル会場での議論に集約された。

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML は週次 (Week-of-Mon) 形式でアーカイブされている。2024 年 10 月の主要スレッドを以下にまとめる。なお OID4VP の WGLC 自体は AB/Connect WG(openid-specs-ab)が主体だが、Michael Jones が DCP WG ML にも転送している。

4-1. 「FW: Working group last call for OpenID4VP Draft」(Michael Jones, 2024-10-24 〜)

Week-of-Mon-20241021/000485。Michael Jones が AB/Connect WG Chair として WGLC を起動し、DCP WG ML に転送した本月最重要スレッド。12 件以上のリプライを集める。

WGLC 投票には Tobias Looker(MATTR, 000518)、Pedro Felix(000520)、Micha Kraus(000521)、Paul Bastian らが「I support starting the Implementer's draft approval process」と短い支持表明。

一方で Orie Steele(Transmute)000525大規模なテクニカル反論 を投稿した。Steele の主張(要旨):

  • OID4VP は実装可能な状態に達しておらず、WGLC 品質基準を満たしていない
  • 「ドキュメントは実装者が相互運用性を達成するために必要なことを十分詳細に記述しておらず、変更中 / 最近変更された外部仕様に強く依存している」
  • メディアタイプの曖昧さ: format セレクタが標準化されたメディアタイプではなく di_vc / di_vp のような文字列で動作する。W3C は data-integrity-proofed クレデンシャルに対する独立したメディアタイプ登録を行っていないため、混乱を招く
  • W3C VCDM v2 の多層エンコード: JWT wrapping、data URI、enveloped presentation の多重デコードチェーンを Presentation Definition が表現できない。「path / format パラメータの変更なしには Presentation Definition は VCDM v2 をサポートできない」
  • 提案: (1) 必須サポートフォーマット(sd-jwt と 1 つの mDocs フォーマット)に限定するか、(2) 全サポート対象フォーマットの完全な具体例を公開前に提供
  • 「VCDM v2 をサポートしている "ふり" をすることは、現在の制約を明確化するよりも長期的なダメージを生む」

これに続いて Tom Jones000526 で「Orie の懸念を支持する」と短く投稿し、3 点を補強:

  1. in-person ユースケースの軽視: 「OID4xxx 仕様は wallet の主要用途(in-person)に対応していない」
  2. アクセシビリティ: 「人口の少なくとも 20% は使えない」
  3. small verifier 非対応: 「wallet 成功に critical な small verifier には実装不可能」

Joseph Heenan ら共同議長はこれらの objection に対し WGLC を進行(10/30 締切)し、ID3 公開後の 45 日パブリックレビュー期間に議論を継続する整理を取った。Steele / Tom Jones の objection は翌月 (11 月) も OID4VP Issue #333 等の形で継続することになる。

4-2. 「Proposed changes to timeline for VP/VCI 1.0 final」(Joseph Heenan, 2024-10-11)

Week-of-Mon-20241007/000473。前述 §3-3。タイムライン延長と 1.1 機能の 1.0 取り込みを ML 全体に公式アナウンス。pending PR のレビューと新クエリ言語の相互運用テストへの実装者参加を呼びかけ。

4-3. 「Updates on the new query language」(Daniel Fett, 2024-10-21)

Week-of-Mon-20241021/000479。Daniel Fett が PR #266 の最新更新(3 つの変更)を ML に共有:

  1. claim_sets 構文の維持: WG コールでは削除提案があったが、「クレーム可用性が事前に不明なケース」を扱うため残存。順序ルールにより、wallet が最初に利用可能な組み合わせを送信できる。"claim_sets": [['a', 'real_id'], ['a']] のような構文で「real ID ユースケース」を解決
  2. optional syntax marker (?, ?!) の削除: claim_sets で本質的なユースケースは解決できるため、実装複雑性低減のため除去
  3. purpose フィールドの新設: 「具体的なフォーマット / 内容を規定せず」プロパティを導入、詳細は後日決定

Tobias の最新提案を取り込んだ「妥協案」として提示。これが PR #281(10/17 merge)→ PR #266(10/23 merge)の流れを準備した。

4-4. 「WTE and PoA in OpenID4VCI」(Sietse Ringers, 2024-10-21)

Week-of-Mon-20241021/000481。オランダ wallet(NL Wallet)チームの Sietse Ringers が、OID4VCI に新しい credential request proof type "wte" を提案。

  • WTE (Wallet Trust Evidence): wallet provider が wallet の信頼性を裏付ける credential-like な JWT。cnf ヘッダフィールドに公開鍵を持つ
  • PoA (Proof of Association): 複数の鍵が単一の WSCD (Wallet Secure Cryptographic Device) で管理されることを示す暗号証明。オランダ wallet 実装では「すべての関係鍵を含む body を持つ JWS(JSON serialization)で、すべての鍵で署名する」形式

提案: 既存 proof type を変更するのではなく、WTE JWT・WTE 鍵の proof-of-possession・PoA 署名を同梱する新 proof type を導入。これにより wallet provider がクレデンシャル鍵ごとに個別 blessing を発行する必要がなくなり、運用負荷とプライバシが改善。将来の PoA メカニズム実装のため json_jwts 等の識別子も含める提案。

このスレッドは pre-IIW Hybrid Meeting (10/28) の Giuseppe De Marco アクションアイテム「proof-of-association issue 起票」に直結する。

4-5. 「EU letter to OpenID Foundation」(Joseph Heenan, 2024-10-30 UTC / 10-29 PT)

Week-of-Mon-20241028/000524(Wed Oct 30 04:34 UTC)。EU Commission から OIDF DCP WG 宛に届いた書簡を WG ML に共有(PDF 添付)。

Joseph Heenan の文言を要約:

  • 「OIDF が European Commission から DCP WG への各種質問 / 要求を含む letter を受領した」
  • 「共同議長は EC との初回ミーティングを組み、協力可能な進め方を探った上で、WG に提案を持ち帰る」運営方針を表明

書簡の具体内容は ML 上では開示されていないが、後の 11 月の各 WG コール議事録で「OID4VCI / OID4VP は 3 月末、HAIP は若干遅れ、すべて 6 月までに Final、normative PR は 4 月末まで」というタイムラインが反復確認される起点となった。

4-6. 「DCP WG Hybrid Meeting 28th October 2024 - Minutes」(Joseph Heenan, 2024-10-28)

Week-of-Mon-20241028/000523。§3-7 で詳述。20 名超の参加、EU letter / Key Attestation / Trust Ecosystem / Wallet Attestation の 4 大論点とアクションアイテムを記録。

4-7. 「Revisions to OpenID Process Document and IPR Policy」(Mike Leszcz, 2024-10-21)

Week-of-Mon-20241021/000483。OIDF 全体に関わる Governance 変更。Board sub-group が OpenID Process と IPR Policy を改訂、2024 年 9 月に Board が unanimously approve、メンバーレビュー / 投票を経て 10/19 に正式採択。投票結果は「Approve 106 / Object 1 / Abstain 21、参加率 34%(quorum 30% 超過)」。

DCP WG 直接の議題ではないが、Implementer's Draft / Final 投票の手続き要件に影響する変更として ML 周知された。

5. GitHub 上の議論

OID4VP では 10 月に 12 件、OID4VCI で 7 件の PR がマージされた。OID4VP Issue 起票も 10/22 だけで 11 件と DCQL 関連の長期検討用 issue が集中起票され、WGLC / ID3 公開前の整理期にあたる活動状況がうかがえる。HAIP リポジトリ(当時の openid/oid4vc-haip)は本月内 PR ゼロ・Issue #2 のみで、議論は WG コールと OID4VP / OID4VCI 側に集約された。以下に議論密度の高い PR / Issue を取り上げる。

5-1. OID4VP PR #266「Introduce new query language (Approach 3)」(danielfett, 2024-10-23 マージ)

openid/OpenID4VP#266。本月最大の構造変更。DCQL(Digital Credentials Query Language)の事実上の初版実装。

主要内容:

  • id ベースで credential / claim set を定義し、再利用可能な構造とする
  • mdoc, SD-JWT VC 等のフォーマット固有 DCQL パラメータを併設
  • wallet が disclosure 前にマッチング可能かを判定でき、不要な情報漏洩を抑制

レビュー側の議論:

  • Brian Campbell(bc-pi): 包括的レビュー、多数の提案
  • David Chadwick: minor editorial 要求のうえ approve
  • Christian Bormann(c2bo): iteration / 進捗を支持
  • Daniel Fett: 57 commit にわたり対応

200 件超のレビューコメント。共同議長は「残った懸念は別 issue に切り出して継続議論」方針で 10/23 merge を選択。merge は ID3 化への決定打となり、Issue #178 / #249 / #255 / #193 / #161 / #157 / #164 / #160 / #148 の 9 件を同時 close した。merge 前後の 10/22 〜 10/31 に Daniel Fett 自身が Issue #288 / #289(10/22)や #300(10/31)を起票し、DCQL の継続検討論点を明示化したことも本 PR を「終わりではなく出発点」と位置づける運用の表れである。

5-2. OID4VP PR #263「Change client_id_scheme to a prefix」(danielfett, 2024-10-03 マージ)

openid/OpenID4VP#263。本月最初の大きな normative 変更。50 件超のコメント を経てマージ。client_id_scheme を別パラメータとして持つ従来案のセキュリティ問題と OpenID Federation / DID 仕様との衝突を解決し、client_id 自体に scheme プレフィックスを付ける案を採用。entity_idhttps にリネームし federation 仕様との名前衝突も回避した。WG コールで「特別扱いの federation / DID プレフィックスに反対」する声もあったが、最終的にコンセンサスがまとまった。

5-3. OID4VP PR #197「add transaction_data」(Sakurann, 2024-10-21 マージ)

openid/OpenID4VP#197。Kristina Yasuda が起票してから 4 ヶ月以上 の議論を経て merge。PSD2 Dynamic Linking、QES 署名、決済確認等のユースケースを presentation flow 内で扱えるようにした。設計上の主要論点:

  1. パラメータ命名: 初期提案から最終的に transaction_data(リクエスト側)、tx_data_hashes(レスポンス側)に決定
  2. クレデンシャルフォーマット: 専用 credential type は作らず既存 presentation flow に統合。ただし issuer 側で「transaction を authorize できる credential」の指定が必要
  3. 処理ルール: transaction_data 対応 wallet は当該パラメータを含むリクエストで未対応の場合 reject すべし。未知パラメータは無視するが transaction_data は例外
  4. ハッシュ: IANA.Hash.Algorithms registry を参照したアルゴリズム通信

Paul Bastian の建築論的懸念(two-party / three-party の分離)は残ったまま、実装者フィードバック収集を優先して merge。Issue #174 / #173 / #172 を解決。

5-4. OID4VP PR #281「Proposed alterations to how optionality is handled in query language」(tplooker, 2024-10-17 マージ)

openid/OpenID4VP#281。§2 で詳述。Tobias Looker が「credential レベルと claim レベルの二重 optionality は UX を悪化させ価値が低い」と提起。jogu / Daniel Fett / Sakurann / Torsten Lodderstedt / David Chadwick が各々の立場から議論。merge は Sakurann が action plan 付きで実施。後続の claim_sets 完全除去、provide_if_available フラグ、credential_sets の object 配列化、purpose フィールドが Daniel Fett の宿題として確定した。

5-5. OID4VCI PR #381「remove c_nonce from the token endpoint response and define a new Nonce Endpoint」(bc-pi, 2024-10-08 マージ)

openid/OpenID4VCI#381。§2 で詳述。15 名の参加者、12 名の approval。「c_nonce を token 応答に含めると、nonce 取得のためだけに full credential request を試みる」という従来の不便を解消し、専用 Nonce Endpoint の MUST 提供(c_nonce を要求する issuer のみ)と POST セマンティクスを定めた。レビュー過程で endpoint の mandatory / optional 化、GET / POST 化が議論となり、最終形に落ち着いた。これが 11 月の PR #404(credential endpoint 応答からの c_nonce 除去)の前提となる。

5-6. OID4VP PR #254「Rework W3C DC API examples」(marcoscaceres, 2024-10-23 マージ)

openid/OpenID4VP#25415 commit、8 名のレビュアー。W3C Digital Credentials API のドラフト不安定性に対応するため、OID4VP 本文中の具体 API 呼び出し例を削除し一般的な参照に差し替え。jogu の「non-normative なら残せばよい」疑問に対し、Sakurann と samuelgoto が「W3C 仕様変更による矛盾発生のリスクを避けるべき」と decoupling 方針を支持した。

5-7. OID4VP Issue #289「DCQL: Define details for the purpose property」(danielfett, 2024-10-22 起票)

openid/OpenID4VP#289。PR #281 の merge 条件として Daniel Fett が約束した「purpose フィールドの詳細化」を tracking issue 化。assignee は Sakurann、ラベル has-PR / make sure there is an extension point / query language、マイルストーン Final 1.0。後の PR #518 で解決される長期 issue。

5-8. OID4VP Issue #293「DCQL: namespace and claim_name vs path」(bc-pi, 2024-10-22 起票)

openid/OpenID4VP#293。Brian Campbell が「["org.iso.18013.5.1","first_name"] のような path 表現で十分なのではないか」と DCQL の dual-field 構造(mdoc 用に namespaceclaim_name を別フィールドで持つ案)に異論を提起。当初は「path 化しない」方向で close されたが、後日「path のほうが実装が遥かに楽」という Lee Campbell らの意見(11/28 EU コール)を経て path 寄りの方向へ揺れ動くことになる。

5-9. OID4VP Issue #300「Add important privacy/security considerations for DCQL」(danielfett, 2024-10-22 起票)

openid/OpenID4VP#300。DCQL に必要な 2 大プライバシ要件を整理:

  1. claim matching 経由のデータ漏洩: claim_sets でマッチングする際、特定クレームの有無が間接的に情報を露呈し得る。マッチング判定に使うすべてのクレームをユーザー同意プロセスに含める必要
  2. 応答の区別不可能性: 「マッチング credential が存在しない」場合と「ユーザーが同意を拒否した」場合とで同一の応答を返し、敵対者が応答パターンからクレデンシャル保有状況を推測できないようにする

後の PR #469 で解決。Final 1.0 マイルストーン。

5-10. OID4VCI Issue #406 / #409(Sakurann 起票)

#406 「define how is wallet attestation used with VCI」は 10/16 に起票され、#409 「Better define apr values in the key attestation」は pre-IIW Hybrid Meeting 当日の 10/28 に起票された(後者は pre-IIW Hybrid Meeting の議論を直接反映)。apr(attack potential resistance)値の定義は 11 月以降の PR #389(key attestations)レビューの中核論点となり、最終的に「mechanism は仕様で定義、具体値は wallet provider 委任」の整理に至る。

6. 関連イベント

  • OpenID Foundation Workshop at Microsoft, Mountain View(2024-10-28): hybrid 開催(12:30 〜 15:45 PT, Microsoft 1045 La Avenida Street, Room FOX)。Foundation の 2024 年主要イニシアチブと各 WG アップデート発表。Michael Jones は同日「OpenID Connect Working Group Update」を発表し、同じ週に OpenID Federation Wallet Architectures 1.0OpenID Connect Relying Party Metadata Choices 1.0 が adopt されたことを共有。DCP WG はこの直前に pre-IIW Hybrid Meeting を開催(§3-7)
  • Internet Identity Workshop (IIW) 39(2024-10-29 〜 10-31, Computer History Museum, Mountain View): Open Space unConference 形式、178 セッションで過去最多 を記録。DCP WG メンバーは Wallet Attestation、DCQL、Key Attestation、Trust Ecosystem のトピックでセッションを開催。Mike Jones は 10/29 に「Introduction to OpenID Connect」101 セッションを invited speaker として発表。DCP WG コール (10/29 APAC, 10/31 EU) は同週公式キャンセル
  • OID4VP Working Group Last Call 開始(2024-10-23): AB/Connect WG 主導、締切 10/30。Implementer's Draft 3 化プロセスの始動
  • OpenID Identity Assurance 仕様 Final 化(2024-10-03): DCP WG とは別 WG(eKYC-IDA WG)の成果だが、10/15 DCP WG コールで共有
  • ISO/IEC TS 18013-7 が OpenID4VP profile for mdoc を含む形で公開(10/15 コール議事録で共有): ISO 側で OpenID4VP プロファイルが正式採用された画期的成果
  • OpenID Process Document / IPR Policy 改訂正式採択(2024-10-19): メンバー投票 Approve 106 / Object 1 / Abstain 21 で承認
  • CA DVM × OIDF Hackathon: 10 月中に第 1 回成功、次回 11/1 開催予定(カリフォルニア州 mDL 関連、10/15 コール議事録より)

7. 今後の予定

2024 年 10 月末時点で WG が共有していた次月以降の計画:

  • 2024-11-01: OID4VP ID3 45 日パブリックレビュー開始予定(実際に 11/1 公開)
  • 2024-11 内: OID4VCI に Wallet Attestation を定義する PR の本格化、Key Attestation PR #389 の継続レビュー、SD-JWT VC のメディアタイプ識別子 (vc+sd-jwtdc+sd-jwt) 変更検討
  • 2024-12-03 〜 12-05: ISO/IEC SC17 WG10 ミーティング(OID4VP の mdoc プロファイル整合論点を集中処理予定)
  • 2024-12-16: OID4VP ID3 45 日パブリックレビュー終了予定
  • 2024-12 内: OID4VCI ID2 化のための WGLC 開始予定(実際に 12/17 〜 12/19 の短縮 WGLC として実施)、OID4VP / OID4VCI の Implementer's Draft 公開
  • 2025-01 初頭: Implementer's Draft 最終投票
  • 2025-03 末: OID4VP / OID4VCI Final 1.0 目標、HAIP は若干遅れ(EUDI Implementing Acts 期限から逆算)
  • 2025-06: 全仕様 Final 化目標(EU Commission デッドラインに合わせる方向で 11 月以降に確定)

10 月時点で残った継続論点:

  • pre-IIW Hybrid Meeting の Key Attestation「support both platform vs interop」決定を受けた PR 起こし(Lee Campbell、Giuseppe De Marco の宿題)
  • DCQL の整流化(Daniel Fett 起票 Issue #288 〜 #300 の継続検討、特に purpose / privacy considerations)
  • Orie Steele / Tom Jones の WGLC objection(VCDM v2 サポート、format / メディアタイプ、informed consent、in-person ユースケース、small verifier 対応)への応答
  • OID4VP の DCP WG 配下への正式移管(Call for Adoption は 2025-01 に持ち越し)
  • HAIP の mdoc Browser API プロファイル統合(リポジトリ整理を含む)

8. 参考情報源

メーリングリスト(pipermail 週次インデックス)

主要 ML スレッド

GitHub PR / Issue

公式アナウンス・関連イベント