idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2024 年 11 月)

執筆日: 2026-05-19(遡及執筆) この記事は 2024 年 11 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID for Verifiable Credentials High Assurance Interoperability Profile (HAIP)、および Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda、Joseph Heenan(Authlete)、Torsten Lodderstedt(個人)。EU 友好枠(木曜)と APAC 友好枠(火曜)の 2 系統の定例コールが毎週開催されている。

2024 年 11 月は、OID4VP 第 3 版 Implementer's Draft (ID3) の 45 日間パブリックレビューが 11 月 1 日に開始され、DCP WG がそのレビューを牽引しつつ、続けて OID4VCI 第 2 版 Implementer's Draft (ID2) と HAIP の ID 化 を 2025 年 3 月までに達成するべくスケジュール調整を進めた月であった。本月時点で OID4VP は依然として AB/Connect WG のプロダクトとしてレビューに付されており、DCP WG への正式な「家移し」議論は翌 12 月以降に持ち越される(実際の Call for Adoption は 2025-01-03)。なお IIW 39(2024-10-29 〜 10-31, マウンテンビュー)と pre-IIW Fall 2024 DCP WG Hybrid Meeting(2024-10-28)の直後にあたるため、本月の議論はその振り返りと宿題消化の色彩が強い。

特筆すべき動きは以下のとおり。

  • OID4VP ID3 の 45 日パブリックレビュー開始(2024-11-01 〜 2024-12-16): スポンサーは AB/Connect WG。ID3 は (1) DCQL(Digital Credentials Query Language)導入、(2) transaction_data メカニズム導入、(3) client_id_scheme 廃止と client_id プレフィックス化、の 3 大変更を含む。レビュー期間中の 11 月 19 日に Tom Jones(openid-specs-ab 010502)が「OID4VP は holder の informed consent 観点で実装に値しない」と objection を出し、別途 Orie Steele も「format / media type / VCDM v2 サポートが ID 公開に耐えない」と詳細なテクニカル反論を提示するなど、レビューは平穏とは言えない始まり方だった
  • ISO/IEC 18013-7 適合に向けた pre-ISO(12/3-5)スプリント: 11 月後半の WG コールは「12 月初頭の ISO ミーティングまでに OID4VP 側で片付けたい論点」(intent_to_retainx509_san_dns、value matching、claims セットの mandatory 処理、Browser API 経由 mdoc プロファイルの所在)を集中的に処理。11/25 の議題(000542)は ISO 前の「最後の全員参加コール」として 35〜40 分を当該論点に確保した
  • OID4VCI が ID2 化へ加速: PR #404(c_nonce / c_nonce_expires_in のクレデンシャル端点応答からの除去、11/5 マージ)、PR #392(credential_configuration_id を credential request に追加するオプション、11/18 マージ)、PR #389(key attestations の本格導入、11/19 マージ、279 件のレビューコメント)、PR #415(SD-JWT VC のメディアタイプ識別子を vc+sd-jwt から dc+sd-jwt に変更、11/21 マージ)と、ID2 候補入りに必要な主要 PR が連続マージされた
  • OID4VP リポジトリの公開レビュー期間並走作業: 11 月だけで 13 件の PR がマージされ、Browser API 周辺(PR #303, #337)、DCQL の整流化(PR #340 で format 固有パラメータを Annex 移動、PR #339 で「OID4VP の profiling」の意味を明確化)、SD-JWT VC のメディアタイプ識別子変更(PR #328)など、レビュー期間中に許容される editorial / 軽微 normative 修正が次々と取り込まれた
  • EU Commission からの書簡対応開始: 10/30 に Joseph Heenan が ML へ「EC から OIDF DCP WG 宛に letter が届いた」と告知(Week-of-Mon-20241028/000524)。11 月の各コールでは「OID4VCI / OID4VP は 3 月末(2025-03)、HAIP は若干遅れて完成」「最終仕様は 2025 年 6 月までに」というタイムラインが共有された(11/14 コール議事録, Andreea Prian)

11 月の DCP WG 定例コールは APAC 11/5・EU 11/7・APAC 11/12・EU 11/14・APAC 11/19・EU 11/21・APAC 11/26・EU 11/28 の 8 回が確認できる。Thanksgiving 週(11/28)は「異論のあるトピックでは決定を行わない」運用(000545)で軽量化された。

2. 公開された仕様・ドラフト改訂

OID4VP Implementer's Draft 3 の 45 日パブリックレビュー開始(2024-11-01)

OpenID Foundation は 11 月 1 日付で Public Review Period for Proposed Implementer's Draft of OpenID4VP Specification を公開し、OID4VP 第 3 版 Implementer's Draft の 45 日間パブリックレビューを開始した。スケジュールは以下のとおり。

  • 45 日パブリックレビュー期間: 2024-11-01 〜 2024-12-16
  • Notice of Vote: 2024-12-03 公開予定(実際に 12/3 公開、Notice of Vote for Proposed Implementer's Draft of OpenID4VP
  • 早期投票開始: 2024-12-10
  • 公式投票期間: 2024-12-17 〜 2024-12-24
  • スポンサー WG: AB/Connect WG(OID4VP は歴史的経緯で AB/Connect 配下、DCP WG への移管は 2025 年に提起される)

ID3 における 3 大変更は OpenID Foundation の公式アナウンスにて明示されている。

  • DCQL(Digital Credentials Query Language)を Presentation Exchange の代替として導入
  • transaction_data メカニズムの導入(ユーザの認証/識別と認可を紐づける。決済完了や QES 署名等に活用)
  • client_id_scheme パラメータの廃止と、client_id 自身のプレフィックスとしての client id scheme 表現への変更(従来案のセキュリティ問題への対応)

なおレビュー期間中に Sakurann ら DCP WG エディタは「ID 公開前に取り込むべき editorial / 軽微 normative 修正」を集中投入する運用を採り、Editor's Draft(main ブランチ)の -23 公開(12/2 予定)に向けて 11 月後半は連日 PR がマージされた。

OID4VP 主要 PR(2024-11)

openid/OpenID4VP リポジトリでは 11 月に 13 件の PR がマージ された。主要なものを整理する。

PRタイトルマージ日著者
#303Add transaction_data and dcql_query to allowed parameters in Browser API11 月 12 日jogu
#311Fix an example authorization request to say 'wallet' instead of 'client'11 月 12 日jogu
#314Make SIOP example requests/response consistent11 月 12 日jogu
#315note on encryption choices (JARM)11 月 22 日c2bo
#323fix percent-encoding of URI examples11 月 19 日c2bo
#328change credential format identifier for sd-jwt vc to dc+sd-jwt from vc+sd-jwt11 月 22 日charsleysa
#306change credential format references from the appendix of openid4vci to openid4vp11 月 22 日c2bo
#331ed: update vp_formats IANA registry11 月 26 日Sakurann
#332ed: match client_id in the req and aud in the response11 月 23 日Sakurann
#337Generalize W3C Digital Credentials API references11 月 28 日timcappalli
#339Clarify what profiling OID4VP means11 月 28 日Sakurann
#340move credential format specific DCQL parameters to the annex11 月 28 日Sakurann
#349Add some missing entries to the changelog for -2311 月 30 日jogu

技術的に重要なのは以下の点。

  • PR #303 / #337(Browser API 周り): ID3 に取り込まれた Digital Credentials API 統合のうち、Browser API に渡せるパラメータのホワイトリストに transaction_datadcql_query を追加(#303)。次いで W3C Digital Credentials API 参照を一般化(#337)し、Chrome 実装の進展に対応
  • PR #328 + Issue #324(メディアタイプ識別子変更): SD-JWT VC のフォーマット識別子を vc+sd-jwt から dc+sd-jwt に変更。IETF SD-JWT VC draft 側のメディアタイプ変更(W3C VC を含意するように見える従来名を避ける)に合わせた整流化。OID4VCI 側でも PR #415 として並走(後述)
  • PR #340 / #339(DCQL の構造整理): format 固有 DCQL パラメータを Annex に分離し(#340)、「OID4VP を profiling する」とは何かを明文化(#339)。Orie Steele らから出ていた「format ごとの差異が本文に散乱して読解困難」批判に対する回答
  • PR #332(client_idaud の対応): リクエストの client_id とレスポンス(SD-JWT KB JWT 等)の aud を整合させる editorial 修正。Cross-protocol attack 対策の前駆け(12 月の PR #357 で normative 化)

OID4VCI 主要 PR(2024-11)

openid/OpenID4VCI リポジトリでは 11 月に 5 件の PR がマージ された。

PRタイトルマージ日著者
#405remove claims parameter from ISO mdoc and SD-JWT VC Credential Request11 月 1 日paulbastian
#404remove c_nonce and c_nonce_expires_in from credential endpoint response11 月 5 日mickrau
#392add an option to use credential_configuration_id in credential request11 月 18 日Sakurann
#389add key attestations11 月 19 日paulbastian
#415change credential type identifier vc+sd-jwt to dc+sd-jwt11 月 21 日charsleysa

特筆すべきは以下。

  • PR #404(c_nonce 系のクレデンシャル端点応答からの除去): Issue #393 の解決。c_nonce 取得経路を単一化(nonce endpoint のみ)し、credential endpoint 応答の c_nonce / c_nonce_expires_in を削除。13 コメントの議論を経てマージ。後続の PR #419(12/3 マージ)で nonce endpoint 側の c_nonce_expires_in も除去され「unpredictable」要件のみが残る整理に繋がる
  • PR #389(Key Attestations の本格導入): 関連 Issue #355 / #368 / #215 / #150 を束ねた大規模 PR。key_type / user_authentication 値の定義、Level of Assurance と ISO/IEC 18045 attack potential resistance の言及、nonce ベース proof type への key attestation 統合などを含む。279 件の review comment + 17 件のコメント という大議論を経て 11/19 マージ。Paul Bastian リード
  • PR #392(credential_configuration_id を credential request に): Issue #132 / #175 / #342 の解決。issuer metadata なしの実装でも scope / format / type / credential_configuration_id のマッピングを out-of-band で取れるよう整理。Sakurann リード、31 コメント
  • PR #415(メディアタイプ識別子変更): OID4VP の PR #328 と対をなす。SD-JWT VC のフォーマット識別子を dc+sd-jwt に揃え、IETF SD-JWT VC draft との整合性を取る

HAIP(2024-11)

openid/oid4vc-haip リポジトリは 11 月内にマージされた PR・起票された Issue がいずれも記録されていない。HAIP は 10 月までに direct_post.jwt 化(後の PR #117)等の議論が ML 上で続いており、11 月は WG コール上での議題消化(後述 §3)と、12 月以降の本格的なリポジトリリネーム(oid4vc-haip への変更)・mdoc プロファイル統合 PR #122 への布石を打つフェーズに当たる。

なお HAIP に「mdoc profile over Browser API」を入れるか、OID4VP 側に入れるか、別文書とするかは 11 月の主要争点の一つで、Kristina Yasuda は 11/19 の APAC コールで「mdoc profile を Browser API 上で OID4VP として提示するプロファイルを HAIP に取り込む」方向を提案、関連 PR は OID4VP リポジトリ側の PR #122(HAIP 側 ID, 後日マージ)として準備された(議事録 000539)。

OID4VP / OID4VCI 関連の主要 Issue 起票(2024-11)

11 月は ID3 公開レビュー初期にあたるため、長期検討用 issue が大量に起票された。

OID4VP 側(openid/OpenID4VP)の主要新規 issue:

  • #322 — martijnharing, 11/12, 「Enable RP to convey the desired credential issuers to the Wallet」(DCQL に issuer_identifiers パラメータを追加する提案。24 コメント)
  • #324 — Sakurann, 11/12, 「change sd-jwt vc type identifier from vc+sd-jwt to dc+sd-jwt」(PR #328 のトラッキング)
  • #326 — timcappalli, 11/14, 「Adding request type to the protocol identifier」(signed / unsigned リクエストを protocol identifier で明示するか、requestType プロパティを追加するかの設計議論。11 コメント)
  • #327 — martijnharing, 11/14, 「Where is the mdoc profile specified」(mdoc プロファイルの所在)
  • #329 — patatoid, 11/19, 「Mitigating a same-device / cross-device security issue」(QR コード共有 / リプレイ攻撃の緩和。short TTL と direct_post 時のリクエスト失効検証を提案。30 コメント)
  • #333 — TomCJones, 11/19, 「Verifiable Presentation does not meet the minimum requirements for holder informed consent」(informed consent / 法的コンプライアンス観点での批判)
  • #335 — TomCJones, 11/20, 「Verifiable presentation does not support all government inclusion requirement」
  • #336 — martijnharing, 11/20, 「DCQL: response to multiple queries」
  • #341 — TimoGlastra, 11/21, 「Allow both presentation definition and dcql query during transition period?」
  • #342 — senexi, 11/22, 「Signed transaction data object」
  • #343 — peppelinux, 11/25, 「Flexibility in Verifier Attestation JWT typ parameter」
  • #344 — peppelinux, 11/25, 「request_uri_post request format using application/json
  • #345 — peppelinux, 11/26, 「Enable DCQL requesting more than a single credential」
  • #346 — peppelinux, 11/26, 「Wallet 2 Wallet flows」
  • #347 — jogu, 11/26, 「define a mechanism for the verifier and verifier to communicate profiles supported」
  • #348 — jogu, 11/27, 「exp is not mandated in request objects」
  • #350 — jogu, 11/28, 「Value used for aud in SD-JWT key-binding JWT needs to be normatively defined」(PR #357 として 12 月に解決)
  • #351 — Sakurann, 11/28, 「rename client_id_scheme web-origin?」

OID4VCI 側(openid/OpenID4VCI)の主要新規 issue:

  • #410 — Sakurann, 11/4, 「OID4VCI with Digital Credentials API」
  • #411 — paulbastian, 11/5, 「Separate all request/response examples into separate files」
  • #412 — paulbastian, 11/6, 「Add DPoP-Nonce to the nonce endpoint」(12/3 APAC コールで合意、後に PR 化)
  • #413 — TimoGlastra, 11/7, 「Nonce endpoint when making multiple calls to the credential endpoint」
  • #414 — Sakurann, 11/12, 「change sd-jwt vc type identifier from vc+sd-jwt to dc+sd-jwt」(PR #415 のトラッキング)
  • #416 — Sakurann, 11/18, 「define Attack Potential Resistance values in key attestation」
  • #417 — Sakurann, 11/19, 「add a text that kid, jwk and x5c are mutually exclusive? x5c example in key attestation?」
  • #418 — Sakurann, 11/19, 「an identifier for the key storage component/WSCD, if there is more than one in the wallet」
  • #420 — babisRoutis, 11/26, 「OAuth 2.0 Protected Resource Metadata for the Credential Issuer?」
  • #421 — leecam, 11/26, 「Add display metadata to the CredentialResponse」(12/3 APAC コールで議論)
  • #422 — Sakurann, 11/28, 「polymorphic claims in VCI metadata」

3. ミーティングと議論

DCP WG は EU 友好枠(木曜)と APAC 友好枠(火曜)の 2 系統の定例コールを開催している。2024 年 11 月は 8 回のコール(APAC 11/5, EU 11/7, APAC 11/12, EU 11/14, APAC 11/19, EU 11/21, APAC 11/26, EU 11/28)が確認できる。議事録の所在は ML アーカイブ内であり、IIW 39 / pre-IIW Hybrid Meeting の振り返りから ISO 12 月会合に向けた論点整理まで、月を通じて密度が高い。

3-1. 2024-10-28 pre-IIW DCP WG Hybrid Meeting(前提)

11 月の議論の前提として、IIW 39 直前の 10/28 にマウンテンビューで開催された pre-IIW Hybrid Meeting(議事録: Week-of-Mon-20241028/000523)の決定が 11 月の宿題リストになっている。Joseph Heenan が議事録を取った 20 名参加のセッションで、

  • EU との連携: EU から OIDF への書簡が届いた件、公開について議論。Implementer's Draft の最終投票は 2025 年 1 月初頭、1.0 リリース目標は 2025 年 3 月 というタイムラインを確認
  • Key Attestation の format: platform 固有 vs interoperable のトレードオフを議論。「pros / cons の例示資料を出す」ことを宿題化
  • Trust ecosystem: wallet が複数の trust framework 由来クレデンシャルを持つ前提か、という根本問題で合意ありソリューションなし
  • Wallet Attestation: 「クエリ・トークン内で他のクレデンシャル同様に扱う」方針への rough consensus
  • アクションアイテム: Giuseppe(proof-of-association issue)/ Lee Campbell(platform-based key attestations issue)/ Key attestation pros-cons examples / IIW セッション記録の DCP WG 共有

11 月の WG コール議論はこれらアクションアイテムの消化として動いている。

3-2. 2024-11-05 APAC 友好枠コール

議題は Kristina Yasuda(000527)、議事録は Gareth Oliver(000528)。Kristina Yasuda、Joseph Heenan、Torsten Lodderstedt、Ryan Galluzzo(NIST ACD)、Lee Campbell、Christian Bormann、Andres Olave、Oliver Terbu、Daniel Fett、Sam Goto、Brian Campbell、Hicham Lozi(Apple)、Paul Bastian、Edmund Jay、Bjorn Hjelm ほか多数が出席。

主要議題と決定事項:

  • OID4VP: WGLC 開始済み。Browser API 越し transaction data の PR と credential format identifier 変更 PR の 2 件が pending。Wallet Attestation: トップレベルの boolean パラメータでアプローチすることで合意(Christian Bormann が週内に納品)。In-person verification は CTAP/Hybrid プロトコル採用案、issue として起票予定
  • DCQL フィードバック: 概ね好評。プライバシ / セキュリティ観点で「optional field 要求が情報漏洩につながりうる」点を要監視
  • Value matching: 削除要望が出る一方、Lee Campbell が「クレデンシャル matching のユースケースを文書化する」ことを引き受け
  • OID4VCI(DC API): クレデンシャル offer に issuer / authorization server メタデータを含めることで決定
  • ISO 要件: Multi-RP リクエストは cross-framework クレデンシャル処理に必須として承認。Torsten が PR を起票、「optionality は避ける」コンセンサス
  • HPKE / JARM: Hicham が JSON envelope の要件を整理
  • HAIP: 相互運用のための統合計画

3-3. 2024-11-07 EU 友好枠コール

議題は Joseph Heenan(000529)、議事録は Pedro Felix(000530)。14 名参加。

主要議題:

  • EU 書簡とデッドライン: EU が OID4VP / OID4VCI / HAIP に言及。WG は「OID4VP / OID4VCI を 2025 年 3 月末完了、HAIP は若干遅れ」を目標とし、HAIP の重要性(「実装者に提供する具体的プロファイル」)が強調された
  • IIW 振り返り: mdoc を HAIP の lifecycle 全体に組み込むかを議論したが「最終結論には至らず」。ISO/IEC TS 18013-7 との重複を避けることが懸案
  • HPKE 技術検討: 暗号プロトコルに関し、Hicham が「設計は secure element 上の JSON 処理を要求しない」と強調。Christian は「何を暗号化するのかを明確にすべき」と論点提示
  • OID4VP パブリックレビュー: ID3 が公開レビューに入った旨を確認。editorial 系の PR が 3 件進行中
  • VCI 関連: Paul は「key attestation は apr(attack potential resistance)プロパティのみで十分かもしれないが、wallet provider が具体値を assert するのは難しい」と提起。Wallet attestation について、「非 JSON 形式クレデンシャルを扱うシステムに JSON 要件を強制することへの懸念」が提起された

3-4. 2024-11-12 APAC 友好枠コール

議題は Kristina Yasuda(000531)、議事録は Christian Bormann(000532)。Andres Olave, Andrew Regenscheid, Bjorn Hjelm, Brian Campbell, Christian Bormann, David Zeuthen, Dima, Edmund Jay, Gail Hodges, Gareth Oliver, Hicham Lozi, Jin Wen, Kristina Yasuda, Lee Campbell, Martijn Haring, Michael Jones, Paul Bastian, Sébastien Bahloul, Tim Cappalli, Victor Lu の 20 名参加。

主要議題:

  • OID4VP のステータス: 公開レビュー期間に入っており、editorial PR が 3 件マージ済み
  • OID4VCI の前進: ID2 化を間もなく開始する方向
  • Key Attestation(PR #389): 議論はストレージタイプ定義から ISO/IEC 18045 を用いた attack potential resistance ベースへ転換。責務は wallet provider 側に分散する設計
  • Wallet Attestation(PR #408): JWT vs SD-JWT 形式の議論。フォーマット標準化と claim 構造定義のいずれが複雑さを減らすか。「JWT は十分にサポートされており、汎用プロトコルに合う。なぜ selective disclosure が必要なのか」との問題提起
  • メディアタイプ変更(Issue #414): SD-JWT VC 識別子を vc+sd-jwt から dc+sd-jwt に変更することで合意。メディアタイプの更新(W3C VC を含意する旧名を避ける)との整合
  • Multi-RP Credentials(PR #308): authorization request に複数署名を許容
  • VCDM v2 アップデート(PR #297): W3C VCDM 2.0 への参照更新ボランティアが挙手

3-5. 2024-11-14 EU 友好枠コール

議事録は Andreea Prian(000536)。

主要議題と決定事項:

  • EU Commission のデッドライン: 「OID4VCI / OID4VP / HAIP のすべての仕様を 2025 年 6 月までに Final 化」。Normative PR は 4 月末まで許容。ISO のタイムラインは未確定だが、非公式に 2025 年 3 月の言及あり
  • HAIP スコープ: mdoc Browser API プロファイルを HAIP に含めるか、OID4VP に含めるか。2025 年 3 月までに決定が必要
  • OID4VCI における credential status: OID4VCI 仕様内では status management を定義しないことで合意
  • プロトコル識別子(Issue #326): signed / unsigned リクエストに別の protocol identifier を割り当てるかが争点。「異なる protocol 値も妥当に見えるが、wallet 実装者には課題」
  • Key Attestation: 複数の JWT proof と「proofs 配列内の複数鍵を 1 つの attestation でカバー」が共存可能
  • credential_configuration_id: 冗長な top-level パラメータの新設を避け、authorization_details を再利用する方向で合意
  • ISO 18013-7: Kristina が Browser API 要件文書を WG レビューに付した
  • アクション: ISO の公式タイムライン入手、3 月までの PoA サポート要否判断、データポータビリティ / DPA 苦情提出ユースケース整理

3-6. 2024-11-19 APAC 友好枠コール

議事録は Martijn Haring(000539)。Gail Hodges, Joseph Heenan, Kristina Yasuda, Brian Campbell, Christian Bormann, Daniel Fett, Gareth Oliver, Hicham Lozi, Lee Campbell, Michael Jones, Oliver Terbu, Steve Venema, Tom Jones, Paul Bastian など 15 名参加。

主要議題:

  • VCI のメディアタイプ識別子変更: IETF SD-JWT VC draft と揃え vc+sd-jwtdc+sd-jwt。異論なし
  • VCI Claims display と WGLC タイムライン: Kristina が PR #276(claims display と path query)について 3 つの選択肢(却下 / 1 週間以内に ID 前マージ / ID 後マージ)を提示。2 番目で合意、翌週に当該 PR と関連 PR をマージし WGLC 開始の方針
  • VP の ISO mdoc プロファイル: Browser API 経由送信用 mdoc プロファイルを Kristina が提案。論点は (1) DeviceResponse を単一 / 複数とするか、(2) SessionTranscript のハッシュ化要件、(3) DCQL の optional コンポーネントサポート。PR 化を進める方向
  • VP の Wallet Attestation: Christian Bormann が PR #318 のアプローチへのコンセンサスに懸念を提起。DCQL メカニズム活用の方向に傾く。木曜コール枠での最終議論を要請

3-7. 2024-11-21 EU 友好枠コール

議題は Kristina Yasuda(000540)。ISO 12/3-5 ミーティング前の最後の「全員参加」コール と位置づけられ、35〜40 分が ISO 前論点の集中処理に充てられた。

主要議題:

  • mdoc profile over Browser API の所在: OID4VP 本文に置く / 別ドキュメント / HAIP の 3 案を比較
  • ISO 前論点: intent_to_retain(GDPR 文脈での有用性)、claims セットの mandatory 処理、value matching、x509_san_dns の扱い
  • mdoc profile for OID4VP over Browser API: PR #122 系として準備中

ISO 直前のためコンセンサス形成より「論点棚卸し」の色彩が強い。議事録は Tom Jones の Otter.ai キャプチャ(000538)と Joseph Heenan による補足が記録されている。

3-8. 2024-11-26 APAC 友好枠コール

議題は Kristina Yasuda(000542)、議事録は Oliver Terbu(000544)。20 名参加。

主要議題:

  • OID4VCI: PR #276(claims display)について「credentialSubjectclaims にリネームするか」要レビュー。PR #419(c_nonce_expires_in 除去)は positive な方向で進行中、承認待ち
  • OID4VP: ISO-OIDF アラインメント文書を Kristina が提示。承認済み項目と pending 項目を色分け
  • HAIP PR #122:
    • RP 認証: signed / unsigned 両方をサポートする方向。Wallet 側要件は未定
    • Transaction data: mandatory / optional の扱いを各当事者ごとに議論
    • 暗号化: 現案は origin を含まず。credential format 共通の AAD(Additional Authenticated Data) を持つことを推奨する方向

3-9. 2024-11-28 EU 友好枠コール(Thanksgiving 軽量回)

議題(000545)には Kristina Yasuda が「異論のあるトピックでは今日は決定を行わない」と明記。議事録は Jan Vereecken(000546)。

主要議題:

  • VCI PR #276: 一部の MUST NOTSHOULD NOT に緩和。Daniel が 2 件のコメントを別 issue に切り出す提案、Kristina が起票担当
  • VP x509_san_dns: 懸念対応として x509_thumbprint のような新規 client_id_scheme を導入する提案
  • VP DCQL namespace: Lee Campbell が「namespace / claim_name より path 表記の方が実装が遥かに楽」と発言。投票後に変更を入れる方向
  • HAIP: SD-JWT VCDM を HAIP に追加するかを議論、Kristina が PR 起票を引き受け
  • レビュー要請: OID4VP PR #337, #339, #340 のレビュー
  • アクション: Kristina が issue 起票と SD-JWT VCDM 統合検討

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML は週次(Week-of-Mon)形式でアーカイブされている。2024 年 11 月の主要スレッドは以下のとおり。なお OID4VP は本月時点で AB/Connect WG のプロダクトであるため、openid-specs-ab(Connect ML)側にも関連スレッドが存在する。

4-1. 「FW: Working group last call for proposed OpenID4VP Implementer's Draft」(Michael Jones / Orie Steele 他, 2024-11-12 〜)

000533 で Michael Jones が AB/Connect WGLC の状況を DCP WG ML へ転送、ID3 投票前段として現状を報告。続く 000534 で Orie Steele が 大規模なテクニカル反論 を投稿した。本月最重要の論争スレッド。

Steele の主張(要旨):

  • OID4VP は実装に値する状態ではなく、WGLC 品質基準を満たしていない
  • format パラメータがメディアタイプではなく文字列(di_vc / di_vp 等)を採用しており、相互運用性問題を生む
  • W3C VCDM v2 サポートを謳うが、EnvelopedVerifiableCredential などのネストされたクレデンシャル構造(JWT decode → data URI parse → JSON extract の多層)を Presentation Exchange で記述する手段がない
  • normative reference 先の仕様が変更中であり、format の許容値変更は breaking change
  • 提案: (1) 必須実装フォーマット(SD-JWT, mDoc)に範囲を限定、または (2) 全サポート対象フォーマットの完全な具体例を公開前に提供

Orie Steele の反論は 11 月後半の OID4VP PR の集中投入(特に PR #339 / #340 による DCQL 構造整理、PR #328 / #415 によるメディアタイプ識別子変更)の動機の一つとなった。

4-2. 「The OID4VP is not ready for implementation」(Tom Jones, 2024-11-19, AB/Connect ML)

openid-specs-ab/2024-November/010502。Tom Jones が「OID4VP は 既存の多くの法規 および ACM Ethics 文書(holder の informed consent 観点)に 不適合 である」と短く objection を投稿。Issue #333(openid/OpenID4VP#333)を参照先として指定。

Joseph Heenan は同日中(010503)に「Issue を立てていただき感謝。議論は Issue 側で継続しましょう、既にいくつかの応答があります」と短く返信。DCP WG ML 上にはこのスレッドの転送は確認されていないが、Tom Jones は同期間 DCP WG コールにも出席しており、文脈は WG 内に共有されている。

4-3. 「DCP WG Hybrid Meeting 28th October 2024 - Minutes」(Joseph Heenan, 2024-10-28 → 11 月への波及)

Week-of-Mon-20241028/000523。前述 §3-1 のとおり、本議事録のアクションアイテムが 11 月の WG コールを規定した。20 名参加、EU 連携 / Key Attestation / Trust Ecosystem / Wallet Attestation の 4 大論点を整理。

4-4. 「EU letter to OpenID Foundation」(Joseph Heenan, 2024-10-30)

Week-of-Mon-20241028/000524。EU Commission から OIDF DCP WG 宛に届いた書簡を WG ML に共有(PDF 添付、382 KB)。「EC との初回ミーティングを共同議長が組み、その後 WG に提案を持ち帰る」 運営方針が示された。11 月の各 WG コールで EU 由来のタイムライン(OID4VCI / OID4VP は 3 月末、HAIP は若干遅れ、すべて 6 月までに Final、normative PR は 4 月末まで)が反復確認される起点となった。

4-5. 「2024-11-05 DCP Meeting Minutes」(Gareth Oliver, 2024-11-06)

Week-of-Mon-20241104/000528。§3-2 の議事録。Wallet Attestation の top-level boolean パラメータ合意、In-person verification の CTAP/Hybrid 採用案、DCQL のプライバシ懸念、Multi-RP 必須化、HAIP 統合計画など 11 月の議論基調を作った回。

4-6. 「OIDF DCP WG Meeting Notes for 2024-11-07」(Pedro Felix, 2024-11-07)

Week-of-Mon-20241104/000530。§3-3 の議事録。EU 書簡対応・HAIP の lifecycle 統合・HPKE 設計(secure element 上の JSON 不要)・Key Attestation の apr 単独運用案・Wallet Attestation の JSON 要件問題が記録された。

4-7. 「DCP WG call 2024.11.14」(Andreea Prian, 2024-11-15)

Week-of-Mon-20241111/000536。§3-5 の議事録。EU Commission の 6 月デッドライン、HAIP スコープ判断の 3 月期限、credential status を OID4VCI で定義しない決定、Issue #326(signed / unsigned 識別)、Multi-RP のクロスフレームワーク必須化、ISO 18013-7 Browser API 要件文書の提示が記録された。

5. GitHub 上の議論

OID4VP では 11 月に 13 件、OID4VCI で 5 件の PR がマージされた。Issue 起票は OID4VP 19 件、OID4VCI 11 件にのぼり、ID3 パブリックレビュー初期 / OID4VCI ID2 化前夜の活況を反映している。HAIP リポジトリ(openid/oid4vc-haip)は本月内に確認できる PR・Issue がなく、議論は WG コールと OID4VP / OID4VCI 側に集約された。

5-1. OID4VCI PR #389「add key attestations」(paulbastian, 2024-11-19 マージ)

openid/OpenID4VCI#389。本月最大の構造変更。Issue #355 / #368 / #215 / #150 の 4 件を束ねて解決。

主要内容:

  • key_type / user_authentication 値の定義
  • Level of Assurance と ISO/IEC 18045 attack potential resistance の記述
  • nonce ベース proof type への key attestation 統合
  • セキュリティ考慮事項の追加と関連メタデータの整備

レビューは 17 件のコメントと 279 件の review comment という大規模な議論を経た。11/12 APAC コール議事録によれば、初期の「ストレージタイプを定義する」アプローチから 18045 ベース attack potential resistance に転換した経緯がある。責務は wallet provider 側に分散される設計で、Paul Bastian は 11/7 EU コールで「apr プロパティだけでよいかもしれないが、wallet provider が具体値を assert するのは難しい」と問題提起していた。最終的に attestation 自体のメカニズムを定義しつつ具体値は wallet provider に委ねる整理で合意。

5-2. OID4VCI PR #392「add an option to use credential_configuration_id in credential request」(Sakurann, 2024-11-18 マージ)

openid/OpenID4VCI#392。Issue #132 / #175 / #342 の解決。issuer metadata なしの実装でも、scope / format / type / credential_configuration_id の対応付けを out-of-band で取れるよう整理。31 件のコメント議論。11/14 EU コールで「冗長な top-level パラメータの新設は避け、authorization_details を再利用」する方向が確認され、PR の構成もそれに沿った。

5-3. OID4VCI PR #404「remove c_nonce and c_nonce_expires_in from credential endpoint response」(mickrau, 2024-11-05 マージ)

openid/OpenID4VCI#404。Issue #393 の解決。c_nonce の取得経路を単一化(nonce endpoint のみ)し、credential endpoint 応答からは c_nonce / c_nonce_expires_in を除去。13 件のコメント。12/3 マージの PR #419(nonce endpoint 応答からの c_nonce_expires_in 除去 + 「unpredictable」要件)に直結する地ならし PR。

5-4. OID4VCI PR #415「change credential type identifier vc+sd-jwt to dc+sd-jwt」(charsleysa, 2024-11-21 マージ)

openid/OpenID4VCI#415。IETF SD-JWT VC draft 側のメディアタイプ変更(W3C VC を含意する旧名 vc+sd-jwt を避ける)への追随。OID4VP の PR #328(同 11/22 マージ)と対をなす。Issue #414 のトラッキング下で進行。

5-5. OID4VP PR #340「move credential format specific DCQL parameters to the annex」(Sakurann, 2024-11-28 マージ)

openid/OpenID4VP#340。本文に散在していたフォーマット固有 DCQL パラメータを Annex に分離。14 件の review comment を経てマージ。Orie Steele の WGLC 反論(§4-1)が指摘した「format ごとの差異が本文に散乱して読解困難」批判への直接的な応答。

5-6. OID4VP PR #339「Clarify what profiling OID4VP means」(Sakurann, 2024-11-28 マージ)

openid/OpenID4VP#339。「OID4VP を profiling する」という行為の意味を明文化。HAIP のような派生プロファイルがどの範囲で何を上書きできるかという根本的な問題に答える editorial 改善。

5-7. OID4VP Issue #322「Enable RP to convey the desired credential issuers to the Wallet」(martijnharing, 2024-11-12 起票)

openid/OpenID4VP#322。DCQL に mdoc 固有パラメータとして issuer_identifiers(証明書チェーンの keyIdentifier を base64url エンコードした配列)を追加する提案。24 件のコメント を集めた大議論。ISO 系の trust framework で「クレデンシャルに含めるべき issuer の候補集合を verifier 側から表現したい」要件に対応。

5-8. OID4VP Issue #326「Adding request type to the protocol identifier」(timcappalli, 2024-11-14 起票)

openid/OpenID4VP#326。Digital Credentials API において signed / unsigned リクエストの top-level プロパティが異なり、暗黙の property matching でしか判別できない問題を提起。

2 案:

  1. Protocol Differentiation: openid4vp-signed / openid4vp-unsigned のように別 protocol identifier
  2. Request Type Property: requestType フィールド(例: "signed")を openid4vp protocol 識別子と並置

11 件のコメント。11/14 EU コール議事録では「異なる protocol 値も妥当に見えるが、wallet 実装者には課題」と整理。

5-9. OID4VP Issue #329「Mitigating a same-device / cross-device security issue」(patatoid, 2024-11-19 起票)

openid/OpenID4VP#329。QR コード / リンク共有による victim 偽装攻撃の緩和策を提起。30 件のコメント を集めた本月最大級のセキュリティ議論。

2 つの緩和案:

  1. Browser API を活用してセッションと nonce を紐付け
  2. QR / リンクに短 TTL を設定し、direct_post 時に verifier がリクエスト失効を強制検証

参考実装も提示された。後続の OID4VP セキュリティ強化議論の起点となる。

5-10. OID4VP Issue #333「Verifiable Presentation does not meet the minimum requirements for holder informed consent」(TomCJones, 2024-11-19 起票)

openid/OpenID4VP#333。Tom Jones が法的・倫理的コンプライアンス(holder の informed consent)観点で OID4VP の批判を提起。AB/Connect ML 上の objection(§4-2)と対をなす。Joseph Heenan は「Issue 側で議論を継続」と整理し、WG としては ID3 投票プロセスを続行する判断。

6. 関連イベント

  • OID4VP Implementer's Draft 3 パブリックレビュー開始(2024-11-01): Public Review Period for Proposed Implementer's Draft of OpenID4VP Specification。スポンサーは AB/Connect WG。45 日レビューは 12/16 まで
  • EU Commission からの書簡(10/30 共有): 共同議長による初回ミーティング後、WG にタイムラインが波及。「OID4VCI / OID4VP / HAIP すべて 2025-06 までに Final、normative PR は 2025-04 末まで許容」
  • ISO/IEC SC17 WG10 ミーティング(2024-12-03 〜 12-05): 11 月後半の WG コール議論はこの会合に向けた論点棚卸し。intent_to_retain, x509_san_dns, value matching, claims セットの mandatory 処理、Browser API 経由 mdoc プロファイルの所在が焦点
  • IIW 39(2024-10-29 〜 10-31, マウンテンビュー)と pre-IIW DCP WG Hybrid Meeting(2024-10-28): 11 月の DCP WG 議論を規定した直前イベント。DCQL、Key Attestation、Wallet Attestation、Trust Ecosystem の 4 大論点が IIW で重点的に議論された

7. 今後の予定

2024 年 11 月末時点で WG が共有していた次月以降の計画:

  • 2024-12-03: Notice of Vote for OID4VP ID3 公開予定(実際に 12/3 公開)
  • 2024-12-03 〜 12-05: ISO/IEC SC17 WG10 ミーティング
  • 2024-12-10: OID4VP ID3 早期投票開始
  • 2024-12-16: OID4VP ID3 45 日パブリックレビュー終了
  • 2024-12-17 〜 12-24: OID4VP ID3 公式投票
  • 2024-12 内: OID4VCI ID2 化のための WGLC 開始(実際に 12/17 〜 12/19 の短縮 WGLC として実施)
  • 2025-01 初頭: Implementer's Draft 最終投票締切
  • 2025-03 末: OID4VCI / OID4VP の Final 1.0 目標、HAIP は若干遅れ
  • 2025-04 末: normative PR の受け入れ期限(EU Commission タイムラインから逆算)
  • 2025-06: 全仕様の Final 化目標(EU Commission デッドライン)

OID4VP の継続論点として、Tom Jones / Orie Steele の objection への対応(Issue #333 系)、Issue #326(signed / unsigned 識別)、Issue #329(QR 共有攻撃緩和)、Issue #322(issuer_identifiers)、DCQL の整流化、x509_san_dns / value matching / intent_to_retain の ISO 後決着が残った。

OID4VCI 側では PR #389 の key attestation 取り込み後、Wallet Attestation の本格 PR 化(PR #408 として 12 月に進行)、PR #276(claims display / path query)の ID2 入りに向けた整備が継続課題。

HAIP は 12 月以降に「リポジトリリネーム(oid4vc-haip)+ mdoc Browser API プロファイル統合」の大型 PR #122 として具体化することになる。

8. 参考情報源

メーリングリスト(pipermail 週次インデックス)

主要 ML スレッド

AB/Connect ML 関連スレッド(OID4VP ID3 投票が AB/Connect 配下のため)

GitHub PR / Issue

公式アナウンス・仕様