idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2024 年 12 月)

執筆日: 2026-05-19(遡及執筆) この記事は 2024 年 12 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID for Verifiable Credentials High Assurance Interoperability Profile (HAIP)、および Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda、Joseph Heenan(Authlete)、Torsten Lodderstedt(個人)。EU 友好枠(木曜)と APAC 友好枠(火曜)の 2 系統の定例コールが毎週開催されている。

2024 年 12 月の DCP WG は、OID4VP 第 3 版 Implementer's Draft (ID3) の Foundation 投票が 12 月 24 日に可決されたこと、および OID4VCI 第 2 版 Implementer's Draft (ID2) を 2 月の Foundation 投票に乗せるための短縮 WGLC・45 日パブリックレビューを開始したことを 2 大成果としつつ、HAIP の構造改革を一気に進めた月であった。なお OID4VP ID3 はこの時点ではまだ AB/Connect WG のプロダクトとして投票・公開されており、DCP WG への正式な「家移し」を求める Call for Adoption は翌 2025 年 1 月 3 日に Joseph Heenan が起票することになる。とりわけ重要な動きは以下のとおり。

  • OID4VP ID3 が 12 月 24 日に Foundation 投票で承認: 賛成 91 / 反対 3 / 棄権 19、有効投票数 113(414 名中 27%、定足数 20% を上回る)。スポンサー WG は依然として AB/Connect WG。当版は DCQL の導入、transaction_data メカニズムの導入、client_id_scheme 廃止と client id prefix への置き換えの 3 大変更を含む
  • OID4VCI Second Implementer's Draft の WGLC 開始(12 月 17 日)と公開レビュー開始(12 月 20 日): 年末年始のスケジュールを考慮した 2 日間の短縮 WGLC が共同議長から提案され、Paul Bastian、Joseph Heenan、Niels Klomp、Sancho Sancho Canela、Jan Vereecken、Christian Bormann、Ben Piercey らから明示的な支持表明が集まる。45 日パブリックレビューは 2024-12-20 〜 2025-02-02、投票は 2025-02-03 〜 2025-02-10 と設定。Joseph Heenan は 12 月 19 日に OID4VCI -15 を公開し「これがパブリックレビューに入る版である」と告知
  • HAIP のリポジトリリネーム(oid4vc-haip)と Browser API 経由 mdoc プロファイルの大規模統合: Sakurann による HAIP PR #122(12 月 17 日マージ、5 名の formal approval + 複数名のコメントレビュー)が「SD-JWT VC を仕様タイトルから外し、Browser API 上の mdoc プロファイルを HAIP に取り込む」構造改革を一括で実施。これに先立つ 12 月 10 日には Joseph Heenan が HAIP -01 の公開を ML 上で告知(実公開は 12 月 8 日、リネーム反映版)。mdoc 部分は次版以降に追記される予定と明示された
  • OID4VCI の Wallet Attestation ドラフト(PR #408)と Claims display description / Claims path query(PR #276)が同月内にマージ: それぞれ Paul Bastian / Daniel Fett のリードで長期間の議論が決着。後者はクレーム表示メタデータの言語化と DCQL claims path 表記の整流化を実現
  • ISO SC17 WG10 との 1 月末バーチャル会議の準備開始: 12 月 5 日付の WG コール議事録(Andreea Prian)で Torsten Lodderstedt が「ISO が mdoc プロファイルレビューのため 1 月末にバーチャル会議を持ちたいと言っている」とアナウンス。2 月の interop / 3 月初頭の DICE / 2 月 25 日のレイキャビク・ハイブリッドミーティングへ続く一連のスケジュールの起点となる

12 月 19 日 〜 1 月 6 日は冬季休止のため、APAC コール(12/24, 12/31)と EU コール(12/26, 1/2)はいずれもキャンセルされた。本月内の議事録として確認できるのは APAC 12/3 / EU 12/5 / APAC 12/10 / EU 12/17 / EU 12/19 の 5 本である。

2. 公開された仕様・ドラフト改訂

OID4VP Implementer's Draft 3 の Foundation 投票と可決(2024-12-24)

OID4VP は 2024 年 11 月末から 2024 年 12 月にかけて Foundation 投票期間に入っており、12 月 10 日に Michael Jones が poll #346 への投票を ML 上でも周知 した。12 月 24 日、OpenID Foundation は Third OpenID4VP Implementer's Draft Approved を公開し、賛成 91 / 反対 3 / 棄権 19、有効投票数 113(414 名中 27%、定足数 20% 超)で可決されたと発表した。

ID3 のスポンサー WG は依然として AB/Connect WG であった点に留意が必要である。DCP WG への「家移し」が ML 上で正式に提起されるのは翌 2025-01-03 の Joseph Heenan による Call for Adoption(Week-of-Mon-20241230/000588.html)以降である。Heenan は同投稿で「OID4VP は DCP WG 発足以前の歴史的経緯で AB/Connect 配下に置かれていたが、ID3 が IPR ロック付きで公開されたいま組織構造を実態に合わせる」と整理する。

ID3 における 3 大変更は OpenID Foundation の公式アナウンスにて明示されている:

  • DCQL(Digital Credentials Query Language)を Presentation Exchange の代替として導入
  • transaction_data メカニズムの導入(ユーザの認証/識別と認可を紐づける)
  • client_id_scheme パラメータの廃止と、client_id 自身のプレフィックスとしての client id scheme 表現への変更

OID4VCI Second Implementer's Draft:短縮 WGLC と公開レビュー開始

共同議長一同(Kristina Yasuda / Joseph Heenan / Torsten Lodderstedt)は 12 月 17 日付 WGLC for OpenID4VCI Second Implementers Draft で次のスケジュールを提示した:

  • WGLC 期間: 2024-12-17 〜 2024-12-19(2 日間に短縮)— 年末年始の長期休止を回避するため、標準の 7 日を圧縮
  • 45 日パブリックレビュー: 2024-12-20 〜 2025-02-02
  • 早期投票(early voting): パブリックレビュー終了の 7 日前から
  • Foundation 投票: 2025-02-03 〜 2025-02-10

短縮 WGLC の前提として、議事録によれば WG メンバーの間で「2 つの特定 PR をマージしてから WGLC に入る」ことが事前合意されていた。これらはおおむね OID4VCI PR #408(Wallet Attestation, 12/12 マージ)および PR #276(claims display description, 12/17 マージ)に対応する。

12 月 19 日、Joseph Heenan は OID4VCI -15 の公開 を告知し、「これが本日 WGLC 終了後にパブリックレビューに入る予定の版である」と明示した。WGLC スレッドには Paul Bastian、Joseph Heenan、Niels Klomp、Sancho Sancho Canela、Jan Vereecken、Christian Bormann、Ben Piercey から明示的な支持表明が寄せられ、反対意見は記録されていない。Torsten Lodderstedt も短いフォローを返している。

HAIP -01 の公開(リポジトリリネーム反映版)

Joseph Heenan は 12 月 10 日に HAIP -01 の公開 を告知した。これは「仕様タイトルから sd jwt を除去するリネーム反映後の最初の版」であり、mdoc 部分は本版にはまだ含まれず次版(後の -02)で追加される旨が明示された。なお当初の告知は 12 月 8 日に管理アドレス宛に誤送信されており、12 月 10 日に ML へ再送された経緯がある。

OID4VP リポジトリの主要 PR(2024-12)

OID4VP では本月 9 件の PR がマージされた。主要なものを以下に整理する。

PRタイトルマージ日著者
#353Fix incorrect DC API signed request example12 月 1 日jogu
#352Change PE version to 2.1.112 月 6 日Sakurann
#358Increase doc revision to -24 now that -23 is published12 月 3 日jogu
#356Require wallets to ignore client_id if it's present in unsigned DC API requests12 月 8 日jogu
#359Update wallet invocation section to mention Digital Credentials API12 月 8 日jogu
#357Change note about SD-JWT KB JWT nonce/aud to be normative12 月 13 日jogu
#365Add two definitions and alphabetically reorder the definitions12 月 9 日Sakurann
#370Correct HAIP reference12 月 18 日selfissued
#360Clarify that non-JARM error response may be sent even when JARM requested12 月 19 日jogu

特筆すべきは以下の点。

  • PR #356(unsigned DC API request では client_id を無視)と PR #359(Wallet invocation 節に Digital Credentials API を明記): DC API 経由の OID4VP のエッジケース整理。PR #359 のレビュー過程で「Browser API を推奨すべきか」という議論が派生し、Issue #361(jogu 起票, 12/2)として正式に切り出された
  • PR #357(SD-JWT KB JWT の nonce/aud を normative に格上げ): 従来の non-normative note を MUST 要件に昇格。Cross-protocol attack の防止策を仕様本体に取り込む
  • PR #358(リビジョン番号を -23 公開後に -24 へ繰り上げ): ID3 投票期間中も main ブランチでの開発が継続できるよう、即座に作業版を切る運用

HAIP リポジトリの主要 PR(2024-12)

HAIP では本月 3 件の PR がマージされた。

PRタイトルマージ日著者
#117change direct_post to direct_post.jwt12 月 3 日Sakurann
#141Add document history12 月 7 日jogu
#122refactor HAIP and add details for mdoc profile of OID4VP over the Browser API12 月 17 日Sakurann

PR #122 は本月最大の構造改革。HAIP の論理構成を再編し、mdoc を Digital Credentials API(Browser API)越しに OID4VP で提示するプロファイルを HAIP に取り込む。レビューで議論された主な論点:

  • SessionTranscript の構造: handover における origin / clientId / nonce を生値で含めるかハッシュ化するか。Lee Campbell は W3C Subresource Integrity 風のハッシュ化を提案し「リモートサービスに不要なトランザクション情報を漏らさないため」と主張
  • DeviceResponse に含められる mdoc を 1 個に制限する是非: VP Token と DCQL クエリの結合に関する後続議論(OID4VP 側 Issue で並行検討)に依存
  • client_id を含める意義: origin が既にあるとき clientId を audience restriction として重複させる必要があるか
  • 文言・grammar の細部は後続 PR に切り出し

最終的に javereec / c2bo / paulbastian / tlodderstedt / awoie の 5 名から formal approval を得て、jogu / danielfett / bc-pi / martijnharing / andprian らからコメントレビュー・提案を受けた上で 12 月 17 日にマージされた。

OID4VCI リポジトリの主要 PR(2024-12)

OID4VCI では本月 7 件の PR がマージされた。

PRタイトルマージ日著者
#419remove c_nonce_expires_in from nonce response12 月 3 日tplooker
#423Fix some broken links12 月 3 日jogu
#408Draft for wallet attestation12 月 12 日paulbastian
#429fix status list reference12 月 13 日c2bo
#276Define claims display description and claims path query12 月 17 日danielfett
#436Fix trivial typos, remove duplicate changelog entry, fix layout, etc.12 月 19 日jogu
#437Bump spec version to -16 now -15 is published12 月 20 日jogu

特筆すべきは以下の 3 件。

  • PR #419(c_nonce_expires_in 除去): Nonce endpoint レスポンスから c_nonce_expires_in を取り除き、代わりに c_nonce 定義に「unpredictable」要件を追加。Issue #394 の解決。jogu / nemqe / c2bo / leecam / paulbastian / awoie / bc-pi / babisRoutis の 8 approval で Torsten Lodderstedt がマージ。Final 1.0 milestone
  • PR #408(Wallet Attestation ドラフト): Paul Bastian リード。Wallet Attestation を JWT として client authentication に使えるよう、Token Request 内での参照方法、ユーザ信頼形成のための display メカニズム、関連 Issue(#355, #406)との統合を整備。21 commits、9 名以上の参加者によるレビューを経て tlodderstedt / peppelinux / David-Chadwick / c2bo / Sakurann の 5 名が approve、12 月 12 日マージ
  • PR #276(claims display description / claims path query): Daniel Fett リード、Issue #266 / #271 / #272 の解決。クレデンシャル内のクレームを言語化された display で提示するための claims display description、および SD-JWT / JWT / mdoc 横断で claim を指す DCQL 整合の path 配列構文を導入。当初は array based アプローチの破壊的変更性に懸念があり、object レベル claim への display 適用、value_type の under-spec 性除去(最終的に削除)、ルート要素の定義精緻化など複数ラウンドの議論を経て、selfissued / c2bo / Sakurann / pmhsfelix / peppelinux / mickrau / paulbastian / awoie / babisRoutis / sloops77 の 10 approval で 12 月 17 日マージ。27 commits

なお -15 版(PR #436, PR #437 の挟み込み版)がパブリックレビュー候補となる予定であった。

OID4VCI 関連の主要 Issue 起票(2024-12)

3. ミーティングと議論

DCP WG は EU 友好枠(木曜)と APAC 友好枠(火曜)の 2 系統の定例コールを開催している。2024 年 12 月は 5 本の議事録が ML 上で確認できる。12 月 19 日の EU コールを最終回として年末休止に入り、12/24 APAC、12/26 EU、12/31 APAC、1/2 EU はいずれも Kristina Yasuda により正式にキャンセル通知された(000574000577)。

3-1. 2024-12-03 APAC 友好枠コール

議題(000547.html)は Torsten Lodderstedt が投稿、議事録(000551.html)は Jin Wen が記録。OID4VCI の ID 化に向けた前進を最優先とする方針で組まれた回。

主要議題と決定事項:

  • PR #419(c_nonce_expires_in 除去): 8 approvals を確認後、コール直後にマージ
  • Issue #421(display metadata for credential responses): Lee Campbell が「クレデンシャルと一緒に display data を返してパーソナライズしたカードアートやメタデータを表示する」案を提示。フォーマット非依存のアプローチに関心が集まり継続検討
  • Issue #412(nonce endpoint での DPoP-Nonce): 提案に異議なし、Paul Bastian が正式 PR を起こす方向に
  • PR #276(mdoc 関連の命名変更): 新規節での breaking change だが、まだ Implementer's Draft 公開前の VP / VCI 両方に取り込む方向で合意
  • HAIP のリポジトリリネームと、Digital Credentials API 経由 mdoc プロファイルを HAIP に取り込む refactor を議論

3-2. 2024-12-05 EU 友好枠コール

議事録は Andreea Prian(000554.html)。

主要議題:

  • イベント連携: Torsten Lodderstedt から「ISO が 1 月末に mdoc プロファイルレビューのためバーチャル会議を持ちたいと言っている」と共有。2 月の追加 interop 検討にも言及
  • HAIP / mdoc プロファイル: encryption と transaction data の扱いを議論。SessionTranscript について「同じ SessionTranscript が異なる用途で再利用される際の問題を軽減する」効果に触れ、説明 note の追加を提案
  • OID4VP の Multi-RP: 「メイン仕様に複数のオプションを残し、各プロファイルで具体的なアプローチを選ぶ」方向で合意
  • OID4VCI 関連: Daniel Fett の issuer metadata 作業を巡って Lee Campbell が「breaking change を入れるなら今のうちに」と推奨
  • Wallet Attestation: Pedro Felix が「Wallet Attestation は Issuer ではなく Authorization Server に整合させるべき」と構造的問題を提起、IETF の既存 authentication draft の採用を示唆

3-3. 2024-12-10 APAC 友好枠コール

議題は Kristina Yasuda(000555.html)、議事録相当の要約は Paul Bastian(000556.html)。18 名参加。

主要議題:

  • OID4VCI: Wallet Attestation の追加レビュー要請、claim display description の修正待ち
  • OID4VP: ID3 投票が進行中(メンバーへの投票呼びかけ)
  • ISO 連携: WG10 が追加レビュー時間を要求。HAIP は Digital Credentials API 上の mdoc プロファイルを定義する一方、ISO/IEC 18013-7 Annex B 自体は更新しない方針
  • HAIP refactor(PR #122 系): transaction data の参照を取り除き、handover はさらに議論が必要。マージには 2-3 名の追加 approval が必要
  • HAIP encryption(Issue #131 系): ECDH-ES ベースの JWE、IETF HPKE draft 統合、新規 HPKE 方式の 3 案を議論。「IETF 仕様未完成を待つより、現状の能力で進めて将来移行可能性を残す」方向で合意傾向

3-4. 2024-12-17 EU 友好枠コール

議題(000564.html)は Kristina Yasuda、議事録(000568.html)は Tim Cappalli(17 名参加)。

主要議題と決定事項:

  • OID4VCI の前進: Implementer's Draft 化に向けた WGLC を 12/24 以降開始する方向で合意(最終的に 12/17 開始の短縮版に前倒し)。Second Implementer's Draft は 2025 年 2 月下旬を目標
  • 2025 年の test 計画: MOSIP Connect(3 月 10 日、マニラ)、DICE(3 月 4-5 日、チューリッヒ)への参加可能性、2 月 25 日の test event を 1.0 フィードバック収集の最適タイミングとして提案
  • Request 内の origin 扱い: 署名済み KB JWT レスポンスに origin を含めるか否かが最も活発な議論
    • Lee Campbell: 「expected_origins があっても MITM 攻撃者には情報が渡らない」とし、理論的に冗長でも origin チェックには防御価値があると主張
    • Joseph Heenan: 「signed request では、Wallet が責務を果たすなら verifier 側 origin 検証は冗長になる」と反論
    • クレデンシャルフォーマット間の一貫性と実用上のセキュリティ便益のトレードオフを認めつつ、origin を仕様に含める方向に傾く(実装の柔軟性は許容)
  • Conformance testing: verifier 用テストと、VCI / DCQL の要件収集が継続

Joseph Heenan は同議事録(000572.html)に補足を追加している。

3-5. 2024-12-19 EU 友好枠コール(最終回)

議事録は Daniel Fett(000586.html)。

主要議題:

  • Conformance testing: Kristina から VP テストの状況報告。「コミュニティメンバーは独自実装を作らず公式 conformance tests を使うべき」と強調
  • 2025 年計画: pre-OSW の hybrid meeting(招待は 1 月初頭)、dedicated test event、IIW / DICE / EIC への参加が確定
  • VCI ID2 タイムライン: 短縮 2 日 WGLC を承認。45 日パブリックレビューは 2024-12-20 〜 2025-02-02、Foundation 投票は 2025-02-03 〜 2025-02-10
  • 継続論点: PR #374 は origin の文言調整後に 1 月初旬マージ予定。OID4VP #321, #338, #355, #308, #368, #371 がレビュー対象。intent_to_retain の GDPR 文脈での有用性は議論継続
  • VP の issues / PRs に milestone を付与する整理を進めたとも記録

3-6. 年末休止

12 月 19 日のコール後、Kristina Yasuda は 4 件のキャンセル通知(000574, 000575, 000576, 000577)を発出し、APAC 12/24・EU 12/26・APAC 12/31・EU 1/2 の 4 回を正式にスキップ。実質的な再開は 1/7 の APAC コールとなる。

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML は週次(Week-of-Mon)形式でアーカイブされている。2024 年 12 月の主要スレッドは以下のとおり。

4-1. 「WGLC for OpenID4VCI Second Implementers Draft」(Kristina Yasuda 他, 2024-12-17 開始)

000566.html を起点とする本月の最重要技術スレッド。共同議長一同(Kristina Yasuda / Joseph Heenan / Torsten Lodderstedt)名義で「2 日間に短縮した WGLC を承認してほしい」と提案。

支持表明:

反対意見・条件付き反対は本スレッド内に記録されておらず、12/19 EU コールで正式に承認、12/20 から 45 日パブリックレビューに移行した。

4-2. 「[please review] DCP WG 2025 plans and budget」(Kristina Yasuda, 2024-12-17)

000565.html。OIDF Board 向けの 2025 計画案を WG にも事前レビュー依頼。4 本柱は次のとおり。

  • 仕様開発: OID4VP Implementer's Draft 3 と Final、OID4VCI / HAIP の並行作業
  • Conformance testing: Wallet / Issuer 双方の test suite を OID4VP / OID4VCI / HAIP の各 variant で整備、マーケティング併走
  • External liaisons: ISO WG、EU Commission、W3C、DIF、ETSI、政府機関(NIST、MOSIP 等)との連携
  • イベント: OSW / IIW / DICE / EIC とアジャセントの test event、security analysis update、白書改訂の検討

[Brian Campbell(000578.html)](https://lists.openid.net/pipermail/openid-specs-digital-credentials-protocols/Week-of-Mon-20241216/000578.html) は「Final の対象は v1.0 であり、v1.1 以降に向けた追加 spec work が当然見込まれる」と指摘し、Final マイルストーン後も継続的な工数確保を提案した。Sancho Sancho Canela と Kristina Yasuda の応答もあり、最終案は 1 月の OIDF Board に上程される運び。

4-3. 「FW: Vote for 3rd proposed OpenID4VP Implementer's Draft open」(Michael Jones, 2024-12-10)

000557.html。Foundation の poll #346 への投票呼びかけ。続いて [Mike Leszcz(000558.html)](https://lists.openid.net/pipermail/openid-specs-digital-credentials-protocols/Week-of-Mon-20241209/000558.html) も「Vote to Approve Proposed Implementer's Draft of OpenID4VP Specification」として周知。最終結果は 12/24 に Foundation がアナウンスし、賛成 91 / 反対 3 / 棄権 19 で可決された。

4-4. 「-01 revision of HAIP published」(Joseph Heenan, 2024-12-10)

000560.html。HAIP リネーム反映後の最初の番号付きドラフトを公開。本版に mdoc 部分はまだ含まれない(次版で追加)と明示。当初 12 月 8 日に管理アドレス宛に誤送信し、12 月 10 日に ML へ再送した経緯にも触れる。

4-5. 「conformance tests plan for OpenID4VC specifications」(Kristina Yasuda, 2024-12-20)

000587.html。OpenID Foundation Certification チームと連携した conformance test の優先順位を提示:

  1. VP verifier に mdoc / mdl サポート追加
  2. VP wallet / verifier の ID3 テスト版
  3. VP wallet / verifier の DCQL サポート
  4. VCI initial ID2 wallet テスト(HAIP 要件準拠)
  5. VCI initial ID2 issuer テスト(HAIP 要件準拠)

特に最優先項目の mdoc については「どの mdoc doctype / namespace の test に関心があるか」を WG に問い、ISO/IEC 18013-7 Annex B 適合作業のための ISO test event 前に利用可能とする方針を共有。ID2 VCI test の対象として custom URL スキーム、PKCE、scope パラメータ、PAR、Wallet Attestation、DPoP トークン、attestation proof による key attestation、authorization code フロー、IETF SD-JWT VC / ISO mdoc 両フォーマット対応を列挙し、ISO 23220-3 との整合性確認を求めた。

4-6. 「WTE and PoA in OpenID4VCI」(Torsten Lodderstedt, 2024-12-04)

000552.html。Torsten Lodderstedt が Sietse Ringers に対し、Wallet Trust Evidence (WTE) における Proof of Possession (PoP) と Proof of Association (PoA) を分離扱いする現案について技術的な疑問を投げかけたスレッド。

Ringers の定義によれば PoA は「同一 WSCD が複数鍵を管理していることの証明」であり、複数鍵で署名された JSON 形式 JWS として実装される。Lodderstedt は「PoA オブジェクト内の署名は事実上 PoA と PoP(WTE および credential key 双方の)を兼ねており、なぜ分離して扱う必要があるのか」と問題提起した。

wte 型の新規 credential request proof タイプとして、複数 JWT PoP、WTE JWT、WTE 鍵の PoP、json_jwts などの association method 識別子を含む PoA オブジェクトを格納する構造案が提示された。Dutch Wallet 実装で「個々の credential key ごとに wallet provider blessing を要求しない」アプローチとしての利用が背景。

4-7. 4 件の年末コール キャンセル通知(Kristina Yasuda, 2024-12-17)

000574.html000577.html。12/24 APAC、12/26 EU、12/31 APAC、1/2 EU の 4 回が休止。「次回は 1 月 7 日(APAC)」と明示。

5. GitHub 上の議論

OID4VP では本月 9 件、HAIP で 3 件、OID4VCI で 7 件の PR がマージされた。Issue 起票は OID4VP 4 件、OID4VCI 5 件、HAIP 1 件。Final 1.0 milestone への振り分けと Implementer's Draft への前進が同時並行で進んだ。

5-1. HAIP PR #122「refactor HAIP and add details for mdoc profile of OID4VP over the Browser API」(Sakurann, 2024-12-17 マージ)

openid/oid4vc-haip#122 — 本月最大の構造改革。HAIP の論理構成を再編し、mdoc を Digital Credentials API 越しに OID4VP で提示するプロファイルを HAIP に取り込む。2 つの Issue(ISO mdoc プロファイルの DC API 定義 / OID4VP browser 提示時の mdoc・SD-JWT VC 要件)を一括解決。

主要論点:

  • SessionTranscript の handover 設計: origin / clientId / nonce の生値とハッシュ化のトレードオフ。Lee Campbell が W3C SRI 風ハッシュ化を提案
  • DeviceResponse 内 mdoc を 1 個に制限する是非: VP Token と DCQL クエリの結合に関する後続議論を要する
  • client_id の audience restriction としての必要性: origin が既にある状況で重複した audience を持つ意味
  • 細かい grammar / consistency 改善は後続 PR に切り出し

5 formal approvals(javereec / c2bo / paulbastian / tlodderstedt / awoie)に加え、jogu / danielfett / bc-pi / martijnharing / andprian らがコメントレビューで議論に参加した上でマージ。

5-2. OID4VCI PR #276「Define claims display description and claims path query」(danielfett, 2024-12-17 マージ)

openid/OpenID4VCI#276 — Daniel Fett が長期間リードしてきた PR が ID2 候補入りに合わせて決着。Issue #266 / #271 / #272 の同時解決。

実装内容:

  • Claims display description(言語化された display プロパティをネスト構造にも適用可能)
  • Claims path query(SD-JWT / JWT / mdoc 横断で claim を指す DCQL 整合の JSON path 配列構文)

主要論点:

  • 「配列ベースは breaking change」とする初期反論への対応
  • 葉値だけでなくオブジェクト単位 claim にも display を適用したい要望
  • DCQL との path 文法整合と mdoc 固有考慮
  • value_type の under-spec 性 → 最終的に削除
  • 「ルート要素」の定義精緻化(JWT payload / VC claims / SD-JWT 構造ごと)

10 approvals(selfissued / c2bo / Sakurann / pmhsfelix / peppelinux / mickrau / paulbastian / awoie / babisRoutis / sloops77)、27 commits でマージ。

5-3. OID4VCI PR #408「Draft for wallet attestation」(paulbastian, 2024-12-12 マージ)

openid/OpenID4VCI#408 — Wallet Attestation の正式な仕様化。JWT 形式の wallet attestation を client authentication に活用する枠組み、Token Request 内での参照、ユーザ信頼形成のための display メカニズム、関連 Issue(#355, #406)との統合を含む。

レビュー過程では文言の簡潔化要求や clarification 要求が多く、9 名以上が議論に参加。最終的に tlodderstedt / peppelinux / David-Chadwick / c2bo / Sakurann の 5 approvals でマージ。21 commits。なお Pedro Felix は 12/5 EU コールで「Wallet Attestation は Issuer ではなく Authorization Server に整合させるべき」と構造的問題を提起しており、設計コンセンサスの形成には議論を要した。

5-4. OID4VCI PR #419「remove c_nonce_expires_in from nonce response」(tplooker, 2024-12-03 マージ)

openid/OpenID4VCI#419 — Nonce endpoint レスポンスから c_nonce_expires_in を取り除き、c_nonce の定義に「value MUST be unpredictable」要件を追加。レスポンスごとに一意であることも明示。8 approvals(jogu / nemqe / c2bo / leecam / paulbastian / awoie / bc-pi / babisRoutis)で Torsten Lodderstedt がマージ。Final 1.0 milestone。

5-5. OID4VP PR #356「Require wallets to ignore client_id if present in unsigned DC API requests」と PR #359「Update wallet invocation section to mention Digital Credentials API」(jogu, 2024-12-08 マージ)

openid/OpenID4VP#356 / openid/OpenID4VP#359 — DC API 経由 OID4VP のエッジケース整理。Unsigned DC API request の場合、client_id の意味的扱いがどうあるべきかという論点を解決。

PR #359 のレビュー過程で Lee Campbell が「Browser API を OID4VP の推奨方式として位置づけるべきでは」と発言。これは Issue #361(jogu 起票, 12/2、「Recommend the browser API over traditional OID4VP?」、milestone は 1.2 or later)として正式に切り出され、長期検討の論点となった。

5-6. OID4VP Issue #361「Recommend the browser API over traditional OID4VP?」(jogu, 2024-12-02 起票)

openid/OpenID4VP#361 — Browser API(Digital Credentials API)を従来の cross-device / same-device OID4VP の推奨方式として明示すべきか。PR #359 議論からの派生。milestone は 1.2 or later と長期化。Final 1.0 では推奨表明を見送る整理。

5-7. OID4VP Issue #362「Allow wallets to proceed with signed requests when the signature verification fails」(jogu, 2024-12-03 起票)

openid/OpenID4VP#362 — Wallet が signed request の署名検証に失敗または検証不能の場合に、ユーザ意思で続行可能とする UX を許すべきか。「Wallet が検証できない / したくない / 他の理由がある」ケースへの対応。labels は discuss if we do this、milestone は 1.2 or later。PR #356 議論からの派生。

5-8. OID4VP PR #357「Change note about SD-JWT KB JWT nonce/aud to be normative」(jogu, 2024-12-13 マージ)

openid/OpenID4VP#357 — SD-JWT KB JWT の nonce / aud の扱いを non-normative note から MUST 要件に格上げ。Cross-protocol attack 防止のための仕様明示化。

5-9. OID4VP Issue #369「Potential non-consistent use of Cryptographic Key/Holder Binding」(awoie, 2024-12-12 起票)

openid/OpenID4VP#369 — クレデンシャル間の Cryptographic Key Binding / Holder Binding 用語の使い分けに非一貫性がある可能性を指摘。後続の terminology PR 群の起点の一つ。

5-10. HAIP Issue #143「Update HAIP references to refer to openid.net/specs/」(selfissued, 2024-12-18 起票)

openid/oid4vc-haip#143 — HAIP 内の自己参照を openid.net/specs/ の公式公開 URL に更新する整理。ready-for-PR ラベルで小規模ながら住所整理として確実に処理された。

6. 関連イベント

  • OID4VP Implementer's Draft 3 Foundation 投票可決(2024-12-24): Third OpenID4VP Implementer's Draft Approved。賛成 91 / 反対 3 / 棄権 19。スポンサーは AB/Connect WG
  • OID4VCI Second Implementer's Draft 45 日パブリックレビュー開始(2024-12-20): 2025-02-02 までの 45 日間。続く Foundation 投票は 2025-02-03 〜 2025-02-10 と設定
  • ISO SC17 WG10 とのバーチャル会議計画: 2024-12-05 EU コールで Torsten Lodderstedt が「ISO が mdoc プロファイルレビューのためバーチャル会議を 1 月末に持ちたい」とアナウンス(実際は 2025-01-28 〜 2025-01-30 開催)
  • DICE(2025 年 3 月 4-5 日、チューリッヒ)/ MOSIP Connect(2025 年 3 月 10 日、マニラ)への参加検討: 12/17 EU コールで test event との組み合わせを議論
  • 2025-02-25 hybrid pre-OSW DCP WG ミーティングの構想: 12/17 EU コールで「1.0 フィードバック収集に最適なタイミング」として提案。実際の OSW 2025 はレイキャビク開催
  • HAIP -01 公開(2024-12-10)と OID4VCI -15 公開(2024-12-19): いずれも Joseph Heenan が ML 上で告知。HAIP -01 は仕様タイトルから "sd jwt" を外したリネーム反映版、OID4VCI -15 はパブリックレビュー候補版

7. 今後の予定

2024 年 12 月末時点で WG が共有していた次月以降の計画:

  • 2025-01-07: APAC コール再開(年末休止明け最初の定例)
  • 2025-01-09: EU コール再開
  • 2025-01 末: ISO SC17 WG10 とのバーチャル会議(mdoc プロファイルレビュー)
  • 2025-02-02: OID4VCI Second Implementer's Draft の 45 日パブリックレビュー終了
  • 2025-02-03 〜 2025-02-10: OID4VCI Second Implementer's Draft 公式投票
  • 2025-02-25: pre-OSW hybrid DCP WG ミーティング(場所は OSW 開催地に合わせて検討)
  • 2025-03-04 〜 2025-03-05: DICE 2025(チューリッヒ)への参加検討
  • 2025-03-10: MOSIP Connect(マニラ)への参加検討
  • OID4VP の継続論点: OID4VP の DCP WG への正式「家移し」Call for Adoption(翌 2025-01-03 に Heenan が起票)、Issue #361(Browser API 推奨化)、Issue #362(signed request の検証失敗時挙動)、PR #374(DC API 用 session transcript)の origin 文言調整後の早期マージ、Multi-RP 設計、intent_to_retain 議論継続
  • OID4VCI の継続論点: Wallet-Initiated Issuance(Issue #424)、value_type 改善(Issue #425)、claims description の display/schema 分離(Issue #432)、VCI metadata の mandatory フィールド(Issue #433)、key attestation 内 nonce 整理(Issue #438)
  • HAIP の継続論点: 12 月にリネーム + Browser API 経由 mdoc プロファイルを統合したばかりであり、-02 で mdoc 部分を本格追加する計画。oid4vc-haip リポジトリ内の参照整理(Issue #143)

8. 参考情報源

メーリングリスト(pipermail 週次インデックス)

主要 ML スレッド

GitHub PR / Issue

公式アナウンス・仕様