idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025 年 1 月)

執筆日: 2026-05-19(遡及執筆) この記事は 2025 年 1 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID for Verifiable Credentials High Assurance Interoperability Profile (HAIP)、および Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda、Joseph Heenan(Authlete)、Torsten Lodderstedt(個人)。EU 友好・APAC 友好の 2 枠の定例コールが毎週開催されている。

2025 年 1 月の DCP WG は、新設された DCP WG が OID4VP を AB/Connect WG から正式に引き取るための Call for Adoption を進めながら、6 月末の Final 1.0 公開という共通マイルストーンに向けて HAIP・OID4VP・OID4VCI の三本柱をそれぞれ前進させた月であった。とりわけ重要な動きは以下のとおり。

  • OID4VP の Call for Adoption が完了: 2025-01-03 に Joseph Heenan が起票、1 月 17 日締切で 20 名規模の支持表明が集まり、反対意見はゼロのまま終結。Kristina Yasuda は 1 月 13 日に「full-heartedly support」と明言
  • OID4VCI Second Implementer's Draft のレビュー・投票プロセス開始: 2024-12-20 開始の 45 日パブリックレビュー期間が継続し、1 月 21 日に Notice of Vote が公開。1 月 27 日に early voting 開始(正式投票は 2 月 3 日〜10 日)
  • OID4VP / HAIP の WG ドラフト改訂: 1 月 27 日に OID4VP -24 と HAIP -02 が公開され、これらが 2 月下旬の Utrecht ISO hackathon で interop 検証に使われる予定が共有された
  • DC API 経由 OID4VP の Session Transcript / Handover 整備: OID4VP PR #374、HAIP PR #146 が 1 月 15 日に同時マージされ、ブラウザ API 経由の mdoc/SD-JWT 提示における session transcript の枠組みが整った
  • HAIP は DCQL を必須化: HAIP PR #151(c2bo, 1 月 23 日マージ)により、DCQL を MTI(Mandatory To Implement)として採用し、Presentation Exchange (PE) を不要とする方針が確定。pre-authorized code フローも HAIP PR #154 で除去(1 月 24 日)
  • ISO SC17 WG10 とのバーチャル会議(1 月 28-30 日): DCP WG として現行 HAIP / OID4VP(特に mdoc プロファイル)が WG10 の要件を満たしているかを検証する会合。Kristina Yasuda が事前に文書を送付し、終了後に「rough consensus」として合意項目と未解決論点を WG にフィードバック

HAIP の First Implementer's Draft 化はこの時点ではまだ着手前であり、Joseph Heenan が 1 月 27 日に「4 月 2 日頃に OID4VP/OID4VCI/HAIP の 7 日 WGLC を開始して 6 月 Final に間に合わせたい」とスケジュール案を提示した段階である。実際の HAIP -03 パブリックレビューは翌 2 月 7 日に開始される。

2. 公開された仕様・ドラフト改訂

OID4VCI Second Implementer's Draft の公開レビューと Notice of Vote

OpenID Foundation は 2024-12-20 に OpenID for Verifiable Credential Issuance Second Implementer's Draft の 45 日パブリックレビュー期間を開始しており、本月はその終盤に Notice of Vote の公開が重なった。

  • 45 日レビュー期間: 2024-12-20 〜 2025-02-02
  • Notice of Vote 公開: 2025-01-21
  • Early voting 開始: 2025-01-27
  • 公式投票期間: 2025-02-03 〜 2025-02-10

DCP WG 内部では、OID4VCI ID2 化の最終整理として OID4VCI リポジトリの issue を「Final 1.0」「1.2 or later」等のマイルストーンへ振り分け、追加で寄せられた論点をラベリングしていく作業が進められた。

OID4VP -24 と HAIP -02 の WG ドラフト公開(2025-01-27)

Kristina Yasuda は 1 月 27 日に Published new versions of OpenID4VP (-24) and HAIP (-02) をアナウンスし、両ドラフトを公開した。

これらの版は「2 月末から 3 月初頭にかけて Utrecht で開催される ISO hackathon で interop に用いられる版」として位置づけられた。Brian Campbell が 1 月 29 日に HAIP -02 のリンクが当初の案内で誤っていた点を補足訂正している。

OID4VP リポジトリの主要 PR

OID4VP では本月 11 件の PR がマージされ、Final 1.0 milestone に向けた構造的修正と editorial 修正が並行して進められた。

PRタイトルマージ日著者
#355Require typ in request objects1 月 14 日jogu
#373Add security consideration on incomplete or incorrect implementation1 月 14 日Sakurann
#368Use path for mdoc1 月 15 日danielfett
#374add session transcript for browser api1 月 15 日awoie
#383Origin language suggestions1 月 16 日awoie
#382Add origin definition in terminology1 月 21 日timcappalli
#394minor editorial fixes1 月 23 日scvenema
#386add IANA registration for transaction_data and dcql_query parameters1 月 27 日Sakurann
#387client id scheme web-origin must not be used outside dc api1 月 27 日Sakurann
#390remove json string1 月 27 日Sakurann
#388clarify expected_origins must not be used with unsigned requests1 月 30 日Sakurann

技術的に重要なものを抜粋する。

  • PR #355(Require typ in request objects): Request Object の JWT に typ: oauth-authz-req+jwt を MUST にする変更。Cross-JWT 取り違え攻撃を防ぐベストプラクティスに揃える。既存の untyped Request Object 実装を破壊する懸念はレビューで議論されたが、「OID4VP は他にも breaking change を抱える新規プロファイルであり、ここで明示的な typing を入れる方が長期的に妥当」と整理された
  • PR #374(DC API 用 session transcript)と HAIP PR #146: ブラウザ API 経由の OID4VP で必要となる OpenID4VPDCAPIHandover の枠組みを OID4VP 本体に取り込み、HAIP は OID4VP Annex B を引用する形に整理。レビュー過程で OID4VPDCAPIHandoverOpenID4VPDCAPIHandovermdoc-oid4vpmdoc-openid4vp といった命名整流化が同時に行われ、7 名の approval を経てマージ
  • PR #382, #383(origin の用語整備): DC API 経由の OID4VP において "origin" が何を指すかを用語節と本文に正式に追加。Tim Cappalli(Okta)が用語節を、Oliver Terbu が本文の言い回しを担当
  • PR #387(web-origin Client Identifier Scheme は DC API 外で使えない)と PR #388(expected_origins は unsigned request では使ってはならない): ブラウザ API での MITM/replay 攻撃面を整理する一連の clarification。expected_origins を持つのは signed request のみであり、unsigned request では origin は受信時に Wallet 側で検証する、という分担を明文化

HAIP リポジトリの主要 PR

HAIP では本月 10 件の PR がマージされ、Mandatory To Implement の見直しと文言整流化が進んだ。

PRタイトルマージ日著者
#82editorial: Wallet is a defined term1 月 16 日peppelinux
#146update session transcript section to use oid4vp annex b1 月 15 日awoie
#152editorial: indentation, small typos1 月 15 日c2bo
#151Mandate DCQL instead of PE; all DCQL features are mandatory1 月 23 日c2bo
#155Add specific requirements for response encryption1 月 17 日bc-pi
#154removed pre-authz code1 月 24 日tlodderstedt
#153Remove the Wallet Attestation Schema and point to OpenID4VCI instead1 月 27 日paulbastian
#157Update OID4VP version number1 月 27 日awoie
#158clarify what is optional is optional1 月 30 日Sakurann
#159Fix links / copyright year / broken links1 月 30 日jogu

特筆すべきは以下の 3 件。

  • PR #151(Mandate DCQL instead of PE; all DCQL features are mandatory): 1 月 9 日の WG コールでの合意「DCQL is simple enough to be completely be MTI」を反映し、HAIP では DIF Presentation Exchange ではなく DCQL を MTI とする方針を文書化。mdoc / SD-JWT セクションから DCQL の重複記述を取り除き、トップレベルで MTI を宣言する形に再構成。レビューで「OID4VP 本体が DCQL 機能の mandatory/optional を区別していないため、HAIP で機能を列挙する必要はない」と整理され、6 名の approval を経てマージ
  • PR #154(pre-authorized code flow を HAIP から除去): Torsten Lodderstedt が HAIP のスコープ縮小として pre-authorized code フローを HAIP のプロファイル要件から外す変更を提案・マージ
  • PR #155(response encryption の具体要件追加): Brian Campbell が「Response encryption MUST be performed as specified in [OID4VP §7.3]」を明示し、ECDH-ES + P-256、A128GCM を MTI として HAIP に書き込む。レビューで MTI アルゴリズムの言い回しを WG 合意に揃える調整を経て 5 approvals でマージ
  • PR #153(Wallet Attestation Schema を HAIP から削除し OID4VCI を参照): Wallet Attestation のスキーマ定義を OID4VCI 本体に一本化し、HAIP からは参照のみ残す整理

OID4VCI リポジトリ

OID4VCI 本体は Second Implementer's Draft 候補が凍結中であったため、リポジトリ側のマージは投票期間中の慣行に従い editorial / labeling 中心であった。issue 起票は以下の 2 件が代表的。

  • openid/OpenID4VCI#447 - andprian が 1 月 20 日に「proofproofs の両パラメータは Credential Request に本当に両方必要か」と起票。同一定義の冗長性を指摘し、proofs 一本化を提案。これは 2 月 13 日マージの PR #453(proof パラメータ非推奨化)の直接的な発端となる
  • openid/OpenID4VCI#444 - jtalir が 1 月 13 日に signed_metadata と unsigned metadata の REQUIRED フィールド比較について起票

3. ミーティングと議論

DCP WG は EU 友好枠(木曜)と APAC 友好枠(火曜)の 2 枠の定例コールを開催している。2025 年 1 月は 4 回の主要ミーティングが ML 上で議事録として記録された。

3-1. 2025-01-07 APAC 友好コール

Joseph Heenan が ML 上で議題(000597.html)を投稿、Torsten Lodderstedt が議事録(000601.html)を投稿。17 名参加。

主要議題:

  • Interop イベント計画: ISO 関連 interop イベント(1 月 28 日〜2 月 3 日)、2 月の追加 mDL 検証、4 月の interop 検討
  • HAIP の公開スケジュール: 「14th January Distribute draft of HAIP including proposed browser profile for mDL to ISO mDL WG」「Final versions by end June at latest」と明文化
  • HAIP における DCQL MTI: Lee Campbell と Daniel Fett が「DCQL is simple enough to be completely be MTI」と主張し、PE ではなく DCQL を MTI とする方向で合意。HAIP PR #151 へ繋がる
  • PR レビューと issue 振り分け: DCQL 言語要件に関する GitHub issue が議題に上る

3-2. 2025-01-09 グローバル WG コール(EU 友好枠)

Torsten Lodderstedt が議題(000613.html)を投稿、Christian Bormann が議事録(000616.html)を投稿。

議題に挙がった HAIP 関連の論点は約 14 項目に及び、本月の WG 全体の関心領域を一望できる:

  • ブラウザ API の session transcript(PR #374 / HAIP #146 系)
  • DCQL を MTI とするか(PR #151 系)
  • Multi-RP credentials 能力(後の PR #308 系)
  • mdoc 向け issuer identifier
  • nonce 要件の clarification
  • Key attestation と wallet attestation
  • Status list の鍵解決
  • Wallet capability の伝達
  • Pre-authorized code flow を HAIP の必須から外すか(PR #154)
  • Issuer URL のパス構成
  • 暗号鍵長の定義
  • SD-JWT presentation での発行時刻の選択的開示

3-3. 2025-01-14 グローバル WG コール

Kristina Yasuda が議題(000618.html)を投稿、Rajvardhan Deshmukh が議事録(000621.html)を投稿。20 名以上が参加し、Google / Apple / Okta 等の参加者を含む。

主要議題:

  • 2 月 25 日のレイキャビク・ハイブリッド DCP WG ミーティング: 登録開始の周知
  • ISO interop イベント(3 月 4 日): mdoc と vanilla OID4VC 実装の interop 検証
  • ISO SC17 WG10 バーチャル会議(1 月 28-30 日, 13:00-16:00 UTC): 「現行 OID4VP + HAIP が 2024 年 6 月の WG10 会議で議論された要件を満たしているか」を評価する場として位置づけ
  • OID4VP の session transcript 設計: Apple/Google 系での DC API 経由 mdoc 提示において、session transcript から client_id を取り除き、代わりに origin にバインドする方向で議論。「Origin in session transcript と client_id in session transcript」のどちらが妥当か、暗号化と multi-RP との相互作用も含めて議論
  • Multi-RP シナリオ: Torsten Lodderstedt が「multiple RP を許容する 2 オプションをそれぞれの帰結とともに文書化する」アクションを引き取る

3-4. 2025-01-16 EU 友好コール(議事録は Oliver Terbu)

Oliver Terbu が議事録(000624.html)を投稿。17 名参加。

主要議題:

  • Session Transcript PRs(OID4VP #374 / HAIP #146): 両方ともマージ完了の確認
  • PR #380(apu/apv の議論): 「2 つの技術選択肢を議論。ISO 要件の意図を再確認することで本 PR 自体が不要になる可能性」と整理。最終的な決着は 2 月へ持ち越し
  • PR #338(intent_to_retain を DCQL claims query に追加): レビュアー追加待ち。「default value はリスクが大きいので default を持たず undefined として扱う」方向で合意
  • Issue #298(単一 DCQL クエリで複数クレデンシャル): 配列で返す形に再構成する方法論に賛成多数
  • ISO SC17 WG10 バーチャル会議(1/28-30)の準備が焦点

3-5. 2025-01-21 APAC コール(議事録は Jan Vereecken)

Kristina Yasuda が議題(000623.html)を投稿、Jan Vereecken が議事録(000626.html)を投稿。20 名参加。

主要議題:

  • PR #338(intent_to_retain)と HAIP #151(DCQL MTI)が approve to merge
  • PR #308(Multi-RP): 「複数 client identifier と session transcript の扱いについて WG メンバーにオプション検討を依頼」
  • 優先 PR 3 件: credential issuer 表現(PR #393)、複数クレデンシャル選択、response encryption
  • タイムライン: 1 月末の ISO バーチャル会議に向けて pull request の集中マージが必要

Yasuda は会議後の追加投稿(000627.html)で、ISO の「mdoc authentication bound to origin」要件への対案を提示:

Unsigned request では origin == client_id であり、これは既に mdoc の session transcript と SD-JWT VC の aud クレームに反映されている。Signed request では expected_origins が署名済みリクエスト内に埋め込まれているため MITM による改ざんが防げる。したがって、origin を session transcript に明示的に含める必要はない。

この整理は ISO バーチャル会議の合意「rough consensus of not defining apv/apu values in the specification」へ繋がった。

3-6. 2025-01-28 APAC コール(議事録は Tobias Looker)

Kristina Yasuda が議題(000629.html, 000630.html)を投稿、Tobias Looker(MATTR)が議事録(000632.html)を投稿。

主要議題:

  • ISO WG10 バーチャル会議の振り返り(同日朝に終了したばかり)
  • PR #393(accepted_issuers: シンプル化の方向。X.509 thumbprint オプションを除去する案
  • 単一 DCQL リクエストから複数クレデンシャル選択への支持
  • claims パラメータの mandatory/optional 議論
  • Issue #397(同一クレデンシャルが複数クエリを満たす場合): 3 つのアプローチが提示され、検討継続。Sakurann が 1 月 28 日にこの issue を起票(後の PR #492 で解決)

3-7. 2025-01-30 グローバル WG コール(議事録は Gareth Oliver)

Kristina Yasuda が議題(000634.html)を投稿、Gareth Oliver(Google)が議事録(000635.html)を投稿。16 名参加。

主要議題:

  • ISO バーチャル会議の振り返り(再)と RDW 登録締切: RDW(Real Digital Wallet)interop / ISO event 前の登録が翌 1 月 31 日に締切
  • Issue #406(unsigned encrypted request の許容): 「Allow encrypting request without signing because each credential is signed」が論理的に成立する、と合意。Brian Campbell が対応 PR を担当することに
  • Issue #400(unsigned request での署名検証): side-channel leakage の懸念があり、Wallet 側で署名検証失敗時に拒否する能力が必要、と整理
  • Test suite の準備: Joseph Heenan が VP Verifier beta(mdoc/mdl サポート)を週中に release 予定、certification チームが VCI Initial ID2 test を準備中

Kristina Yasuda は翌 1 月 31 日に追加で(000636.html)「Utrecht の RDW / ISO hackathon の interop 調整は Slack channel #openid4vp-browser-api-feedback で行う」とアナウンスし、Web Payments コミュニティが WG への参加意向を示していることにも言及した。

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML は週次(Week-of-Mon)形式でアーカイブされている。2025 年 1 月の主要スレッドは以下のとおり。

4-1. 「Call for adoption: OpenID for Verifiable Presentations」(Joseph Heenan, 2025-01-03 開始)

000588.html を起点に 1 月 13 日まで続いた 1 月最大のスレッド。Joseph Heenan は冒頭で次のように整理した:

本来は AB/Connect WG で開発が始まった OID4VP は、DCP WG 発足前の経緯により Connect WG に「家」を置いていた。Implementer's Draft 3(ID3 spec)が公開され IPR がロックされたいま、組織構造を実態に合わせるべく DCP WG での正式 Adoption を行う。

Heenan は 1 月 17 日を意見表明の締切と設定。スレッドには次のメンバーが「I support adoption」「I'm in favor of adoption」と表明:

Paul Bastian、David Chadwick、Niels Klomp、Javier Ruiz Aranguren、Christian Bormann、Nakamura Kenichi、Torsten Lodderstedt、Brian Campbell、Jin Wen、Niels van Dijk、Sancho Sancho Canela、Jan Vereecken、Tim Cappalli、Paul Templeman、Tobias Looker、Ryan Galluzzo(NIST)、Harri Honko、Ross Foard、George Fletcher(Capital One)、Kristina Yasuda。

注目すべきやり取り:

  • Ryan Galluzzo(NIST, 000610.html: 「貢献者として、メンバーと同等の adoption 表決権限があるか不明だが、私たちも支持する」と procedural な疑問を表明
  • Torsten Lodderstedt(000611.html: 「Every WG member can chime in」と整理し、貢献者からの支持表明も歓迎すると応答
  • Kristina Yasuda(000617.html, 1 月 13 日): 「full-heartedly support adoption of this draft in the DCP WG」と共同議長として明示的に支持

異議・条件付き反対の表明は本スレッド内に一切なし。これにより OID4VP の所属が DCP WG であることが ML 上で確定し、後日 OID4VP リポジトリ側の文書改訂(PR #417, 2 月 10 日マージ)に至る。

4-2. 「[notes] DCP WG + SIOP call」(Torsten Lodderstedt, 2025-01-07)

000601.html。§3-1 で詳細化した APAC 友好枠 1 月 7 日コールの議事録投稿。HAIP の DCQL MTI 化、6 月 Final マイルストーン、ISO mDL WG への HAIP 案文送付などのコミットメントが本コールで明文化された。

4-3. 「[notes] DCP WG + SIOP call 14th Jan 2025」(Rajvardhan Deshmukh, 2025-01-16)

000621.html。§3-3 の議事録。ISO SC17 WG10 バーチャル会議(1/28-30)の位置づけ、client_id の session transcript からの除去案、Multi-RP の二案文書化アクションが議事録として記録された。

4-4. 「Documents circulated to ISO SC17 WG10」(Kristina Yasuda, 2025-01-17)

000622.html。Kristina Yasuda が OIDF liaison として ISO SC17 WG10 へ送付した 2 文書を WG にも共有:

  • 現行 HAIP 仕様(draft -01)
  • ISO-OIDF alignment on the mdoc profile of OID4VP over the Browser API(v.2.0、要件追跡ドキュメント)

主目的は「mdoc profile of OID4VP over the Digital Credentials API」に対する ISO のフィードバック取得であり、Yasuda は「ISO バーチャル会議後にこの部分が 80-90% 完成度に達することを期待する」と明示。

4-5. 「DCP meeting minutes (2025/01/16)」(Oliver Terbu, 2025-01-21)

000624.html。§3-4 の議事録。Session Transcript PRs のマージ完了、PR #380(apu/apv)が ISO 要件の意図次第で不要化する可能性、PR #338(intent_to_retain)と Issue #298(複数クレデンシャル配列返却)の方向性などが整理された。

4-6. 「A short summary of today's virtual ISO mtg's outcome」(Kristina Yasuda, 2025-01-28)

000631.html。ISO SC17 WG10 バーチャル会議(同日朝に終了)の rough consensus を WG にフィードバックする極めて重要な投稿:

  • apu/apv 値: 仕様内で値を定義しない方向。ISO 側のセキュリティレビュー結果待ち
  • Session transcript: 別 PR の client identifier 議論が解決すれば WG10 として approve
  • accepted_issuers 設計(PR #393): ISO スタンダード向けに aki 型が適切と確認。X.509 thumbprint と VICAL URL は追加仕様策定までの間は除外
  • doctype_value あたり複数 document の扱い: ISO/IEC 18013-5 改訂第 2 版の boolean flag アプローチに沿う設計を支持
  • 新規 issue 起票: 「same credential が複数 credential query を満たす場合」を Sakurann が当日 Issue #397 として起票
  • 次回マイルストーン: 2 月 18 日頃までに DCP WG 側のアップデートを完了し、3 月初頭の対面 ISO 会議へ繋ぐ

4-7. 「DCP WG Call 28th Jan Notes」(Tobias Looker, 2025-01-28)

000632.html。§3-6 の議事録。accepted_issuers の thumbprint オプション除去、単一 DCQL リクエストでの複数クレデンシャル選択への支持、claims パラメータの mandatory/optional 議論、Issue #397 の 3 アプローチ整理など、ISO 会議直後の WG 内整理状況が記録された。

4-8. 「Published new versions of OpenID4VP (-24) and HAIP (-02) WG drafts」(Kristina Yasuda, 2025-01-27)

000628.html。Utrecht ISO hackathon(2 月末〜3 月初頭)で使用する版を凍結。Brian Campbell が翌 1 月 29 日に HAIP -02 のリンク訂正を補足(000633.html)。

4-9. 「2025-01-30 DCP Meeting Minutes」(Gareth Oliver, 2025-01-30)

000635.html。§3-7 の議事録。Issue #406 の合意(unsigned encrypted request の許容)、Issue #400 の side-channel 懸念、Joseph Heenan の VP Verifier beta release 予告などが記録された。Kristina Yasuda は翌 31 日のフォローアップ(000636.html)で Slack channel #openid4vp-browser-api-feedback での interop 調整を案内した。

4-10. 「OIDF DCP WG Hybrid Meeting Prior to OSW 2025 in Iceland - Registration Open」(Mike Leszcz, 2025-01-13 / 2025-01-31)

000619.html(初出)、000637.html(締切リマインダ)。2 月 25 日のレイキャビク・ハイブリッドミーティング(Harpa Concert Hall, room Rima A, 9am-5pm)の登録開始と、2 月 17 日 23:30 UTC の登録締切を周知。

5. GitHub 上の議論

2025 年 1 月の OID4VP リポジトリでは 11 件の PR がマージされ、HAIP では 10 件の PR がマージされた。OID4VCI 本体は Second Implementer's Draft 候補が凍結期間にあったため、PR マージは限定的だが issue 起票は活発であった。

5-1. OID4VP PR #374「add session transcript for browser api」(awoie, 1 月 15 日マージ)

openid/OpenID4VP#374 — DC API 経由 OID4VP のための session transcript 構造 OpenID4VPDCAPIHandover を OID4VP 本体に追加。HAIP PR #146 と同日マージ。

  • レビューで OID4VPDCAPIHandoverOpenID4VPDCAPIHandovermdoc-oid4vpmdoc-openid4vp の命名整流化が行われた
  • SD-JWT VC の KB-JWT は本 PR のスコープ外として別途整理
  • 33 件のコミット、7 名 approval、WG コールでの最終確認後に Sakurann がマージ

5-2. OID4VP PR #355「Require typ in request objects」(jogu, 1 月 14 日マージ)

openid/OpenID4VP#355 — Request Object の JWT typ ヘッダを oauth-authz-req+jwt で MUST 化。Issue #268 への対応。Cross-JWT 取り違え攻撃対策の JWT ベストプラクティスに揃える変更。「untyped Request Object 実装の互換性」と「security improvement for a new profile」のトレードオフが議論された結果、後者を選択。

5-3. OID4VP PR #388「clarify expected_origins must not be used with unsigned requests」(Sakurann, 1 月 30 日マージ)

openid/OpenID4VP#388 — Issue #199 への対応。expected_origins は署名済みリクエストでのみ意味を持ち、unsigned request では使用してはならないことを明文化。Tobias Looker と Giuseppe De Marco のフィードバックを反映、bc-pi、peppelinux、tplooker の approval を経てマージ。Final 1.0 milestone。

5-4. HAIP PR #151「Mandate DCQL instead of PE; all DCQL features are mandatory」(c2bo, 1 月 23 日マージ)

openid/oid4vc-haip#151 — HAIP は DCQL を MTI とし、Presentation Exchange(DIF PE)への依存を取り除く方針を明文化。1 月 9 日 WG コールで「DCQL is simple enough to be completely be MTI」と合意されたものを実装。mdoc / SD-JWT のフォーマット固有節から DCQL 説明を取り除き、トップレベルで MTI を宣言する形に再構成。

レビュー段階で「OID4VP 本体が DCQL 機能の mandatory/optional を区別していないため、HAIP で機能を列挙する必要はない」との指摘があり、表現を簡潔化。6 名の approval でマージ。

5-5. HAIP PR #155「Add specific requirements for response encryption」(bc-pi, 1 月 17 日マージ)

openid/oid4vc-haip#155 — Response encryption に「MUST be performed as specified in [OID4VP §7.3]」を明示し、HAIP として ECDH-ES + P-256(JWE alg)と A128GCM(JWE enc)を MTI として書き込む。MTI アルゴリズムの言い回しを WG 合意に揃える調整を経て 5 approvals でマージ。

5-6. OID4VP PR #338「Add intent to retain to claims query in DCQL」(Sakurann, 1 月 23 日マージ)

openid/OpenID4VP#338 — Issue #321 への対応。DCQL claims query に optional な intent_to_retain パラメータを追加。

  • 一部のレビュアーから「現状の機能は under-specified で実用性が低い」との反対意見
  • WG コール議論を経て「不完全だが migration path として十分」と整理
  • 最終版は mdoc 固有節に位置づけ、形式定義は ISO/IEC 18013-5 を参照

5-7. OID4VP PR #393「DCQL: express desired credential issuers」(c2bo, 1 月 23 日起票)

openid/OpenID4VP#393 — Relying Party が信頼する credential issuer を明示できる accepted_issuers メカニズム。本月内に活発な議論が展開され、最終マージは 2 月へ持ち越し。

主要論点:

  • X.509 thumbprint vs AKI(Authority Key Identifier): 「thumbprint は AKI に比べ有用性が低い」との指摘で thumbprint オプションを除去する方向に
  • DID サポートの要望: 「Swiss EID と Ayra が OID4VC + DID を計画している」との発言
  • ETSI Trusted List フィルタリング: 「PID Issuer 向け trusted list がどう構成されるかはまだ未確定」との認識

ISO SC17 WG10 バーチャル会議(1/28-30)でも議論され、ISO 向けには aki タイプを採用、X.509 thumbprint と VICAL URL は追加仕様策定までの間は除外する方向で合意。

5-8. OID4VP Issue #397「same credential fulfilling multiple credential queries」(Sakurann, 1 月 28 日起票)

openid/OpenID4VP#397 — ISO バーチャル会議の議論を受けて Sakurann が当日起票。Wallet が単一クレデンシャルで複数 credential query を満たし得る場合の挙動を整理する必要を提起。

提示された 2 案:

  • Option A: 各クエリごとに別のクレデンシャルを提示。複数の user authentication と冗長な ZKP 計算が必要となり得る
  • Option B: 複数クエリに同一クレデンシャルを返却。ただし 1 デバイスインタラクションあたり 1 クレデンシャルに制約される可能性

mdoc・ZKP システムでの認証オーバーヘッドと計算効率の懸念を抱える issue。最終的に Final 1.0 までに PR #492 で解決。

5-9. OID4VP Issue #400「Include verifier's public encryption key into SessionTranscript」(jogu, 1 月 29 日起票)

openid/OpenID4VP#400 — Joseph Heenan が unsigned request シナリオでの「man-in-the-browser 型」攻撃を防ぐため、verifier の公開暗号化鍵を SessionTranscript に含める提案を投稿。攻撃成立にはかなりの既存アクセスが必要であることは認めつつ、防御策の追加コストは小さいとして検討を要請。

5-10. OID4VCI Issue #447「Do we need both proof and proofs parameters」(andprian, 1 月 20 日起票)

openid/OpenID4VCI#447 — Credential Request の proof(単数)と proofs(複数)が「同じ定義を持っており冗長」「単一 proof のケースも proofs で処理可能」と指摘。本 issue が後の PR #453(2 月 13 日マージ、proof パラメータ非推奨化)の起点となる。

5-11. OID4VP Issue #385「Add JWS as Credential Format Specific Parameter」(cre8, 1 月 20 日起票)

openid/OpenID4VP#385 — JWS をクレデンシャルフォーマット固有のパラメータとして扱う案。Milestone は「1.2 or later」として長期化。

6. 関連イベント

  • OID4VCI Second Implementer's Draft パブリックレビュー期間: 2024-12-20 〜 2025-02-02(45 日)。1 月 21 日に Notice of Vote 公開、1 月 27 日に early voting 開始
  • ISO SC17 WG10 バーチャル会議: 2025-01-28 〜 2025-01-30(13:00-16:00 UTC、3 日間)。DCP WG として現行 HAIP / OID4VP(特に mdoc profile of OID4VP over the Browser API)が WG10 の 2024 年 6 月会議で議論された要件を満たしているかを評価。終了直後に Kristina Yasuda が rough consensus を WG にフィードバック
  • Utrecht ISO hackathon 準備: 2 月末〜3 月初頭開催予定の interop イベント向けに、本月末に OID4VP -24 と HAIP -02 を凍結公開。Slack channel #openid4vp-browser-api-feedback で interop 調整
  • レイキャビク・ハイブリッド DCP WG ミーティング(2 月 25 日)の登録開始: Mike Leszcz が 1 月 13 日に登録開始を、1 月 31 日に締切リマインダ(2/17 23:30 UTC)を周知
  • VP Verifier beta(mdoc/mdl サポート)の release 予告: Joseph Heenan が 1 月 30 日 WG コールで翌週中の release を予告
  • Web Payments コミュニティとの連携: 1 月 30 日 WG コールで Web Payments 側からの参加意向が共有された

7. 今後の予定

2025 年 1 月末時点で WG が共有していた次月以降の計画:

  • 2025-02-02: OID4VCI Second Implementer's Draft の 45 日パブリックレビュー終了
  • 2025-02-03 〜 2025-02-10: OID4VCI Second Implementer's Draft 公式投票
  • 2025-02-18 頃: ISO SC17 WG10 への DCP WG 側アップデート期限(3 月初頭の対面 ISO 会議に向けて)
  • 2025-02 末 〜 2025-03 初頭: Utrecht ISO hackathon(OID4VP -24 / HAIP -02 を使用した interop イベント)
  • 2025-02-25: レイキャビク・ハイブリッド DCP WG ミーティング(Harpa Concert Hall, 9am-5pm)
  • 2025-02 末: OAuth Security Workshop (OSW) 2025
  • 2025-04 初頭: OID4VP / OID4VCI / HAIP の 7 日 WGLC 開始(Joseph Heenan が 1 月 27 日に提案)
  • 2025-06 末: HAIP / OID4VP / OID4VCI Final 1.0 公開を WG 目標として共有(EU・ISO への commitment)
  • OID4VP の継続論点: PR #308(Multi-RP の二案文書化)、PR #393(accepted_issuers)、Issue #397(同一クレデンシャル複数クエリ)、Issue #400(SessionTranscript への公開鍵組み込み)、Issue #406(unsigned encrypted request)
  • OID4VCI の継続論点: Issue #447(proof / proofs 統合)、Issue #444(signed_metadata と unsigned metadata)

8. 参考情報源

メーリングリスト(pipermail 週次インデックス)

主要 ML スレッド

GitHub PR / Issue

公式アナウンス・仕様