idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025年2月)

執筆日: 2026-05-18(遡及執筆) この記事は 2025 年 2 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID for Verifiable Credentials High Assurance Interoperability Profile (HAIP)、および Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda、Joseph Heenan(Authlete)、Torsten Lodderstedt(個人)。EU・APAC・Americas の 3 地域で毎週コールを開催している。

2025 年 2 月の DCP WG は HAIP を 2 度目の Implementer's Draft 候補としてパブリックレビューへ送り出した月 であり、同時に OID4VP / OID4VCI で Final 1.0 へ向けた breaking change を含む大型 PR をまとめてマージ した骨太な月であった。月末にはアイスランド・レイキャビクで開催された OAuth Security Workshop (OSW 2025) 前のハイブリッド WG ミーティングが置かれ、SD-JWT VC データモデル・HAIP 個別論点・DCQL 値マッチング・wallet attestation・Multi-RP 認証・QES 認可パスといった残課題が一気に整理された。主要トピックは以下のとおり。

  • HAIP Implementer's Draft (-03) のパブリックレビュー開始: 2025-02-07 開始、2025-03-24 までの 45 日レビュー期間。投票は 2025-03-25 〜 2025-04-01 を予定(Notice of Vote は 3 月 11 日付)
  • HAIP WGLC: Joseph Heenan が 2 月 4 日に WGLC 通告を投稿し、2 月 6 日 PT 終業までに WG メンバーの合意確認を要請。Torsten Lodderstedt、Orie Steele、Lee Campbell、Giuseppe De Marco らが賛成を表明する一方、Steffen Schwalm が「HAIP は eIDAS Article 5a の implementing acts(W3C VCDM v1.1、ETSI TS 119 472-1 を含む)を反映していない」と公式に異議を表明
  • OID4VCI で proof パラメータの非推奨化(PR #453, breaking change)と Cryptographic Holder Binding → Cryptographic Key Binding への用語変更(PR #457) が連続マージ
  • OID4VP では「DC API 経由のリクエスト署名」「session transcript」「DCQL の表現力」を巡る論点が ISO 連携の文脈で深く議論 され、charsleysa の PR #398(Multi-presentation per DCQL query)が 2 月 27 日にマージ
  • 2025-02-19 のアイスランド・ハイブリッドミーティング が WG の集中検討の場となり、続く 2025-02-25 のレイキャビク・ハイブリッドミーティング後の通常コール(2/27 EU、2/27 Thu)は OSW 参加・interop イベント参加を理由にキャンセル
  • ISO/IEC SC17 WG4 (Nagasaki) と SC17 WG10 (virtual) との連携: ISO 23220 シリーズ(特に 23220-3 = OID4VCI プロファイル、23220-4 = OID4VP プロファイル)との整合点と未解決論点(Issue #400、Issue #397、PR #308)を WG として明文化

HAIP は本月時点で まだ Implementer's Draft 段階(しかも投票前のレビュー期間中) であり、1.0 Final 化(その後の自己認証プログラム開始まで含めると約 1 年後)への長丁場の入り口を踏み出したばかりであった。OID4VP / OID4VCI も同じく Final 1.0 milestone のクリーンアップ作業期である。

2. 公開された仕様・ドラフト改訂

HAIP Implementer's Draft -03 の公開とパブリックレビュー開始

2025-02-07、OpenID Foundation は Public Review Period for Proposed Implementer's Draft of OpenID4VC High Assurance Interoperability Profile を公開した。

HAIP リポジトリ (openid/oid4vc-haip) では、本パブリックレビュー開始に合わせて 2 件の editorial PR がマージされている。

PRタイトルマージ日著者
#166Editorial: bump version, update notices, add sec considerations2 月 7 日jogu
#167Update spec revision to -04 now -03 is published2 月 9 日jogu

PR #166 が -03 を Implementer's Draft 候補として固める版改訂、PR #167 が次の編集サイクル向けに -04 への version bump を行う、という典型的なリリース直前/直後フローを 2 月前半でまとめて適用している。HAIP リポジトリ本体では Implementer's Draft 投票期間中に仕様内容を凍結する慣行があり、本月の HAIP リポジトリ側の動きは editorial に限定された。

OID4VP のドラフト改訂と主要 PR のマージ

OID4VP では本月 13 件の PR がマージされ、Final 1.0 milestone に向けた構造的修正と editorial 修正がバランス良く進められた。

PRタイトルマージ日著者
#412Fix erroneous client ID scheme x505_san_dns in request example2 月 4 日joelposti
#405Add language for "else" case of component type processing in DCQL2 月 5 日awoie
#404Add language on nonce/client ID guidance for W3C VCs and ISO mdocs2 月 6 日awoie
#410Clarify when authorization_signed_response_alg is omitted, do not sign2 月 6 日bc-pi
#381Add version and request type to protocol identifier for DC API2 月 7 日awoie
#417Change working group from Connect to DCP2 月 10 日jogu
#380Discuss the use of apu/apv in the JWE header of OpenID4VP responses2 月 11 日bc-pi
#426Editorial: Update notices section2 月 13 日jogu
#427Editorial: Update change controller for IANA entries2 月 13 日jogu
#419Clarify ISO mdoc Handover structure2 月 17 日davidz25
#428Editorial: Request Object/URI definitions are from JAR RFC2 月 17 日jogu
#424Expected response if claims and claim_sets is omitted in DCQL2 月 18 日c2bo
#398Support returning multiple presentations for single dcql credential query2 月 27 日charsleysa

技術的に重要な PR を以下に整理する。

  • PR #417(Working Group を Connect から DCP へ): 2024-12-30 付の Call for Adoption を受けて、OID4VP の所属を AB/Connect WG から DCP WG へ正式移管。同時に -24 版が公開済みであるため次サイクルへの version bump も含む。c2bo と Sakurann が approval、Sakurann が 2 月 10 日マージ。DCP WG が「OID4VC 系仕様を一括して所管する WG」であることを文書上も確定させる節目の PR
  • PR #380(apu/apv の JWE ヘッダ用法ノート): 当初は「apu を nonce、apv を Verifier の client_id に MUST」とする提案だったが、レビューで selfissued が「nonce は暗号化済みペイロードの一部であり、apu として再利用するのは冗長」と指摘。さらに Multi-RP シナリオ(PR #308 系の議論)で client_id が静的でないこと、JWE アルゴリズムによっては apu/apv を持たないものがあること(RFC 7518)など複層の懸念が出たため、最終的に「mandate ではなく、アプリケーション(プロファイル)側で normative に指定すべき」というガイダンスノートに着地して 2 月 11 日マージ
  • PR #398(DCQL クエリ 1 件に対する複数 Presentation 返却): Stefan Charsley が起票し、multiple パラメータを真にした場合に vp_token 内で当該クエリに対して複数の VP を配列で返却できるようにする変更。tplooker から「credential set との相互作用、特に single/multiple クエリが混在する credential set の取り扱いが複雑」との懸念が出され、関連する未解決論点は Issue #439 へ切り出された上でマージ(2 月 27 日)。実装者からは「Wallet UX 上はチェックボックス UI で十分扱える」との肯定的フィードバックがあった
  • PR #404(W3C VC・ISO mdoc 向け nonce/client_id ガイダンス)と PR #410(authorization_signed_response_alg 省略時の挙動): いずれも HAIP/ISO との整合に必要な normative clarification。signed_response_alg 未指定時に署名しないことを明示し、誤実装を防ぐ
  • PR #381(DC API 用 protocol identifier への version/request type 追加): DC API 経由 OID4VP の version negotiation を可能にする識別子設計。後の 3 月の PR #432(URN → dash 区切りへの swap)への布石
  • PR #419(ISO mdoc Handover 構造の明確化): davidz25(Google)が、Apple/Google プラットフォームの DC API 経由 mdoc 提示で必要となる OpenID4VPHandover の構造を明文化。後続の PR #448(3 月)での OpenID4VPDCAPIHandover 整理に繋がる

OID4VCI のドラフト改訂

OID4VCI では本月 8 件の PR がマージされ、proof 構造の整理と用語の整流化、IANA 登録の整理が進められた。

PRタイトルマージ日著者
#440Add reference to RFC7591 for token_endpoint_auth_method2 月 5 日humuhimi
#439[breaking] IANA considerations for key-attestation+jwt2 月 11 日c2bo
#441Add clarification about client_id for wallet attestation2 月 13 日c2bo
#450update changelog2 月 13 日Sakurann
#453Deprecate proof parameter2 月 13 日c2bo
#457Change Cryptographic Holder Binding to Cryptographic Key Binding2 月 17 日javereec
#459editorial: improve transaction code language2 月 18 日awoie
#449clarify what checks wallet performs after receiving credential offer2 月 18 日Sakurann

特筆すべきは以下の 2 件。

  • PR #453(proof パラメータの非推奨化、breaking): 従来 Credential Request に存在した proof パラメータ(単一)を廃止し、proofs オブジェクト(型名キー → JWT proof の配列)へ一本化。attestation 系では「配列に JWT を 1 件入れる」形式となる点について babisRoutis が「a reasonable choice」と支持し、paulbastian、Sakurann、leecam、jogu の approval を経て 2 月 13 日マージ。Final 1.0 milestone 直前の意図的な breaking change
  • PR #457(Cryptographic Holder Binding → Cryptographic Key Binding): Jan Vereecken が「Holder Binding」という用語が SD-JWT VC データモデルとの間で混乱を招くため、「Key Binding」に統一する変更を提案。後続の HAIP/ISO 連携で用語ブレを抑えるための地味だが影響範囲の大きな改名

3. ミーティングと議論

DCP WG は EU 友好・APAC 友好の 2 枠の定例コールを毎週開催している。本月は加えて 2025-02-19(OSW 前ハイブリッドミーティング、レイキャビク)に集中検討の場が設けられた。最終週(2/24-28)は OSW・interop イベント参加のため通常コールがキャンセルされた。

3-1. 2025-02-04 グローバル WG コール

Kristina Yasuda が ML 上で議題(000638.html)を投稿し、Rajvardhan Deshmukh が議事録(000657.html)を 2 月 6 日に投稿した。14 名参加:Rajvardhan Deshmukh、Kristina Yasuda、Aaron Parecki、Andy Lim、Joseph Heenan、Christian Bormann、Oliver Terbu、Daniel Fett、Brian Campbell ほか。

主要議題:

  • OID4VP Interop イベント結果: EU の LSP イベントで「PID in mdoc and sdjwt openid for vp」の interop テスト成功率 70% 超を報告。失敗要因はアルゴリズム/暗号パラメータの不一致、ドラフトバージョン互換性、X.509 鍵解決の不完全実装などマイナー寄り
  • PR レビュー: 複数の small fixes が 3〜4 approvals 待ち。breaking change として PR #453(proof パラメータ非推奨)を慎重にレビューすると合意
  • Issue #395(Signature Verification): Wallet が署名検証に失敗した場合の挙動について議論継続
  • PR #308(Multi-RP Requests): session transcript における client identifier 選択の明確化が必要
  • クレデンシャル再利用論点: 単一クレデンシャルが複数クエリを満たす場合の扱いについて 3 案が提示され、コミュニティ投票へ
  • PR #320(Subject Requirements): x509_san_uri が要件をカバーするか要確認
  • Issue #304(Data Minimization): 要求外の情報開示懸念について整理

3-2. 2025-02-06 EU 友好コール

ML には独立した議事録投稿として現れていないが、2 月 4 日コールの宿題(PR #453、PR #308、Issue #395 周辺)と並走する形で木曜枠で継続議論されたことが、後続の議事録・PR コメントから読み取れる。

3-3. 2025-02-11 グローバル WG コール

Andrew Regenscheid(NIST)が議事録(000662.html)を投稿。18 名参加、NIST・ISO・OpenID Foundation 関連 WG からの参加者を含む。

主要議題:

  • ISO 連携: ISO/IEC TS 23220 と DCP WG 技術開発のアラインメントを議論。HAIP の ISO 標準への取り込み方について組織間調整が必要との認識
  • HAIP パブリックレビュー開始: 約 25 名がアイスランドのハイブリッドミーティング(2/19)に参加見込み
  • PR レビュー:
    • proof パラメータ非推奨(PR #453): breaking change として理解の上で進行
    • Multiple presentations returns(PR #398): 常に配列形式とする再構成(breaking)について議論
    • DCQL の credential issuer 表現(PR #393): RP が許容する発行者を指定可能にする変更について、X.509 thumbprint と VICAL オプションは追加仕様策定までの間は除外することで合意
  • 7 件の非論争的 PR は追加レビュアー待ち
  • クレデンシャル再利用議題: 投票継続、特定オプションへ傾きつつあるものの追加評価が必要

3-4. 2025-02-18 APAC コール

Kristina Yasuda が議事録(000668.html)を投稿、Christian Bormann も同日 000667.html で notes を共有。25 名超参加。

主要議題:

  • RP 認証と署名済みリクエスト(Issue #395): 「リクエスト署名検証に失敗した場合に Wallet はどう振る舞うべきか」を議論。中心的な対立軸は「RP が unsigned request を許容するか否かを明示的に示すべき」か「Wallet 側にダウングレード判断の裁量を持たせるか」
  • Client Identifier の一貫性: 同一エンティティが異なる trust framework を用いる場合、単一の client_id を維持するか別 ID を用いるか。コンセンサスは「trust ecosystem が異なれば異なる client identifiers を持ち得る」方向
  • 次のミーティング: 2/20(木)の EU 枠は共同議長不在のため Christian Bormann がチェアを担当。Issue #395 と PR #308 の議論を継続
  • 外部活動: Stuttgart 大学とのセキュリティ解析契約が成立、OID4VP conformance test がリリース、欧州委員会が OpenID4VP/OpenID4VCI の公式認知について問い合わせ

3-5. 2025-02-19 OSW 前ハイブリッド WG ミーティング(アイスランド・レイキャビク)

Kristina Yasuda が事前アジェンダ(000669.html、2/17 投稿)と確定版アジェンダ(000671.html、2/25 投稿)を ML に共有。

スケジュール(Iceland time、UTC、CET より 1 時間早い):

  • 09:00 〜 11:00: WG コール(前半)
  • 11:00 〜 12:30: オフライン PR/Issue 作業
  • 12:30 〜 14:00: ランチ
  • 14:00 〜 17:00: WG コール(後半)

議題:

  • 午前(前半): SD-JWT VCDM の rationale(「なぜ作るか」の整理)、HAIP の個別 issues、関連 PR の集中レビュー
  • 午後(後半): DCQL 値マッチング、OID4VP における wallet attestation、3 つの 15 分セッション(Multi-RP 認証、Wallet が検証不能な署名済みリクエストを受け取った場合の挙動、QES(Qualified Electronic Signature)認可パス)

Google Doc を用意して remote 参加者とのコラボレーションを最適化する設計。本ミーティングで議論された SD-JWT VCDM rationale、HAIP issues、DCQL 値マッチング、wallet attestation、multi-RP 認証、署名済みリクエスト検証失敗時の wallet 挙動、QES 認可パスは、3 月の WG コール議論にそのまま継承された。

3-6. 2025-02-25 以降のキャンセル

Joseph Heenan が 000672.html で「2/19 にハイブリッドミーティングを実施し、WG メンバーの多くが OSW または interop イベントに参加するため、今週の Tuesday/Thursday の通常コールはキャンセル」と告知。続いて Kristina Yasuda が 000673.html000674.html でカレンダー上のキャンセル通知を送信。

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML は週次(Week-of-Mon)形式でアーカイブされている。2025 年 2 月の主要スレッドは以下のとおり。

4-1. 「HAIP First Implementers Draft WGLC」(Joseph Heenan, 2025-02-04 開始)

000639.html を起点に、Bjorn Hjelm、Torsten Lodderstedt、Lee Campbell、Christian Bormann、Paul Bastian、Giuseppe De Marco、Steffen Schwalm、Oliver Terbu、Kristina Yasuda、Orie Steele、Ryan Galluzzo らが参加した 17 通超の WGLC スレッド。

Joseph Heenan は「6 月末までに Final spec を公開して EU・ISO 等への commitment を満たすため、Implementer's Draft への前進をいま決定する必要がある」と説明し、2 月 6 日 PT 終業までに合意確認を求めた。45 日のパブリックレビューと 7 日の投票期間(3 月 24 日開始予定)も明示。

主な反応:

  • 支持: Torsten Lodderstedt、Orie Steele、Lee Campbell、Giuseppe De Marco など多数が「support moving HAIP to implementer's draft」と表明
  • 異議: Steffen Schwalm(000648.html000652.html000658.html)が「HAIP は eIDAS Article 5a に基づく Implementing Acts および欧州標準化(W3C VCDM v1.1、ETSI TS 119 472-1 を含む)を反映していない」と公式に異議を表明。「現状のままでは限定的な有用性しかなく、進める前に更新すべき」と主張
  • 議長の整理: Joseph Heenan(000655.html)は「EU は HAIP が implementing acts に取り込まれるための前提条件として、既存の implementing acts への準拠を要求していない」「WG は EU stakeholders とのリエゾンを継続しており、現状では HAIP が将来の implementing acts 改訂に取り込まれる方向で進んでいると認識している」「方針が変わればすぐに WG に共有する」と整理し、Schwalm の懸念は記録した上で WGLC を進めた

このスレッドは、HAIP の Final 1.0 化に向けた欧州規制側との緊張関係を最も鮮明に記録したやり取りであり、後の HAIP 1.0 Final 化(2026 年)に至るまで継続する論点の出発点である。

4-2. 「Notes for DCP WG Call on 4th February」(Rajvardhan Deshmukh, 2025-02-06 開始)

000657.html。§3-1 で詳細を記した 2 月 4 日コールの議事録投稿。EU LSP interop イベントの 70%+ 成功率、PR #453 の breaking change としての扱い、Issue #395 と PR #308 の継続議論、クレデンシャル再利用 3 オプションの整理など、本月前半の論点を網羅。

4-3. 「ISO/IEC SC17 WG4 Nagasaki - Brief Summary」(Bjorn Hjelm, 2025-02-10 開始)

000661.html。OIDF リエゾンとしての Bjorn Hjelm が長崎開催の SC17 WG4 セッション結果を要約。

  • ISO/IEC 23220-2 (Edition 2) はコメント解決フェーズ
  • ISO/IEC 23220-5 (Edition 1) は Working Draft レビュー
  • ISO/IEC 23220-7 は新規プロジェクトとしてコメント募集中
  • ISO/IEC TS 23220-3(OID4VCI プロファイル)は Committee Draft ballot へ進行、締切 2 月 18 日
  • ISO/IEC TS 23220-4(OID4VP プロファイル)は Draft Technical Standard 段階へ進み、ISO Editor へ提出済み
  • OIDF Liaison Report で「DCP WG の技術成果を ISO/IEC TS 23220 シリーズへどう取り込むか、組織間で追加議論が必要」と提起。Hicham Lozi も会議に参加

DCP WG 側の技術判断が ISO の上位プロファイル(23220-3/4)にどう影響するかを意識した執筆が、本月の OID4VP/OID4VCI のレビューに反映されている。

4-4. 「Notes from the February 11 call」(Andrew Regenscheid, 2025-02-13 開始)

000662.html。§3-3 の議事録投稿。NIST の Regenscheid が議事録担当に立ったことが象徴するように、HAIP の Implementer's Draft 化と ISO 連携の重要局面で米国政府機関側の関与が強まっていた状況を示す。

4-5. 「Pre/post IIW DCP hybrid working group meetings」(Joseph Heenan, 2025-02-14 開始)

000664.html。Joseph Heenan が IIW Spring 2025 前後(4 月 7 日 / 4 月 11 日)にハイブリッド WG ミーティングを開催する計画を初告知。「4 月初頭に最終調整を行ったうえでパブリックレビューを開始するため、2 回設定する」とし、会場は Mountain View 近郊で W3C WebAuthn / FedID と日程調整中、W3C との会場共有も検討中と明示。具体的な会場・登録方法は次月以降に確定する予告。

4-6. 「[agenda]/[notes] DCP WG + SIOP call」(Torsten Lodderstedt / Christian Bormann / Kristina Yasuda, 2025-02-17〜2025-02-18)

000666.html(agenda)、000667.html(Bormann notes)、000668.html(Yasuda notes)。§3-4 の APAC コール議事録一式。Issue #395(RP 認証と署名済みリクエスト)と client_id の一貫性論点が、2/19 ハイブリッドミーティングおよび 3 月の継続議論へつながる重要な仕分けの場となった。

4-7. 「draft agenda for the hybrid DCP WG before OAuth Security Workshop」(Kristina Yasuda, 2025-02-17 開始 / 2025-02-25 確定版)

000669.html(ドラフト)、000671.html(確定版)。§3-5 のハイブリッドミーティングのアジェンダ。SD-JWT VCDM rationale → HAIP issues → DCQL 値マッチング → wallet attestation → Multi-RP / 署名済みリクエスト失敗時挙動 / QES 認可パスという順序が、3 月の各コールで継承された。

4-8. 「Documents circulated to ISO SC17 WG10 in preparation to the ISO mtg next week」(Kristina Yasuda, 2025-02-27 開始)

000675.html。Utrecht 開催のハイブリッド ISO 会合に先立って、現行 HAIP / OpenID4VP の PDF と ISO 要件追跡 Google Doc を SC17 WG10 に送付した旨を WG に共有。Kristina Yasuda は「DCP WG が ISO の要件を完全に満たすためにまだ未解決の論点」として、OID4VP の Issue #400、Issue #397、PR #308 の 3 件を明示。これらは 3 月のグローバル WG コールでも継続議論された。

5. GitHub 上の議論

2025 年 2 月の OID4VP リポジトリは PR マージ 13 件・Issue 起票 18 件、OID4VCI は PR マージ 8 件・Issue 起票 4 件、HAIP は PR マージ 2 件・新規 issue ゼロという分布であった。技術的に重要な起票/マージを抜粋する。

5-1. OID4VCI PR #453「Deprecate proof parameter」(c2bo, 2 月 13 日マージ)

openid/OpenID4VCI#453 — Credential Request の proof(単数)パラメータを廃止し、proofs(型名キー → JWT 配列)に一本化する breaking change。c2bo は「proofs オブジェクトは常に proof type 名を持つキーと非空配列を持つ」「attestation 系では結果的に 1 件の JWT を持つ配列となる」と整理。babisRoutis が「a reasonable choice」と同意し、paulbastian、Sakurann、leecam、jogu の approval、Joseph Heenan のレビュー修正提案の取り込みを経てマージ。Final 1.0 milestone に意図的に置かれた breaking change として WG コールで明示的に確認されている。

5-2. OID4VP PR #398「Support returning multiple presentations for single dcql credential query」(charsleysa, 2 月 27 日マージ)

openid/OpenID4VP#398 — DCQL クエリに新パラメータ multiple を追加し、true の場合に vp_token 内で 1 クエリに対して複数 VP を配列で返却できるようにする変更。Issue #298 への対応。

  • tplooker が「credential sets との相互作用、特に single/multiple クエリが credential set に混在する場合の複雑性」を提起、関連未解決は Issue #439 へ切り出し
  • 実装者からは「Wallet UX 上はチェックボックスで実装可能。single-selection クエリでは非該当 credential を disable すれば良い」との肯定的フィードバック
  • ユースケースと実装可能性が示された上で複数レビュアーが approval、2 月 27 日マージ

5-3. OID4VP PR #380「Discuss the use of apu/apv in the JWE header of OpenID4VP responses」(bc-pi, 2 月 11 日マージ)

openid/OpenID4VP#380 — JWE ヘッダの apu/apv 用法。当初「apu = nonce、apv = client_id を MUST」とする提案だったが、複数の WG コールを跨ぐ議論で:

  • selfissued: 「nonce は暗号化済みペイロードに含まれており、apu への再利用は冗長」
  • Multi-RP シナリオ(PR #308 系)で client_id の静的性が崩れる
  • JWE アルゴリズムによっては apu/apv を持たないものがある(RFC 7518)
  • アプリケーション側に normative な指定を委ねるのが整理上正しい

との指摘を踏まえ、最終的に「mandate ではなく、profile が normative に指定する」ガイダンスノートとしてマージ。HAIP / EUDI Wallet 等の上位プロファイルへの設計余地を確保した着地。

5-4. OID4VCI Issue #461「Protect the nonce endpoint」(andprian, 2 月 17 日起票、42 コメント)

openid/OpenID4VCI#461 — OID4VCI の nonce エンドポイントが保護されておらず、(1) 同一 nonce 再利用は公開化により予測不能性要件に反する、(2) リクエスト毎に異なる nonce を発行すると DB 増大と credential request 時のマッチング困難を招く、というジレンマを指摘。

提案:

  • Wallet が既に取得済みのアクセストークンでエンドポイントを保護
  • nonce を特定 wallet に紐付けて credential request 時のマッチングを容易化
  • POST → GET への変更(操作のセマンティクス上の整合)

42 件のコメントを集めた本月最長の議論スレッドであり、最終的に 2025 年 7 月に Sakurann が Final 1.0 milestone 内で解決クローズ。

5-5. OID4VP Issue #411「URL-Scheme is the wrong way conveying (wallet-)metadata」(ubamrein, 2 月 3 日起票、11 コメント)

openid/OpenID4VP#411 — 新フォーマット追加時に毎回新しい URL スキーム(例: json-ld-openid4vp://)を作る慣行への根本的な異議。

主張:

  • 後方互換性: フォーマット自体は対応しているのに新スキームに未対応な wallet が締め出される
  • デバイス分断: 最新 wallet に更新できないユーザが新スキーム要件を満たせない
  • 不要な肥大化: client-metadata、DIF PEX、DCQL で既にフォーマット/アルゴリズムの communicate は可能

提案: URL スキームの増殖を避け、capability-based discovery(必要に応じて OIDC の acr 同様のプロファイル URL を使う)に切り替える。Final 1.0 milestone・pending-close ラベル、後の 4 月にクローズ。

5-6. OID4VCI Issue #463「Clarification about use of key attestations in JWT proofs」(vafeini, 2 月 25 日起票、10 コメント)

openid/OpenID4VCI#463 — 「Credential Issuer は attested_keys に含まれる各公開鍵に対して credential を発行 SHOULD」という記述に対し、「JWT proof 1 件あたり credential 1 件、というモデルが key attestation の有無で変わるのは直感に反する」と疑問を投げかけたもの。後の PR #524 にて解決クローズ。

5-7. OID4VP Issue #423「Broaden transaction data requirements」(sander, 2 月 11 日起票)

openid/OpenID4VP#423 — QES(Qualified Electronic Signature)作成ユースケースを enable するため、transaction_data_hashes 周りの制約を緩和する提案。

  • transaction_data_hashes_alg 省略時のデフォルト(sha-256)を要求しない(credential format が独自の hash 機構を定義可能とするため)
  • transaction_data_hashes の VP token 内挙動を、AdES(advanced e-signature)処理を許容できるよう一般化(シリアライズ JSON 配列のストレート hash に限定しない)

EUDIW・has-PR・transaction data ラベル、Final 1.0 milestone。後続の PR #421 で対応。3 月 6 日のグローバル WG コールで「normative change を実装することで合意」と整理される。

5-8. OID4VP Issue #413「Optionality of mdoc specific DCQL fields」(martijnharing, 2 月 6 日起票)

openid/OpenID4VP#413doctype_valueintent_to_retain を OID4VP では optional としているが、ISO/IEC 18013-5 では mandatory であるため、mdoc 経由のリクエスト時には mandatory とすべき、との提起。Final 1.0 milestone、has-PR ラベル、後の PR #480(3 月 25 日マージ)に繋がる。3 月 25 日コールで「doctype_valuevct_values は MUST とする」と決定される伏線。

5-9. OID4VP Issue #433「Clarification on credential queries and credential sets」(charsleysa, 2 月 20 日起票)

openid/OpenID4VP#433 — credential set に参照されない credential query(例: pid_reduced_cred_1)の扱いが仕様上曖昧であると指摘。(1) 別途独立した credential set 要件として扱う、(2) 存在しないものとして無視、の 2 解釈を提示し、明示的なガイダンスを要求。question・pending-close ラベル。

5-10. OID4VP Issue #437「redirect_uri and client_id for x509_san with DC API」(TimoGlastra, 2 月 24 日起票)

openid/OpenID4VP#437 — DC API 経由で x509_san Client Identifier Scheme を用いる場合、Web Origin と X.509 SAN の同一性検証・redirect_uri の取り扱いが曖昧であることを指摘。本月内のコメントは限定的だが、3 月の DC API 整理(特に PR #448、PR #432)へ橋渡しする論点。

5-11. OID4VCI Issue #461(再掲)と OID4VP Issue #440(grausof, 2 月 27 日起票)

OID4VP Issue #440「Optional attributes when presenting a credential with DCQL」も同日に grausof によって起票。「単一クレデンシャル内で claim ごとに mandatory/optional を区別できない」という問題提起で、optional: true プロパティ追加を提案。Milestone は「1.2 or later」と長期化が示唆された(コア仕様で扱うか拡張で扱うかの議論を経るため)。

6. 関連イベント

  • HAIP Implementer's Draft (-03) パブリックレビュー開始: 2025-02-07。45 日レビュー期間(〜3/24)と続く投票(3/25〜4/1)への入口
  • ISO/IEC SC17 WG4 Nagasaki ハイブリッド会議: 2025-02 上旬。Bjorn Hjelm が OIDF リエゾンとして出席、ISO 23220-3 (OID4VCI プロファイル) が CD ballot 段階、23220-4 (OID4VP プロファイル) が DTS 段階へ進んでいることを WG へ共有
  • ISO/IEC SC17 WG10 ハイブリッド会議(Utrecht): 2025 年 3 月初頭開催に向けて、2/27 に Kristina Yasuda が DCP WG 関連ドキュメント(HAIP / OpenID4VP の PDF、ISO 要件追跡)を事前送付。OID4VP の Issue #400、Issue #397、PR #308 が「ISO 要件を満たすための未解決論点」として明示された
  • OAuth Security Workshop (OSW) 2025(アイスランド・レイキャビク): 2025-02 末開催。前日の 2/19 に DCP WG ハイブリッドミーティングを実施。WG メンバーの多くが OSW・interop イベントに参加するため 2/25 週の通常コールはキャンセル
  • 欧州委員会からの照会: OID4VP/OID4VCI を公式に EU 規制内で参照可能とするための recognition プロセスについて欧州委員会が DCP WG に問い合わせ(2/18 APAC コール議事録より)
  • Stuttgart 大学とのセキュリティ解析契約成立: OID4VP に対する独立第三者セキュリティ評価の枠組み(同上)
  • OID4VP conformance test リリース: OpenID Certification プログラムにおける OID4VP 適合性試験が利用可能に(同上)

7. 今後の予定

2025 年 2 月末時点で WG が共有していた次月以降の計画:

  • 2025-03-11: HAIP Implementer's Draft の Notice of Vote 公開予定
  • 2025-03-18: HAIP Implementer's Draft の Early voting 開始
  • 2025-03-24: HAIP Implementer's Draft パブリックレビュー終了
  • 2025-03-25 〜 2025-04-01: HAIP Implementer's Draft 公式投票
  • 2025-03 初頭: ISO/IEC SC17 WG10 ハイブリッド会議(Utrecht)。DCP WG として Issue #400、Issue #397、PR #308 の解決を 2 月 18 日頃までに目処をつける必要
  • 2025-04-07: Pre-IIW DCP WG ハイブリッドミーティング(Mountain View 近郊、会場調整中)
  • 2025-04-08 〜 10: IIW Spring 2025
  • 2025-04-11: Post-IIW DCP WG ハイブリッドミーティング
  • OID4VP の継続論点: PR #308(Multi-RP / DC API での request signing)、Issue #395(署名検証失敗時の wallet 挙動)、PR #393(DCQL における credential issuer 表現)、Issue #423(transaction data の一般化)、doctype_value/intent_to_retain の mandatory 化
  • OID4VCI の継続論点: proof パラメータ廃止に伴う実装者への周知、nonce エンドポイント保護(Issue #461)、key attestation 仕様の明確化(Issue #463)
  • 2025-06 末: HAIP Final 仕様公開を WG 目標として共有(EU・ISO への commitment)。実際にはこの目標は後に大幅に延期されることになる

8. 参考情報源

メーリングリスト(pipermail 週次インデックス)

主要 ML スレッド

GitHub PR / Issue

公式アナウンス