idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025年3月)

執筆日: 2026-05-18(遡及執筆) この記事は 2025 年 3 月の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC、SD-JWT VC、ISO/IEC 18013-5 mDL など)の発行・提示・交換に関するプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID for Verifiable Credentials High Assurance Interoperability Profile (HAIP)、および Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda、Joseph Heenan(Authlete)、Torsten Lodderstedt(個人)。EU・APAC・Americas の 3 地域で毎週コールを開催している。

2025 年 3 月の DCP WG は HAIP Implementer's Draft の OpenID Foundation メンバー投票へ送り出し、同時に OID4VP 1.0 Final 化に向けた論点整理を一気に進めた月 であった。主要トピックは以下のとおり。

  • HAIP Implementer's Draft が 2 月 7 日〜3 月 24 日のパブリックレビューを完了し、3 月 25 日〜4 月 1 日の OIDF メンバー投票へ移行(Notice of Vote は 3 月 10 日付で公開、early voting は 3 月 18 日開始)
  • OID4VP では月内に 19 件の PR がマージ され、DCQL の発行者表現(PR #393)、Multi-RP Credentials/Authentication(PR #308)、X.509 thumbprint Client Identifier Scheme(PR #430)、DC API での Origin 一貫化(PR #448)など 1.0 Final へ向けた構造的変更が連続採択された
  • IIW Spring 2025 を挟む 2 回のハイブリッドミーティング(4 月 7 日 Google Sunnyvale、4 月 11 日 Apple Cupertino)の登録呼びかけと、日本フレンドリーな追加コール枠の Doodle 投票(Joseph Heenan, 3 月 27 日)といったコミュニティ運営も活発化
  • OID4VCI 側はあえて落ち着いた月となり、editorial PR 1 件のマージにとどまったが、invalid_tx_code 新設(Issue #474)、Presentation during Issuance(Issue #473)など、後の 1.1 系へ繋がる論点が起票された
  • OID4VP では Issue #463「JARM references → JWT 直接参照化」が起票され、authorization_encrypted_response_alg/enc パラメータの整理へ向けた伏線が引かれた(後の 4 月の Mike Jones objection、Issue #552、PR #555 へつながる)

HAIP は 2025 年 3 月時点では まだ Implementer's Draft 段階 であり、1.0 Final は本月の議論からおよそ 1 年後(2026-02-26)の自己認証プログラム開始までかかる長丁場の入り口にあたる。同様に OID4VP も 1.0 Final 化のためのパブリックレビュー(4 月 24 日開始)を直前に控えた助走期間として位置づけられる。

2. 公開された仕様・ドラフト改訂

HAIP Implementer's Draft の OIDF メンバー投票開始

2025-03-10、OpenID Foundation は Notice of Vote for Proposed Implementer's Draft of OpenID4VC High Assurance Interoperability Profile を公開した。

  • 45 日パブリックレビュー期間: 2025-02-07 〜 2025-03-24
  • Early voting 開始: 2025-03-18
  • 公式投票期間: 2025-03-25 〜 2025-04-01(12:00 PT)

HAIP は SD-JWT VC を中核としつつ ISO/IEC 18013-5 mDL もカバーするインタオペラビリティプロファイルであり、Implementer's Draft の承認は EUDI Wallet 含む欧州各国・APAC・北米の実装系統の足並みを揃える上で重要な節目であった。投票結果(4 月 1 日承認: 賛成 87、反対 1、棄権 18、計 106 票)は本月内には未確定だが、3 月 25 日コールの議事録には「Vote underway on HAIP implementor's draft」と明記されており、WG 内では円滑な承認見込みで作業が進められていた。

OID4VP のドラフト改訂と主要 PR のマージ

OID4VP は 3 月中に 19 件の PR がマージされ、1.0 Final 化に向けた構造的変更が一気に進んだ。主要な PR を以下に整理する(マージ日順)。

PRタイトルマージ日著者
#354Removed unused examples / unused tests / unused diagrams3 月 5 日jogu
#389remove default response_mode being fragment3 月 5 日Sakurann
#422dcql_query & presentation_definition are not strings3 月 5 日jogu
#444Replace OAuth Security BCP references now it's an RFC3 月 5 日jogu
#430Add X.509 thumbprint client identifier scheme3 月 6 日martijnharing
#432Swap URN for dash delimited protocol identifier3 月 11 日timcappalli
#393DCQL: express desired credential issuers3 月 13 日c2bo
#451Note introducing CBOR/CDDL3 月 13 日c2bo
#464Added examples for 3 Authz request options3 月 20 日deshmukhrajvardhan
#456Additional reasons why Requests using Redirect URI Scheme cannot be signed3 月 24 日peppelinux
#448DC API: Always use Origin for binding response3 月 24 日jogu
#450Make following the claim_sets order recommended instead of mandatory3 月 25 日martijnharing
#452clarify value matching3 月 25 日c2bo
#471Use current BCP 14 language3 月 25 日selfissued
#472Editorial fixes3 月 25 日danielfett
#449add example for sessiontranscript related structures3 月 26 日awoie
#458add small note about client id parameters for dc api3 月 26 日TimoGlastra
#475Fix inconsistent client ids in request object example3 月 26 日jogu
#308Add Multi RP Credentials/Authentication capability3 月 27 日tlodderstedt

これらのうち構造的に重要な PR は以下のとおり。

  • PR #389(response_mode のデフォルト削除): 既存仕様では response_mode が省略時に fragment 扱いとなっていたが、Sakurann が「ほとんどの実装で fragment は使われておらず、デフォルトとしての意味が乏しい」と主張、jogu と tplooker、c2bo が「conformance test では既に必須扱い」「DC API では必須」と支持し、response_modeREQUIRED に変更。bc-pi は breaking change を懸念しつつも黙示的に支持。約 8 週間の議論を経て 3 月 5 日マージ
  • PR #430(X.509 thumbprint Client Identifier Scheme): 当初 x509_x5t として提案されたが、レビュー過程で x509_hash に改名。x509_san_uri は同 PR で削除され、x509_san_dns と新設の hash 方式に集約された。c2bo、tplooker、paulbastian、bc-pi、hlozi の approval を経て Sakurann が 3 月 6 日マージ(11 commits)
  • PR #393(DCQL: express desired credential issuers): Verifier が受け入れ可能な発行者を DCQL クエリ内で表現する手段を導入。X.509 証明書チェーン(AKI による matching)、ETSI Trusted Lists、OpenID Federation の trust framework を支持。X.509 thumbprint matching は「有用性が低い」として除外、DID ベースの issuer matching は 1.1 へ後送と決定。selfissued、Sakurann、tlodderstedt、peppelinux、martijnharing、awoie、lj-raidiam の approval を経て 3 月 13 日マージ
  • PR #448(DC API: Always use Origin for binding response): SD-JWT の key binding の aud 値を、署名付きリクエスト時も含めて常にプラットフォーム取得の Origin で構築する仕様変更。Client Identifier Scheme は web-origin から origin へ改名(ネイティブアプリ識別子の収容のため)、mdoc OpenID4VPDCAPIHandover から client_id を削除。Issue #351、#395 をクローズ。3 月 24 日マージ
  • PR #308(Multi RP Credentials/Authentication capability): DC API における request signing を Compact Serialization(単一 RP)から JWS JSON Serialization(複数 RP の同時署名)へ変更し、Issue #248 を解決。WG は議論を経て、伝統的な HTTPS フローでの Multi-RP capability は拒否しつつ、DC API パス上でのみ採用する形で着地。30 件超のレビューコメントを経て 3 月 27 日マージ
  • PR #450(claim_sets ordering を MUST → SHOULD): Wallet が claim_sets の順序に従う要件を RECOMMENDED(SHOULD)へ緩和。Issue #290 への対応。「Verifier が情報開示観点での順序付けをしていない場合などは Wallet 側の判断余地が必要」との合意で着地

OID4VCI のドラフト改訂

OID4VCI は 3 月内のマージは PR #466「Replace OAuth Security BCP references now it's an RFC」(jogu, 3 月 11 日マージ、editorial、Milestone: Final 1.0)の 1 件のみで、ドラフト版番号の更新を伴う公開はなされなかった。一方で月後半には Issue #473「Presentation during Issuance」(danielfett, Milestone 1.1)、Issue #474「Define dedicated error code for tx code in pre-auth code flow」(awoie)、Issue #475「How to indicate which DID a credential should be bound to」(TimoGlastra, 3 月 28 日)など、後の 1.1 系統や HAIP 議論につながる起票が並んだ。

HAIP の起票

HAIP リポジトリでは 3 月内に新規 PR のマージはなく、Issue 起票も限定的だった。Implementer's Draft 投票期間中は仕様内容を凍結する慣行を反映している。

3. ミーティングと議論

DCP WG は EU 友好・APAC 友好の 2 枠の定例コールを毎週開催している。3 月開催分は以下のとおりで、いずれも議事録が ML に投稿されている。

3-1. 2025-03-06 グローバル WG コール

Rajvardhan Deshmukh による議事録(000678.html)。参加者は Rajvardhan Deshmukh、Kristina Yasuda、Torsten Lodderstedt、Bjorn Hjelm、Brian Campbell、Christian Bormann、David Waite、Elizabeth Garber、Jan Vereecken、Juba Saadi、Michael Jones、Nick Steele、Oliver Terbu、Paul Bastian、Rene Leveille。

主要議題:

  • IIW 前後のミーティング登録呼びかけ(Pre-IIW: 4 月 7 日 Google Sunnyvale、Post-IIW: 4 月 11 日 Apple Cupertino)、4 月 28-30 日にスウェーデンで OpenID Federation interoperability event 開催の案内
  • OpenID4VP #423(Transaction Data Hashes): transaction_data_hashes の制約を緩和する normative change を実装することで合意
  • oid4vc-haip #156(Issuer Authentication): 実装は MUST だが運用上は optional。「policy が要求する場合、issuer/wallet 両者が signed_metadata をサポートすること MUST」と整理
  • Key Resolution 要件: SD-JWT VC シナリオで X509 を issuer/wallet 双方に要求、Web ベース解決は optional 拡張、Verifier attestation は wallet/verifier 両者に x509_hash を要求、status list token は x5c JOSE header に公開鍵を含めること
  • Wallet Attestation: 「公開鍵と任意で trust chain」を x5c ヘッダに含める要件を維持

3-2. 2025-03-11 グローバル WG コール

Christian Bormann が議事録を ML に投稿(000682.html、2025-03-12 投稿)。本文は HTML 添付として配信されており pipermail からは本文を直接取り出せないが、Kristina Yasuda が同日投稿した議題(000679.html)には OIDF policy リマインダ、IIW 前後ミーティング登録、interoperability test plans、Trusted Authorities/Wallet Attestation/Credential Fulfillment に関わる PR レビュー、Final 1.0 milestone PR の community review 呼びかけが並んでいた。

3-3. 2025-03-18 APAC コール

Dima Postnikov による議事録(000698.html)。共同議長は Torsten Lodderstedt と Kristina Yasuda。参加者は Gail Hodges、Alan Wang、Andres Olive、Bjorn Hjelm、Christian Bormann、Daniel Fett、David Zeuthen、Gareth Oliver、Hicham Lozi、Ketan Mehta、Lee Campbell、Lukasz Jaromin、Martijn Haring、Mirko Molik、Oliver Terbu、Paul Bastian、Peter Sorotokin、Ryan Galuzzo、Timo Glastra、Dima Postnikov(議事録担当)。

主要議題:

  • OID4VC Issue #400(Verifier's Public Key in sessionTranscript): セキュリティのため Verifier 公開鍵のサムプリントを session transcript に含める方針を議論。Oliver Terbu が PR 起票担当として手挙げ、issue を PR 待ち状態へ
  • OID4VP Issue #6(VCs Without Key Binding): OID4VP で提示するクレデンシャルが常に cryptographic key binding を要求すべきか否かを巡る大きな議論。賛成側は映画チケットやデリゲーションシナリオなど実用ケースを挙げ、反対側はセキュリティ懸念を強調。WG は明確なユースケースと脅威分析を求めて結論を持ち越し
  • Issue #396(RP Registration Certificates): Verifier が自身の正当性を attestation で示す方式を議論。unbound credentials の replay 保護と実装明確性が懸念点として挙げられ、継続検討
  • HAIP Implementer's Draft 投票進行中の旨を周知、Interop event の確認日程(3 月 27 日、4 月 4 日、4 月 25 日、5 月 5 日)を共有

3-4. 2025-03-25 グローバル WG コール

Gareth Oliver による議事録(000702.html、ファシリテーター Gareth Oliver)。22 名参加、Google、NIST、Cisco、MATTR ほか。

主要議題と決定:

  • JARM の削除: 「unsigned encrypted JWT のみを許容する」方向へ移行することを合意(後の 4 月 PR #523 への布石)
  • Transaction Data & Multiple Signatures: 同時に複数の payment を署名することを制限すべきか議論。「permissive のまま残し、transaction type 側で挙動を定義させる」と決定、詳細は木曜 EU コールへ持ち越し
  • VC Presentation Without VP: nonce vs. state 要件を議論。合意は「DC API は No Change」、非 DC API では key-bound credential を推奨、それ以外では state を返す
  • mdoc fields: doctype_valuevct_values は MUST とする。ただし「任意の doctype から X を欲しい」ユースケースが制限される副作用を認識
  • claim_sets ordering を MUST → SHOULD(PR #450)Client ID Prefix(旧 Client ID Scheme)から client_id を取り除くことで multi-RP credential/authentication 懸念が解決された点を確認
  • 「Transaction data thursday」セッションの予定、HAIP Implementer's Draft 投票進行中、IIW 前後ミーティング登録呼びかけ、日本フレンドリー枠の Doodle poll が近日中に出る旨

3-5. EU 友好コール(毎週木曜)

3 月中の議事録は ML 上に独立投稿として確認できなかったが、グローバル/APAC コールの議事録から「木曜セッションで継続議論」と参照される項目(transaction data hashes、claim_sets、JARM 削除など)が多数あり、技術的に実質的な議論の場として機能していた様子がうかがえる。

3-6. OAuth Security Workshop 前ハイブリッドミーティング(参考)

Kristina Yasuda が 3 月 4 日に 000676.html で告知した OAuth Security Workshop 前のハイブリッド DCP WG ミーティング(アイスランド、2 月 19 日 CET-1)は 2 月開催のものだが、議題(SD-JWT VCDM の rationale、HAIP issues、DCQL 値マッチング、wallet attestation in OID4VP、multi-RP 認証、署名済みリクエスト検証失敗時の wallet 挙動、QES 認可パス)の整理として 3 月の WG コール議論に直接連動していた。

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML は週次(Week-of-Mon)形式でアーカイブされている。2025 年 3 月の主要スレッドは以下のとおり。

4-1. 「DCP WG Meetings Pre & Post IIW on 7th & 11th April - PLEASE REGISTER ASAP」(Stephanie Meli, 2025-03-05 開始)

000677.html、再投稿 000703.html

OpenID Foundation 事務局の Stephanie Meli が IIW Spring 2025 の前後にあたる 2 回のハイブリッド DCP WG ミーティングの登録を呼びかけ。会場(Google Sunnyvale / Apple Cupertino)の入館手続き上、開催の 7 日前までに登録が必須である旨を強調。3 月後半に再投稿してリマインドを行った。会場別の登録締切(3 月 28 日 / 4 月 4 日)も明示されており、後の 4 月の活動骨子(draft 25 → 28 への 4 連続改訂、ISO 18013-7 参照削除決定など)の物理的な合意形成基盤となるミーティング群であった。

4-2. 「Notes for DCP WG Call on 6th March」(Rajvardhan Deshmukh, 2025-03-10 開始)

000678.html

§3-1 で詳細を記したが、議事録投稿として ML 上で広く共有された。本月のキーポイント(IIW 前後ミーティング登録呼びかけ、Transaction Data Hashes 緩和合意、HAIP Issuer Authentication の signed_metadata 要件整理、X509 を SD-JWT VC で issuer/wallet 双方に要求する Key Resolution 方針)が一覧化された、本月もっとも参照頻度の高い議事録投稿である。

4-3. 「DCP WG + SIOP Call (APAC) - 18-MAR-2025 - Minutes」(Dima Postnikov, 2025-03-18 開始)

000698.html

§3-3 の APAC コール議事録。VCs Without Key Binding(Issue #6)と RP Registration Certificates(Issue #396)という、後の 4 月のホルダーバインディング無しプレゼンテーション(PR #513)と verifier_attestations(PR #482)の議論に直接つながる 2 つの長期懸案がここで深掘りされた。WG として「明確なユースケースと脅威分析を要求して結論を持ち越し」と整理した点は、4 月の Final 化レーンで両論点がどのように決着するかを左右する重要な記録である。

4-4. 「Poll: Additional time slot for Japan friendly call」(Joseph Heenan, 2025-03-27 開始)

000700.html

Joseph Heenan が「現在の DCP WG コールは日本時間で深夜 0 時および午前 4 時にあたり、日本拠点の参加者にとって出席が困難」として、追加コール枠の Doodle 投票(https://doodle.com/group-poll/participate/aK9XG1nd)を呼びかけた。「全 WG メンバーが回答可能だが、共同議長は 既存 2 枠に参加できないメンバーが参加可能な枠を優先的に選定する」と方針を明示。提案された枠に都合がつかないメンバーは事務局に連絡してほしいとも記した。後に APAC コールが定例化される起点となった呼びかけである。

4-5. 「03/25 DCP WG Notes」(Gareth Oliver, 2025-03-25 開始)

000702.html

§3-4 の議事録。JARM 削除方針、Transaction Data 多重署名の permissive 維持、mdoc doctype_value/vct_values を MUST とする決定、claim_sets 順序の MUST → SHOULD 緩和、HAIP Implementer's Draft 投票進行中の確認、IIW 前後ミーティング登録呼びかけと日本フレンドリー枠投票予告など、本月後半の議論を集約した重要投稿。

5. GitHub 上の議論

2025 年 3 月の OID4VP リポジトリは PR マージ 19 件、Issue 起票 8 件と非常に活発であった。OID4VCI は 5 件起票・1 件マージ、HAIP は新規 PR マージなしの落ち着いた月となった。技術的に重要な起票/マージを抜粋する。

5-1. OID4VP PR #308「Add Multi RP Credentials/Authentication capability」(tlodderstedt, 3 月 27 日マージ)

openid/OpenID4VP#308 — DC API での request signing を JWS Compact Serialization から JWS JSON Serialization へ変更し、複数 RP が単一リクエスト内で同時に署名を提供できるようにする変更。Issue #248 への対応。

主な論点:

  • Compact Serialization を JSON Serialization と並存させるべきか
  • JSON Serialization は Compact 形式に比べて開発者サポートが広くないという懸念(peppelinux ほか)
  • 署名なしの trust infrastructure を用いる代替アプローチの検討
  • client_idclient_metadata をヘッダ/ペイロードのどちらに置くか
  • WG コンセンサスとして 「Compact serialization は残しつつ、伝統的 HTTPS フローでは Multi-RP capability を採用せず、DC API パス上でのみ採用」 に落ち着いた

レビューは danielfett、bc-pi、peppelinux、c2bo、leecam、Sakurann、hlozi など 7 名超の approval を得てマージ。30 以上のディスカッションスレッドを擁する本月最大の構造的 PR である。

5-2. OID4VP PR #393「DCQL: express desired credential issuers」(c2bo, 3 月 13 日マージ)

openid/OpenID4VP#393 — Verifier が DCQL クエリ内で受け入れ可能な発行者を表現できるようにする変更。X.509 証明書チェーン(Authority Key Identifier による matching)、ETSI Trusted Lists、OpenID Federation の trust framework をサポート。

主な論点:

  • X.509 thumbprint matching を含めるかどうか → 「有用性が低い」として最終的に除外
  • URL ベースの trust list lookup によるプライバシー影響(wallet → issuer の開示懸念)
  • DID ベースの issuer matching を含めるか → 1.1 へ後送
  • 自己完結型 matching と online resolution を要する matching の取り扱い

contributors の一人は「Issued by this did, または this x509 certificate chain (aki) のいずれかでクレデンシャルを要求することは不可能」と非対称性を指摘。selfissued、Sakurann、tlodderstedt、peppelinux、martijnharing、awoie、lj-raidiam の approval を経て Sakurann がマージ(Final 1.0 milestone)。

5-3. OID4VP PR #389「remove default response_mode being fragment」(Sakurann, 3 月 5 日マージ)

openid/OpenID4VP#389response_mode を OPTIONAL(デフォルト fragment)から REQUIRED へ変更。

主な論点:

  • bc-pi: 既存実装への breaking change を懸念
  • Sakurann: 「ほとんどの実装で fragment は使われていない」「デフォルトとしての意味が乏しい」
  • jogu: 「conformance test では既に必須扱い」「Browser DC API では必須」
  • tplooker: 「fragment モードは sensible なデフォルトではなく、削除することで実装の複雑性が減る」
  • c2bo: 「実装をより robust にする」

5 approvals(jogu、tplooker、c2bo、charsleysa、bc-pi の暗黙支持)を得て 8 週間の議論後にマージ。

5-4. OID4VP PR #448「DC API: Always use Origin for binding response」(jogu, 3 月 24 日マージ)

openid/OpenID4VP#448 — DC API における response binding の一貫化。

  • SD-JWT key binding の aud 値は、署名付きリクエストの場合でも常にプラットフォーム取得の Origin を使用
  • origin: prefix を維持して DC API レスポンスと非 DC API レスポンス(OpenID Federation 経由)との mixup attack を防止
  • Client Identifier Scheme を web-origin から origin へ改名(ネイティブアプリ識別子を収容するため)
  • mdoc OpenID4VPDCAPIHandover から client_id を削除(明確な用途がないため)

Issue #351、#395 をクローズ。tlodderstedt、c2bo、awoie、Sakurann、hlozi、GarethCOliver の approval を経てマージ。

5-5. OID4VP PR #430「Add X.509 thumbprint client identifier scheme」(martijnharing, 3 月 6 日マージ)

openid/OpenID4VP#430 — DNS Name を持たない X.509 証明書での RP 認証を可能とする新スキーム x509_hash(当初提案 x509_x5t から改名)の追加。同 PR で x509_san_uri スキームを削除し、x509_san_dns と新設の hash 方式に集約。c2bo、tplooker、paulbastian、bc-pi、hlozi の approval を経て Sakurann がマージ(11 commits)。

5-6. OID4VP Issue #463「Changing JARM references to JWT directly」(GarethCOliver, 3 月起票)

openid/OpenID4VP#463 — 3 月 25 日コールで合意された JARM 削除方針を踏まえ、authorization_encrypted_response_alg/enc パラメータ参照を JWT 直接参照へ書き換える論点として起票。4 月 11 日クローズ(PR #523 のマージにより解決)。後の 4 月 16 日に Michael Jones が ML で objection を提起することにつながる、本月起票の重要 issue である。

5-7. OID4VP Issue #473「Define Error Handling for OID4VP over DC API」(tlodderstedt, 3 月 25 日起票)

openid/OpenID4VP#473 — DC API 経由の OID4VP におけるエラーハンドリング仕様の不在を指摘。Final 1.0 milestone・dc-api ラベル付き。4 月 24 日マージの PR #556(timcappalli)への直接の引き金となった。

5-8. OID4VP Issue #447「How should a signed request (JAR) using x509_san_dns but also including a did in the kid be interpreted?」(TimoGlastra, 3 月 6 日起票)

openid/OpenID4VP#447x509_san_dnsx5c、DID を含む kid が同時に存在する場合の解釈優先度を巡る曖昧性を指摘。OID4VCI の同様議論(証明書関連ヘッダの排他性)を参照しつつ、「実装上 3 つを同時利用するケースが既に存在する」と問題提起。client_id_scheme パラメータで優先順位を決める案を提示。

5-9. OID4VP Issue #461「transaction_data_types_supported to the wallet metadata?」(babisRoutis, 3 月 18 日起票)

openid/OpenID4VP#461 — Wallet メタデータに transaction_data_types_supported フィールドを設け、RFC 9396(RAR)と同様の発見メカニズムを提供する提案。Milestone「1.2 or later」に割り当てられ、本月内の議論は限定的。

5-10. OID4VCI Issue #474「Define dedicated error code for tx code in pre-auth code flow」(awoie, 3 月起票)

openid/OpenID4VCI#474 — Pre-authorized code flow における transaction code 誤りと pre-authorization code 誤りを区別するため、新エラーコード invalid_tx_code を導入する提案。「tx_code 誤りは wallet 側でユーザに再試行を許容できる方が望ましいが、現状はいずれも invalid_grant で区別不能」と問題提起し、ブルートフォース対策として「最大失敗回数で pre-authorization code を無効化する」ガイダンスも提案。後に PR #686 として 2026 年 4 月にマージされた。

5-11. OID4VCI Issue #473「Presentation during Issuance」(danielfett, 3 月起票)

openid/OpenID4VCI#473 — 別クレデンシャルの発行中に既存クレデンシャルを提示する手順のガイダンス不在を指摘。OAuth First-Party Applications draft の活用可能性を示唆。EUDIW・ISO 23220-3・Interactive Authorization Endpoint(iae)の文脈と紐付けられ、Milestone 1.1。後の 2026 年 4 月 ML スレッド「Feedback needed on Interactive Authorization Endpoint (VCI 1.1) and FPA specs」(Micha Kraus)に至る長期論点の起点となる。

6. 関連イベント

  • HAIP Implementer's Draft 投票: 2025-03-25 〜 2025-04-01(early voting 2025-03-18 〜)。本月内に投票結果は確定しないが、Notice of Vote 公開(3 月 10 日)と early voting 開始は本月のメインイベントのひとつ
  • OpenID Federation Interoperability Event(スウェーデン、4 月 28-30 日開催予定): 3 月 6 日コールで参加呼びかけ
  • Internet Identity Workshop (IIW) Spring 2025(4 月 8-10 日予定): DCP WG として前後にハイブリッドミーティング 2 回を準備、3 月中は登録呼びかけと議題整理が中心
  • OAuth Security Workshop(2025-02、アイスランド): 2 月開催のハイブリッド DCP WG ミーティング議題が 3 月の WG コール議論へ継続的に取り込まれた

7. 今後の予定

2025 年 3 月末時点で WG が共有していた次月以降の計画:

  • 2025-04-01: HAIP Implementer's Draft 投票締切。承認見込み(実際 4 月 1 日に賛成 87・反対 1・棄権 18 で承認)
  • 2025-04-07: Pre-IIW DCP WG ハイブリッドミーティング(Google Sunnyvale)
  • 2025-04-08〜10: IIW Spring 2025(Computer History Museum, Mountain View)。火曜・木曜の通常コールはキャンセル予定
  • 2025-04-11: Post-IIW DCP WG ハイブリッドミーティング(Apple Cupertino)
  • 2025-04-25 / 2025-05-05: Interop event 候補日
  • 2025-04-28〜30: OpenID Federation Interoperability Event(スウェーデン)
  • OID4VP 1.0 Final 化: IIW 前後のミーティングを経てパブリックレビュー期間に入る目標(実際 4 月 24 日に draft 28 を対象に 60 日レビュー開始)
  • OID4VP の継続論点: JARM 削除(Issue #463)、AnonCreds の取り扱い、verifier_attestations、ISO 18013-7 参照、VCs Without Key Binding、Transaction Data 多重署名、authorization_encrypted_response_alg/enc パラメータ整合
  • 日本フレンドリー枠の追加コール: Doodle 投票結果を踏まえて新枠を選定
  • OID4VCI 1.1: Presentation during Issuance(Issue #473)、invalid_tx_code(Issue #474)、DID 鍵バインディングの明示(Issue #475)などを取り込む方向

8. 参考情報源

メーリングリスト(pipermail 週次インデックス)

主要 ML スレッド

GitHub PR / Issue

公式アナウンス