idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025年4月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC / SD-JWT VC / ISO/IEC 18013-5 mDL など)の発行・提示・交換に関わるプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID4VC High Assurance Interoperability Profile (HAIP)、Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda、Joseph Heenan(Authlete)、Brent Zundel(Yubico)他。EU・APAC・Americas の 3 地域で毎週コールが開催される。

2025 年 4 月の DCP WG は OID4VP を 1.0 Final 化のレーンへ正式に乗せた決定的な月 であった。重要トピックは以下の 4 点に集約される。

  • OID4VP の 60 日パブリックレビュー開始(4 月 24 日)と draft 25 → 26 → 27 → 28 の 4 連続改訂 — IIW Spring 2025 を挟むハイブリッドミーティング群の議論結果を順次取り込み、月内に draft を 4 リビジョン進める 異例のペース。Foundation-wide 60 日レビューは 4 月 24 日 〜 6 月 23 日 で確定し、6 月末リリースを目指すスケジュールが固まる
  • DCQL を OID4VP の唯一のクエリ言語と決定し Presentation Exchange (PE) を削除(PR #479、4 月 4 日マージ) — 4 月 2 日に Kristina Yasuda が ML 上で WG 決定を告知、市場のフラグメンテーション回避とインタオペラビリティ向上を目的に PE を 1.0 Final から外した。AnonCreds も「実装経験不足」を理由に 1.1 後送(PR #539、4 月 15 日)
  • ISO 18013-7 への参照削除(PR #546、4 月 17 日マージ) と ISO SC17 WG10 / ISO 23220-3 タスクフォースとの整合 — 「OID4VP 1.0 が 18013-7 を参照することは現状の文書構造と非互換」という Timo Glastra の問題提起に基づき、mDoc サポートは DC API 経由のみを定義し vanilla OID4VP 経路は 1.0 では沈黙 とする方針が確定。ISO WG10 はバーチャル会議で「すべての ISO 要件は addressed されている」と確認
  • シュトゥットガルト大学による OID4VP + DC API 形式セキュリティ解析 draft の受領(4 月 15 日) — Joseph Heenan が ML に投稿。Issue #541(DC API での audience 値)と Issue #542(wallet による expected_origins 検証必須化)の 2 件が即日 GitHub に起票され、後者は PR #544 として 4 月 15 日にマージ。Final セキュリティ解析の最終版は 8 月公表へつながる伏線

並行して OID4VP リポジトリでは 4 月マージ PR が 50 件超(編集系含む)と Final 化への駆け込みが顕著であり、editorial 連発、Client Identifier Prefix への用語統一(PR #557)、Verifier への用語統一(PR #558)、verifier_attestations の追加(PR #482。直後に Sakurann が revert PR #537 を提出するも未マージで close、追加自体は draft 26 以降に残置)、署名なし暗号化 JWT への直接参照化(PR #523)、vp_formats の刷新(PR #500)が集中マージされた。OID4VCI リポジトリは IIW を挟みつつも編集系中心に 4 件マージ、HAIP リポジトリは ML / 議事録上での議論が中心で merged PR は確認できなかった(Issue は 3 件起票)。

ML 投稿は 5 週分(Week-of-Mon-20250331、20250407、20250414、20250421、20250428)に分散し、IIW Spring 2025 期間中(4 月 8 日 火曜・10 日 木曜)の通常コールキャンセル、IIW 直前ハイブリッドミーティング(4 月 7 日 Sunnyvale)、IIW 直後ハイブリッドミーティング(4 月 11 日)、第 1 回 WGLC(4 月 13 日 Joseph Heenan 起票)、第 2 回 WGLC(4 月 22 日)、新規 APAC friendly コール枠の新設(4 月 24 日初回)、EIC 2025(5 月)に向けた Berlin hybrid meeting の登録呼びかけが主要テーマである。

2. 公開された仕様・ドラフト改訂

OID4VP draft の 4 連続改訂(25 → 28)

OID4VP は 4 月の 1 か月だけで draft 25 から draft 28 へ 4 リビジョン進行 した。それぞれの公開タイミングと主要変更点は以下のとおり。

ドラフト公開日主な変更点
draft 254 月 3 日DCQL の値マッチング明確化、trusted_authorities 追加、x509_hash 新設(x509_san_uri 削除)、DC API では Origin による応答 binding を一貫化、複数 Presentation 返却サポート、ISO mDL WG への共有用 stable link
draft 264 月 12 日verifier_attestations を authorization parameter に追加、「Client ID Scheme」→「Client ID Prefix」リネーム、JWE response header での kid 必須化、AnonCreds nonce 計算修正、credential type 必須化(W3C VC / ISO mdoc / SD-JWT VC 横断)、cryptographic holder binding なしの presentation サポート、require_cryptographic_holder_binding 新設、JARM / response signing 削除
draft 274 月 22 日vp_formatsvp_format_supported へリネーム(mso_mdoc / jwt_vc_json / ldp_vc 個別定義)、mso_mdoc / dc+sd-jwt の COSE / JOSE アルゴリズム fully-specified 必須化、AnonCreds 削除、wallet による DC API 経由の expected_origins 検証必須化、SD-JWT VCLD 節追加、mdoc value matching 仕様化、Client Identifier Prefix 固有パラメータの multi-RP DC API 要求ヘッダ配置を明確化
draft 284 月 24 日issuer / device 署名アルゴリズムパラメータをリネームし HMAC バリアント対応、JARM 由来の authorization response 暗号化機構を クライアントが許容 enc 値の配列を指定できる新パラメータ へ置換

OID4VP の Foundation 60 日パブリックレビュー開始(2025 年 4 月 24 日)

OpenID Foundation は draft 28 を対象に Public Review Period for Proposed OpenID for Verifiable Presentations Final Specification を 4 月 24 日に開始した。スケジュールは以下のとおり。

  • 60 日パブリックレビュー期間: 2025 年 4 月 24 日 〜 6 月 23 日
  • 投票通知(Notice of Vote)公開予定: 6 月 10 日
  • Early voting 開始予定: 6 月 17 日
  • 公式投票期間: 6 月 24 日 〜 7 月 1 日(7 日間)

レビュー期間中に WG が draft 改訂を必要と判断した場合は、新ドラフトを投票対象とする可能性があると当初から明記されていた。

DCQL を唯一のクエリ言語と決定(4 月 2 日告知、PR #479 で実装)

4 月 2 日、Kristina Yasuda が ML 上で「OID4VP 1.0 では DCQL を唯一のクエリ言語とし、Presentation Exchange を削除する」という WG 決定を告知した(投稿)。理由は 「インタオペラビリティを改善し市場のフラグメンテーションを回避するため」 であり、HAIP First Implementer's Draft が既に DCQL を vanilla OID4VP / DC API 経由 OID4VP の双方で必須としていることとも整合する。Michael Jones は即時に「I strongly support this change.」と返信した。

PR #479(Remove PE as a query language、Daniel Fett 起票)は 4 月 4 日にマージされ、presentation_definition および presentation_definition_uri の authorization request パラメータを削除、W3C VC / AnonCreds の DCQL ルールと例を更新した。Sakurann が「これによりクエリ言語を参照渡しする能力を失う」と指摘したが、jogu は「PE では同様の問題が既にあり DCQL でも同じ」と整理し、ML での明示的な異論募集に対しても objection なしでマージ。

AnonCreds の 1.1 後送(PR #539、4 月 15 日)

AnonCreds は draft 27 で削除された。理由は 「実装経験の不足、特に DCQL 部分」 で、「1.1 で実装経験を踏まえて再導入可能」という条件付きの一時撤去である。c2bo 起票、bc-pi、selfissued、GarethCOliver、jogu、TimoGlastra、tplooker、Sakurann の 7 名 approval を経て Sakurann がマージ。

ISO 18013-7 への参照削除(PR #546、4 月 17 日)

4 月 8 日に Timo Glastra(Animo Solutions)が「OID4VP 1.0 が 18013-7 を参照することは本当に問題(really problematic)」という ML スレッドを開始(投稿、Issue #519 を案内)。これを受け、4 月 11 日 IIW 直後コールでは「ISO 18013-7 への参照を削除し、必要な要素はインラインで再定義する」と決定された。

PR #546(Remove references to 18013-7 from OpenId4VP、GarethCOliver 起票)は 4 月 17 日にマージされ、Issue #519 をクローズ。重要な帰結は以下のとおり:

  • mDoc サポートは DC API 経由のみを 1.0 で定義 し、vanilla OID4VP 経路(カスタム URL スキーム経由のクロスデバイス mDoc 提示)は 1.0 では沈黙
  • マルチ RP 認証など未解決論点は 1.1 へ後送
  • 23220-4 への参照は 「18013-5 のための building blocks」を記述する用途で残置 され、削除対象外と整理

Sakurann は「OpenID4VP は DC API 経由でのみ mDocs サポートを定義し、vanilla OID4VP は WG の追加判断まで silent」と要旨を確認した。

authorization_encrypted_response_enc のリネームと暗号化応答パラメータ整合(PR #555、Issue #552)

4 月 16 日に Michael Jones が ML 上で「draft 26 は他仕様で定義されたパラメータを、その仕様と非互換な方法で使っている」と objection(投稿Issue #552 を案内、Final へ進む前に解決すべきと明記)。論点は:

  • PR #523(JARM 参照削除)が authorization_encrypted_response_enc を残しつつ authorization_encrypted_response_alg を削除したため、*_alg / *_enc ペアという OAuth/OpenID 慣行と不整合
  • デフォルト値が JARM の A128CBC-HS256 と OID4VP の A128GCM で食い違い、同名パラメータの再利用としては不整合

Issue #552 は 2 案を提示:

  1. authorization_encrypted_response_alg を復活させ JARM 整合に戻す
  2. RP Metadata Choices パターンに沿った複数形(authorization_encrypted_response_alg_values_supported / ..._enc_values_supported)を採用

PR #555(Rename authorization_encrypted_response_enc parameter、jogu 起票)は当初 JARM スタイルへの revert を意図していたが、4 月 23 日 EU コールでの議論を経て パラメータリネームに焦点を絞る形へ縮退、複数の review round を経て 4 月 24 日マージ、draft 28 にて反映。1 名のレビュアーが「方向性として誤っており取り戻すのが難しい」と懸念表明したが、active な反対には至らなかった。

vp_formats の刷新(PR #500、4 月 16 日)

PR #500(revamp vp formats、TimoGlastra 起票)は VP フォーマットの定義方法を抜本的に作り直した。

  • vp_formatsvp_formats_supported の定義をすべてのフォーマット間で統一
  • LDP(Linked Data Proof)定義を cryptosuite パラメータ込みに拡張、サポート方式の問い合わせを容易化
  • mso_mdoc フォーマットに IssuerSigned / DeviceSigned 個別アルゴリズム指定を導入
  • W3C 仕様の DataIntegrityProof 例に更新

motivation は「従来の定義は under-specified で PEX に依存しており、整合性に欠けていた」(Timo)。1.0 リリース前に押し込むべき breaking change と位置付けられた。WG 議論を経て条件付き approval(mdoc device-signed アルゴリズムは follow-up で扱う)でマージ。

用語統一とエラーレスポンスの DC API 整備

PRタイトルマージ日著者
#557Consistently use the term 'Client Identifier Prefix'4 月 17 日jogu
#558Replace uses of 'Relying Party' with 'Verifier'4 月 17 日jogu
#556Error responses for DC API4 月 24 日timcappalli
#544wallet must validate expected_origins in the signed requests4 月 15 日Sakurann
#551clarify that client identifier prefix specific parameters got to the header4 月 17 日Sakurann
#553clarify issuer_signed_alg_values and device_signed_alg_values4 月 24 日Sakurann
#554clarify client id prefix processing4 月 22 日Sakurann

PR #556(Error responses for DC API)は Issue #204 への対応で、ブラウザ API 層でプロトコルエラーが「fulfilled promise」として帰結する旨と、Invalid_request 形式での error 表現を明示。プライバシー考慮として 「ウォレットは詳細な protocol layer エラーを返さないことを推奨。プライバシー懸念がある場合、リクエストをプラットフォーム定義の方法で reject 可能」 と明記。Sakurann、Martijn Haring、Christian Bormann を含む 7 名 approval。

verifier_attestations の追加と revert 提案の経緯(PR #482 / #537)

PR #482(add verifier_attestations parameter to authz req、cre8 起票)は Issue #396 への対応として、authorization request に verifier_attestations パラメータを追加。2 系統の proof-of-possession を許容:

  • Claim-bound attestations: 検証者が署名するのではなく、JWT subject claim や client_id パラメータ経由で binding
  • Key-bound attestations: 検証者が attestation 内 / 関連の鍵で proof of possession を署名

レビューでは「ウォレットが(type 発見のために)すべてを最初にパースしなければならないのは嬉しくない」という懸念が出たが、validation 抜きの parsing は許容と整理し 4 月 11 日マージ。同日に Sakurann が revert PR #537Revert "add verifier_attestations parameter to authz req")を提出したが、最終的にマージされず close され、PR #482 の追加自体は draft 26 以降に残った。後続の 5 月以降は名称変更(verifier_info 化、PR #629)など継続的な再設計につながる。

Allow Presentation Without Holder Binding(PR #513、4 月 11 日)

Daniel Fett 起票、Issue #6 への対応。holder binding proof を持たないクレデンシャルの提示 を可能にした。

  • 「Verifiable Presentation」は holder binding を伴う提示、「Presentation」は一般用語、と用語整理
  • DCQL credential query に require_cryptographic_holder_binding を新設、false で binding なしを許容
  • holder binding なしの presentation を 1 件以上要求する場合、state パラメータを 必須化
  • SD-JWT VC ではパラメータ明示が必須、W3C VC では既存の format 識別子(*_vc フォーマット)が holder binding 不要を表すという「if and only if」原則
  • セキュリティ考慮: 暗号 binding なしの場合 credential replay が可能 であり、これは特定クレデンシャル種別をサポートするための意図的トレードオフと明記

purpose プロパティの除去(PR #518、4 月 11 日)

Issue #289 への対応。Sakurann が完全削除を実施。4 月 7 日コール(後述)での議論を踏まえ、verifier の purpose 表現は仕様内で扱わず、エコシステム(EU 等)レベルで対応する方針を採った。bc-pi、paulbastian、cre8、martijnharing、TimoGlastra、GarethCOliver の 6 名 approval。

OID4VCI の 4 月マージ PR

OID4VCI は IIW を挟みつつ editorial 中心に 4 件のみマージ。

PRタイトルマージ日著者
#469Clarify credential response for ISO mdoc4 月 14 日davidz25
#482fixed line breaks in section 10.1 - Notification Request4 月 15 日tlodderstedt
#483Fixes to pass publication tool4 月 27 日jogu
#485adds missing line break before a bullet list4 月 25 日tlodderstedt

PR #469 は MobileSecurityObject の AuthorizedNamespaces 参照を削除(issuer-signed data に該当しないため)。空 nameSpaces を伴う MSO のみ送信のケースについて議論があったが、「empty nameSpaces は no issuer-signed data の表現として valid。MSO は DeviceSigned data elements の返却可能性表現に必要」と整理し追加標準化は不要と判断。Sakurann、c2bo、awoie、leecam の 4 名 approval。

3. ミーティングと議論

DCP WG は 4 月、IIW Spring 2025(Mountain View、4 月 8 〜 10 日)と整合させて以下の構成で運営した。4 月 8 日(火)APAC コール、4 月 10 日(木)EU コールはキャンセル(IIW のため)。代わりに 4 月 7 日(月)Sunnyvale Google オフィスで Pre-IIW ハイブリッドミーティング、4 月 11 日(金)に Post-IIW ハイブリッドミーティングを開催。EU / Americas / APAC の通常コールも復帰し、月末 4 月 24 日(木)には新設の APAC friendly コール枠(16 時 JST、隔週)が始動した。

日付 (2025 年)区分議事録投稿者主要トピック
4 月 7 日(月)Pre-IIW Hybrid (Sunnyvale Google)Matthew Miller / Tim Capalli / Mick HansenDC API editorial PR 群、Client ID Prefix delimiter、Federation prefixing #401、Purpose 削除、PE 削除合意
4 月 11 日(金)Post-IIW HybridRajvardhan Deshmukh / Gareth Oliver(21 名)60 日パブリックレビュー進行決定、CBC vs GCM デフォルト議論、ISO 18013-7 削除、IANA アルゴリズム新設
4 月 15 日(火)AmericasGareth Oliver(18 名)WGLC 開始、AnonCreds 削除マージ、ISO 18013-7 削除マージ、SD-JWT VCLD 後送、DC API security 解析
4 月 17 日(木)EUJan Vereecken(26 名以上)形式セキュリティ解析受理、PR #546 / #551 / #555 / #556 進行、SD-JWT VC 統合論争、APAC friendly 開始予告
4 月 22 日(火)Americas / EUChristian Bormann(22 名)暗号化アルゴリズムパラメータ議論、sub claim 必須削除(PR #568)、APU/APV 鍵導出、第 2 回 WGLC 着地
4 月 24 日(木)APAC friendly(初回)Tobias Looker(15 名)mailing list プレフィックス短縮、ISO 23220-3 整合、Issue #473(first-party credential)、Issue #339(request encryption)、Issue #300
4 月 29 日(火)APACTobias Looker(15 名)EIC Berlin meeting 登録、ML プレフィックス oidf-dcp への変更、ISO 23220-3 alignment、Issue #473 / #339 / #300 議論深化

4 月 7 日 Pre-IIW Hybrid ミーティング(Sunnyvale Google、議事録: Matthew Miller / Tim Capalli / Mick Hansen)

参加者は Joseph Heenan、Kristina Yasuda、Steve、Naohiro、Christian Bormann、Paul Bastian、Mirko Mollik、Gareth Oliver、Oliver Terbu、Tim Cappalli、Gail Hodges、Aaron Parecki、Mike Jones、Matthew Miller、Dirk Balfanz、Frederik Krogsdal Jacobsen、Mitchell、Martijn Haring、Bjorn Hjelm、Helen、Brian Campbell、Daniel Fett、Dima Postnikov、Nat Sakimura、Oriol Canadés、Rajvardhan Deshmukh、Stefan Charsley、Timo Glastra、Mick Hansen、Lee、Nancy、David Chadwick、Torsten Lodderstedt、Kasper。

主要議論:

  • Verifiable Credentials Without Key Binding: 第 2 回 DCP ミーティングまでに完了目標、IIW Spring 2025 中にレビュー
  • エディトリアル PR 5 件をマージ承認: DC API 改善(#465)、JARM → JWT 参照変更(#477)、doctype_value / vct_values 必須化(#480)、ISO mdoc credential value-matching(#481)、authorization request の attachment パラメータ(#482)
  • Client Identifier Prefix Delimiter(#505): 「コロン」を区切りとする処理ルールを EOD までに volunteer がドラフト
  • Credential Fulfilling Multiple Queries(#492): 「MUST NOT」表現が問題、特に selective disclosure のないクレデンシャルでは過剰。「Presentation」より「Verifiable Presentation」を明示参照すべき。オフライン議論で refine
  • SD-JWT VCDM Naming(#459): 「VCDM のまま」「SD-JWT VCLD へ rename」「naming を完全撤去」の 3 案。bikeshedding 続行、水曜まで
  • Client ID Prefixing for OpenID Federation(#401): 議論が紛糾。Kristina は「prefixing は OID4VP 文脈では non-breaking と決定済み」と framing。Joseph は「DID と openid_federation prefix では合意あり、HTTPS フォールバック処理が論点」と整理。Mike Jones は「ある WG が他 WG の仕様に normatively contradictory なテキストを追加することへの懸念」と precedent 警告。Christian は「Final draft で既に breaking changes が必要、外部の OID4VP には影響なし」、Aaron は「インタオペラビリティのため不明瞭でない prefix 要件が必要」と続いた。金曜マージ承認、cross-WG 手続き衝突は議長 offline 対応へ
  • Error Handling in Browser API(#204): 現行は「reject ではなく resolve として扱う」方向。Wallet 選択は verifier consent を構成しない。プラットフォーム / プロトコル / ウォレットの 3 カテゴリ。週内 consensus を Final draft へ
  • VP Format Specifications and Crypto Suites(#500): Timo「mDOC と SD-JWT で fully-specified の有無に整合性が必要」、Martijn「重大影響あり議論要」、Torsten「OID4VP のプライバシー保全に関連」
  • Purpose Property in Credentials(#289): David Chadwick「verifier 不信前提を疑問視、trust infrastructure があれば signed request 不要」、Lee「自由形式テキストは phishing 懸念、enum はスケールせず、撤去すべき」、Torsten「事前合意 purpose リストは機能しない、ランダム選択 purpose では phishing 防止に役立たない」、Christian「現時点では撤去同意、解決はエコシステム(EU)レベル」。purpose 一時撤去で合意、PR #518 として実施

4 月 11 日 Post-IIW Hybrid ミーティング(議事録: Rajvardhan Deshmukh / Gareth Oliver、21 名出席)

Joseph Heenan、Kristina Yasuda、Brian Campbell の他、Google / Ubisecure / Turing Space ほか参加。

  • Public Review プロセス: 60 日パブリックレビューを進める 決定、合意形成された機能は追加可能、必要なら期間中に削除も可能
  • 暗号化アルゴリズム: Oliver が「デフォルトの CBC vs GCM」を再検討提案。IANA JOSE registry の「A128GCM is Recommended for JWE implementations」を参照、OID4VP 内で新規 IANA アルゴリズム値を定義 することで合意
  • Fully-specified algorithm の定義: 「曲線とハッシュ関数を含む暗号操作を完全に決定するもの」と確定
  • ISO 18013-7 への参照削除: WG として削除を決議、必要要素はインラインで再定義
  • Device 署名・multi-signing サポート・credential matching ルールの PR 群 をマージ承認
  • アクション: Lucas のコメント(PR #401)はパブリックレビュー期間中に対応、Oliver が CBC vs GCM デフォルトの issue 起票、Brian が JARM 例の issue 起票、Paul が PR #513 を keybinding 要件で更新、Martijn が MAC 操作向け fully-specified 定義の issue 起票
  • 未解決: 2 件の PR が Final 化前に残存、プライバシー考慮の整合議論を別途設定

4 月 13 日: 第 1 回 WGLC 開始(Joseph Heenan、ML 投稿)

WGLC for OpenID for Verifiable Presentations Final を Joseph Heenan が起票、4 月 20 日までの 7 日間 WG 内 review を呼びかけ。WGLC 中に取り込む normative 変更として以下の 4 点を明示:

  1. VP Format の刷新(PR #500 系)
  2. mDocs の値マッチングを cbor-to-json 参照経由で実装
  3. ISO 18013-7 への参照削除(OID4VP ID2 との混同回避)
  4. AnonCreds の 1.1 後送(DCQL での実装経験不足)

加えて editorial 系の追加変更と、SD-JWT VCLD の取り扱いを別途議論する旨を予告。

第 1 回 WGLC への反応(4 月 14〜 15 日)

Stefan Charsley、Paul Bastian、Torsten Lodderstedt が「+1 support proceeding to public review」と即時賛成。一方で重要な objection が 2 件:

  • Michael Jones: draft 26 の authorization_encrypted_response_enc パラメータが「他仕様で定義されたパラメータを非互換な方法で使っている」(Issue #552)、Final 進行前に解決すべき
  • Tom Jones: 「i do not believe the spec is ready」と明言、Issue #333(verifier authentication / GDPR 適合性)を根拠に進行に反対

Joseph Heenan は 4 月 17 日付 Update on WGLC for OID4VP で、「WGLC 開始以降、相当量の last minute feedback と activity があった」と認めつつ、火曜コールで残りの normative PR をマージし、短期間の 第 2 回 WGLC を経て、順調なら木曜にパブリックレビュー開始、6 月末リリースの予定を維持すると説明。Tom Jones の懸念に対しては別途 返信 を起票し、「仕様が誤用されうるという点は同意。ただし x509_san_dns のような verifier 識別機構は存在し、verifier authorization は EU 規制側で対応中。Tom の objection が『不十分な user consent』なのか『単に informed consent のレベル』なのかが論点を決める」と論点整理を提示。

4 月 15 日 Americas コール(議事録: Gareth Oliver、18 名出席)

参加者は Gareth Oliver、Kristina Yasuda、Joseph Heenan、Torsten Lodderstedt、David Waite、Aaron Parecki、George Fletcher、Michael Jones、Peter Sorotokin、Christian Bormann、Daniel Fett、Martijn Haring、Oliver Terbu、Tobias Looker、David Zeuthen、Stefan Charsley、Hicham Lozi、Dima Postnikov。

  • WGLC 開始: 残 PR をマージし readiness を確認
  • AnonCreds 削除マージ(PR #539)
  • ISO 18013-7 参照削除: 「circular dependency を 1.0 で解消する late-stage な変更」と認識しつつマージ、追加議論は木曜へ
  • 形式セキュリティ解析レビュー: OID4VP over DC API について expected_origins 検証要件を中心に確認
  • CBOR-to-JSON 変換: 参照テキストは non-normative、out-of-scope の変換は許容
  • VP Formats Revamp: open issue 残存、mdoc 実装詳細の解決必要
  • エラーハンドリング: 「成功 API レスポンス内で Invalid_request 形式」で consensus
  • SD-JWT VCLD 追加: 木曜議論へ
  • APAC friendly コール(隔週)の Japan / Australia 時間帯対応 を schedule

4 月 17 日 EU コール(議事録: Jan Vereecken、26 名以上)

Steffen Schwalm、Torsten Lodderstedt、Kristina Yasuda、Michael Jones、David Chadwick らが参加。

  • 形式セキュリティ解析の正式受理: 修正なしで受理
  • PR マージ: PR #546(18013-7 削除)異論なし、PR #551(DC API リクエストの client identifier パラメータ)approval 後マージ
  • Pending: PR #555(authorization 暗号化の JARM 整合)は 4 月 22 日マージ目標、PR #556(DC API のエラーレスポンス)は Gareth が privacy 節を追加後にマージ
  • SD-JWT VC 統合(PR #459): 「VCDM のすべてのプロパティが保持されている」と PR 著者、これに Steffen(EBSI 代表)が異議。WG は技術的根拠と具体的代替案の提示を要請、テスト目的で条件付きマージ
  • APAC friendly コール開始予告: 4 月 24 日初回、隔週
  • WGLC 残 PR: あと 5 件で Final 化

4 月 22 日 Americas / EU コール(議事録: Christian Bormann、22 名出席)

Andrew Regenscheid、Bjorn Hjelm、Brian Campbell、Daniel Fett、David Waite、Kristina Yasuda、Michael Jones、Oliver Terbu ほか。

  • 暗号化アルゴリズムパラメータ: JARM スタイルの dual パラメータに戻すか、既存パラメータをリネームするか議論。Brian Campbell は「JARM 命名は避けるべき」と主張、配列 / ペア値で複数アルゴリズム+暗号化の組み合わせサポートを提案する声も
  • SD-JWT VC の sub claim: VCLD プロファイルから sub 必須を撤去(Issue #567 / PR #568)。subject 情報はペイロードに置くべきで、すべての仕様で必須化する必要はないと再確認
  • JSON-LD 処理: Oliver Terbu が「完全な JSON-LD 処理を持たない実装向け」修正を提示(PR #563)。代替手段で type 計算可能に
  • APU / APV による暗号鍵導出: Kristina が「lazy verifier vulnerability 対策として APU / APV を導出に組み込む」提案。consensus は base spec ではなく profile で定義
  • 第 2 回 WGLC: 残 PR 完了次第進行、profile indicator は Final publication 前に追加で合意

4 月 22 日: 第 2 回 WGLC(Joseph Heenan、ML 投稿)

Second WGLC for OID4VP。4 月 24 日 EOD までの 2 日間という極めて短い期間で再度合意を確認。残作業は Mike Jones 提起のパラメータリネーム(PR #555)、Tom Jones 提起 issue への対応、レビュー中の non-breaking 改善のみ。「仕様は終わりではなく長い旅程のひとつのマイルストーン。レビュー期間中のコメントは投票前の改訂を促す可能性がある」と Joseph が再確認。

スレッドには Stefan Charsley、Michael Jones、Paul Bastian、Tom Jones、Torsten Lodderstedt、Tobias Looker、Daniel Fett、Oliver Terbu、Lee Campbell、Christian Bormann、Bjorn Hjelm ほか 13 件の返信がぶら下がり、最終的に Foundation 60 日パブリックレビュー開始(4 月 24 日)に至った。

4 月 24 日 APAC friendly コール初回(議事録: Tobias Looker、15 名)

参加者は Lee Campbell、Joseph Heenan、Martijn Haring、Christian Bormann、Torsten Lodderstedt、Paul Bastian、Daniel Fett、Mirko Mollik、Brian Campbell、Gareth Oliver、Andres Olave、Peter Sorotokin、Andrew Regenscheid、Kristina Yasuda、Tobias Looker。

  • Berlin DCP イベント: Eventbrite で pre-EIC(5 月 5 日)/ post-EIC(5 月 8 日)登録開始
  • ML プレフィックス: [Openid-specs-digital-credentials-protocols][oidf-dcp] に短縮する案
  • ISO 23220-3 整合: OID4VCI と HAIP を「23220-3 が指し示せる」よう整備し、ISO 18013-7 相当機能を備える方向で議論。異論なく consensus
  • Issue #473(First-party credential requests): 発行中の OID4VP リクエストを伴う credential offer など、issuance 中の dynamic credential 選択をどうサポートするか。「presentation protocol の不要な重複」を懸念する声も
  • Issue #339(Request encryption): ウォレットがリクエスト暗号化できるよう JWK を露出。Joseph「request encryption は response encryption をより有用 / 強力にするための missing piece
  • Issue #300: 簡単に紹介、1.0 含めるかをコミュニティレビュー要請(時間切れ)

4 月 29 日 APAC コール(議事録: Tobias Looker、15 名)

参加者は前回と重複。EIC Berlin meeting(5/5、5/8)の Eventbrite 登録、ML プレフィックスの oidf-dcp 化、ISO 23220-3 タスクフォースとの alignment 進捗が共有された。Issue #473(First-party credential requests)、Issue #339(Request encryption)、Issue #300(Notification)の議論を深化させ、5 月以降のハイブリッドミーティングへ持ち越した。

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML(親アーカイブ)は週次インデックス形式。4 月の 5 週分(Week-of-Mon-20250331、20250407、20250414、20250421、20250428)には WG 決定告知、WGLC 開始 / 反応、議事録共有、Berlin meeting 登録案内、形式セキュリティ解析配布が集中した。技術討議の主舞台は議事録と GitHub だが、ML は WG 決定の一次告知と objection の正式記録として機能した。

4.1 DCQL as the only query language in OpenID4VP Final 1.0 — 2025-04-02(Kristina Yasuda)

DCP WG 共同議長として、Presentation Exchange を OID4VP Final 1.0 から削除し DCQL を唯一のクエリ言語と決定 する WG 判断を告知。判断根拠は「インタオペラビリティ向上と市場フラグメンテーション回避」。HAIP First Implementer's Draft が既に DCQL を vanilla / DC API 経由の双方で必須としていることとも整合する。Michael Jones は即「I strongly support this change.」と返信。本告知が PR #479 マージ(4 月 4 日)と draft 27 での AnonCreds 削除(4 月 22 日)の起点となった。

4.2 Referencing ISO 18013-7 in OpenID4VP is problematic — 2025-04-08(Timo Glastra)

Animo Solutions の Timo Glastra が「OID4VP 1.0 が 18013-7 を参照することは本当に問題」と強い言葉で警鐘を鳴らし、Issue #519 を案内。本投稿が 4 月 11 日 Post-IIW コールでの「18013-7 参照削除合意」と PR #546 マージ(4 月 17 日)の直接の引き金となった。1.0 では mDoc サポートを DC API 経由のみに限定 し、vanilla OID4VP 経路は 1.1 以降へ後送する戦略を確定させた重要スレッド。

4.3 Report on Model and Security Properties OID4VP+DC API — 2025-04-15(Joseph Heenan)

DCP WG 委託の OID4VP + W3C Digital Credentials API の形式モデルとセキュリティ特性に関する解析 draft を ML に共有(PDF 約 1MB の attachment)。スコープは「(A) Model and Security Properties: 既存の OID4VP プロトコルの形式モデルを DC API を含む形に適応・拡張」。本解析の draft 段階で 2 件の重要 issue が即日 GitHub に起票された:

  • Issue #541 — DC API での audience 値処理の明確化(「audience は client_id」が現状記述だが「DC API では origin」が正しい、Section 14.1.2 の更新要求)
  • Issue #542 — wallet が DC API 経由で expected_origins を検証することの明示化(PR #544 で 4 月 15 日マージ)

この解析は後の 5 月、8 月の整備を経て、最終的に「シュトゥットガルト大学情報セキュリティ研究所による形式検証、claims unforgeability 証明」として 2025 年 8 月 20 日に公表される(5 月 / 8 月レポート参照)。

4.4 WGLC for OpenID for Verifiable Presentations Final — 2025-04-13(Joseph Heenan)

第 1 回 WGLC を起票。WGLC 中に取り込む normative 変更 4 点(VP Format 刷新、mdoc 値マッチング、ISO 18013-7 削除、AnonCreds 後送)と、editorial / SD-JWT VCLD 議論の取り扱いを明示。返信スレッドには:

  • Stefan Charsley / Paul Bastian / Torsten Lodderstedt から「+1 support」
  • Michael Jones から「authorization_encrypted_response_enc の不整合(Issue #552)、Final 前に解決すべき」
  • Christian Bormann / Jan Vereecken / Mirko Mollik / Tom Jones / Oliver Terbu から条件付き / 慎重 / 反対のコメント

が連なり、第 2 回 WGLC(4 月 22 日)と Foundation 60 日パブリックレビュー開始(4 月 24 日)への足掛かりとなった。

4.5 WGLC for OpenID for Verifiable Presentations Final(Tom Jones の objection) — 2025-04-15(Tom Jones)

i do not believe the spec is ready」と明言、Issue #333 を根拠に進行を拒否。後の 4 月 22 日に Joseph Heenan が長文の返信(投稿)で「OID4VP は誤用可能だが、x509_san_dns 等の verifier 識別機構は存在し、verifier authorization は EU 規制側で対応中。Tom の objection が『不十分な user consent』なのか『単に informed consent のレベル』なのか、論点を明確化する必要」と返した。Tom Jones の objection を完全に解消することなくパブリックレビューに進行する形となった。

4.6 Pre & during EIC DCP WG meetings: registration required — 2025-04-15(Joseph Heenan)

EIC 2025 期間中の Berlin hybrid meeting 登録呼びかけ。5 月 5 日(月)12:00〜 16:00 CET(Bundesdruckerei 主催)と 5 月 8 日(木)14:00〜 18:00 CET の 2 回設定、Eventbrite で in-person / virtual 双方の事前登録を要請。「アジェンダ計画に必要なため virtual でも登録してほしい」「in-person は first-come, first-served で席数限定」と明示。

4.7 議事録投稿スレッド一覧

4 月の議事録共有投稿は以下の通り。

5. GitHub 上の議論

OpenID4VP(openid/OpenID4VP

4 月マージ PR は 50 件超。Final 化への駆け込みで editorial 連発、用語統一、normative breaking change の集中マージとなった。注目 PR は §2 で詳述。新規 issue で議論が活発だったものを以下に挙げる。

Issue #541 - Security considerations: clarify treatment of audience values in DC API

awoie がアサインされた 形式セキュリティ解析 draft 由来の Issue(4 月 12 日起票)。Section 14.1.2 が「audience は client_id でなければならない」としているが、DC API 経由の場合は「audience は常に DC API が assert する origin」が正しい。Final 1.0 マイルストーンで PR #465 とともに対応された。

Issue #542 - Add text requiring wallet to check expected_origins

jogu が 4 月 12 日起票、シュトゥットガルト解析 draft 由来。「DC API 経由の signed request 内 expected_origins を、wallet が DC API claimed origin と照合することを仕様で明示要求していない」というギャップ指摘。Sakurann がアサイン、PR #544(4 月 15 日マージ)で対応、Final 1.0 マイルストーン。

Issue #552 - Encrypted Response Parameter Inconsistency

Michael Jones が 4 月 16 日起票、第 1 回 WGLC への objection の根拠。PR #523(JARM 参照削除)が *_alg を削除し *_enc のみ残したことで JARM 由来パターンが破れたという指摘。JARM 整合への revert vs 複数形(*_values_supported)採用 の 2 案を提示。jogu アサイン、PR #555(4 月 24 日マージ)で対応、Final 1.0 マイルストーン。

Issue #562 - vp_token validation when it contains multiple presentations / credentials

martijnharing が 4 月 17 日起票。Section 8.6 が「いずれかのチェック失敗で vp_token 全体を reject すべき」とするのは、複数クレデンシャルを返すレスポンスで「trust chain 不足で 1 件検証不可だが他は valid」というシナリオで過剰、と指摘。「個別エントリの失敗時はそのエントリのみ reject すべき」との clarification を求める。jogu アサイン、PR #566(4 月 22 日マージ)で対応、Final 1.0 マイルストーン。

Issue #567 - remove sub from list of in section B.3.7.1.

tlodderstedt が 4 月 18 日起票。SD-JWT VC を Linked Data ペイロードのラッパーとして扱う設計と、sub 値の利用必須化が不整合。subject identifier はクレデンシャルペイロード内に既に存在する。tlodderstedt アサイン、PR #568(4 月 22 日マージ)で対応、Final 1.0 マイルストーン。

Issue #578 - Client identifier prefix overload and binding to trust frameworks

Razumain が 4 月 25 日起票。「client identifier は単なる識別子であるべきで、その entity をどう信頼するかの判断を encode すべきでない」 という根本的な異議。EUDI ウォレット統合における実装困難さと、欧州での動的な trust framework(Trusted Lists、OpenID Federation など)の発展を踏まえ、「prefix を新設するのは EU services の prefix 選択を制御できない以上、解決にならない」と主張。1.2 or later マイルストーン、pending-close ラベル。

Issue #579 - Client Identifier Prefix and URL ambiguity

erincandescent が 4 月 28 日起票。OAuth 2.0 / OIDC で URL を sub / client_id / aud に使う実装と、Client Identifier Prefix が URL scheme と区別できない問題を指摘。RFC 3986 の URI scheme 構文(scheme = ALPHA *( ALPHA / DIGIT / "+" / "-" / "." ))と現行 prefix の多くがアンダースコアを含むため衝突しないが、origin のみ valid な URI scheme に該当 という分析を提示。originweb_origin にリネームすべき、また Client Identifier Prefix を [a-z][a-z0-9]*(_[a-z0-9]+)+ パターン必須にする registry 提案。1.2 or later マイルストーン。

Issue #581 - FR: Deferred Presentation over DC API

GarethCOliver が 4 月 29 日起票。DC API 経由の deferred presentation をサポートする feature request。

OpenID4VCI(openid/OpenID4VCI

4 月マージ PR は editorial 中心の 4 件。新規 issue は #477(OIDC Server protects Credential Issuer の clarification、即日 close)、#479(authz details で doctype 必須、6 月 closed)、#480(mdoc バッチ発行、6 月 closed)、#484(Wallet Request Forgery) が重要。

Issue #484 - Wallet Request Forgery

FabriceBIT が 4 月 22 日起票。OID4VCI Pre-Authorized Code Flow における SSRF 様の攻撃ベクタ を指摘。

  • ウォレットは信頼できないかもしれない issuer から提供された URI に web request を発行する設計
  • Content Leakage: 内部サービスが token response 形式に近い JSON を返す場合、悪意ある issuer がデータを抽出可能。vct integrity check を悪用し、エラー応答からファイル存在を露呈
  • Internal Service Manipulation: token / credential request の POST は issuer が完全に制御、外部公開意図のない内部サービスに攻撃可能

提起された問い: ウォレット実装はどう緩和すべきか、blacklist は実用可能か、セキュリティ考慮として文書化すべきか。1.1 or later マイルストーン、question ラベル。

HAIP(openid/oid4vc-haip-sd-jwt-vc

HAIP リポジトリは 4 月マージ PR は確認できず(議論は ML / 議事録上で進行)、新規 issue 3 件が確認できる。いずれも 1.0 Final マイルストーン。

Issue #182 - Update wording from Client Identifier Scheme to Client Identifier Prefix

c2bo が 4 月 3 日起票。OID4VP の PR #466(Client Identifier Scheme → Prefix リネーム)に追従した HAIP 側用語更新の同期タスク。editorial / has-PR ラベル、PR #187(後続)で対応。

Issue #183 - Claim based binding in OpenID4VP in HAIP

samuelmr が 4 月 15 日起票。Section 8 の note が Bitbucket 旧 issue(既にクローズ・参照不能)を引用しているという問題と、「cryptographic holder-binding を必要としないクレデンシャルについての現状の WG 思考」の clarification 要求。3 案(参照更新 / リンク削除 / note 全削除)を提示。PR #187 で対応。

Issue #184 - Not all credentials are high assurance, should HAIP support those other cases?

jogu が 4 月 30 日起票。「シネマチケットやロイヤリティカードのような high assurance を必要としないクレデンシャル は存在する。HAIP ウォレットはすべての HAIP 機能をサポートすべきだが、issuer は常に high assurance を要求するわけではない」という観点から、issuer metadata で必要なセキュリティ機能を表現可能とし、wallet attestation などを optional とする緩和案 を提示。c2bo アサイン、has-PR / iso23220-3 ラベル、後の PR #263 で対応。HAIP の構造変更につながる重要 issue。

6. 関連イベント

IIW Spring 2025(Mountain View、4 月 8〜 10 日)

Internet Identity Workshop XL(Spring 2025)が Computer History Museum で開催。DCP WG メンバーは 4 月 7 日(月)に Sunnyvale Google オフィスで Pre-IIW DCP ハイブリッドミーティングを実施した後、IIW 期間中の通常コール(4 月 8 日 火曜 APAC、4 月 10 日 木曜 EU)はキャンセル。4 月 11 日(金)には Post-IIW DCP ハイブリッドミーティングを開催し、IIW で得たフィードバックを WGLC 開始判断に反映させた。

ISO SC17 WG10 Virtual Meeting(4 月中旬)

Kristina Yasuda が 4 月 3 日付 ML 投稿(OIDF liaison documents circulated to ISO SC17 WG10)で、HAIP First Implementer's Draft、OID4VP draft 25、ISO 要件対応状況ドキュメントを SC17 WG10 に circulate した旨を告知。バーチャル会議後、ISO WG10 が「すべての ISO 要件は addressed されている」と確認 したことを ML で別途共有(ISO Requirements Update)、apu / apv 議論や mdoc プロファイル alignment ドキュメントを更新した。

EIC 2025 ハイブリッドミーティング登録開始(4 月 15 日)

5 月 5 日 Berlin Bundesdruckerei 開催の Pre-EIC ミーティング、5 月 8 日の Post-EIC ミーティングの Eventbrite 登録を 4 月 15 日に Joseph Heenan が告知。「席数限定、in-person / virtual 双方の事前登録必須」と運用が明確化された。

APAC friendly コール枠の新設(4 月 24 日初回)

Joseph Heenan が 4 月 15 日付 ML 投稿で告知。「16 時 JST(東京時間)、木曜、隔週運用」 の新枠で、Doodle ポール結果に基づき決定。既存の APAC コール枠は「Americas friendly」へ rebrand され、WG コールは EU / Americas friendly / APAC friendly の 3 本体制に拡大された。

7. 今後の予定(2025 年 4 月末時点の視点)

4 月末時点で見えていた継続課題と次月以降の動き:

  • OID4VP 60 日パブリックレビュー進行: 4 月 24 日 〜 6 月 23 日、6 月 10 日に Notice of Vote、6 月 24 日 〜 7 月 1 日に投票予定。レビュー期間中に新ドラフトを起こし投票対象を変更する可能性あり
  • OID4VCI WGLC への助走: WGLC 直前段階、IIW 期間に獲得した implementation feedback を Editor's Draft へ反映する整備期間
  • EIC 2025 ハイブリッドミーティング: 5 月 5 日 Bundesdruckerei、5 月 8 日 Post-EIC。EIC 週は通常コール全休止
  • HAIP のパブリックレビュー入り: Issue #183 / #184 など重要 issue を解決後、6 月入りを目標
  • ISO 18013-7 削除に伴う mDoc サポートの再整理: 1.0 では DC API 経由のみ、vanilla OID4VP 経路は 1.1 へ後送
  • verifier_attestations 系の再整備: PR #482 マージ直後に提出された revert PR #537 が close 扱いとなり、追加自体は残った経緯を踏まえつつ、5 月以降に名称変更(verifier_info 化)等の再設計が継続
  • Tom Jones objection への継続対応: パブリックレビュー期間中の議論継続
  • Issue #473(Presentation During Issuance): APAC コールで起こった OAuth for first-party / OID4VP request 同時送信案の議論を 5 月以降深化
  • 形式セキュリティ解析の最終版: 4 月共有された draft をベースに、後続改訂と整合をとる
  • APAC friendly コール枠の隔週運用: 4 月 24 日初回、5 月以降も継続

8. 参考情報源