idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025年5月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC / SD-JWT VC / ISO/IEC 18013-5 mDL など)の発行・提示・交換に関わるプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID4VC High Assurance Interoperability Profile (HAIP)、Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda、Joseph Heenan(Authlete)、Brent Zundel(Yubico)他。EU・APAC・Americas の 3 地域で毎週コールが開催される。

2025 年 5 月の DCP WG は EIC 2025(ベルリン、5 月 6〜 9 日)に合わせた集中ハイブリッドミーティング月 であり、また OID4VP 1.0 を Final 化レーンに乗せた決定的な月 であった。重要トピックは以下の 4 点に集約される。

  • 5 月 5 日 / 8 日のベルリン Bundesdruckerei 開催ハイブリッドミーティング — EIC 2025 直前に集中討議を行い、OID4VP の 6 月末 Final 化、OID4VCI の WGLC 直前準備、HAIP のパブリックレビュー目標(翌月)を確定。通常の APAC / EU / Americas 火・木コールは EIC 週はキャンセルとされた
  • 5 月 5 日: NIST NCCoE 連携の Real-World Interop Demonstration — 8 ウォレット × 7 検証者の 224 ペア中 153 テストを実行し 90% 以上の成功率。Microsoft / Google / 1Password / SpruceID / MATTR / Bundesdruckerei / Animo / Scytales / Panasonic 他、米国・日本・欧州の 3 地域から参加。OID4VP draft 28 + DC API + DCQL を中核に検証
  • OID4VCI ラストスパート(10 PR マージ)と OID4VP Final 化集積(15 PR マージ) — OID4VCI では PR #487(Dynamic Credential Request 削除)、PR #478(DPoP nonce)、PR #490(HTTP 200 修正)、PR #492(pending_issuance 移動)が中心。OID4VP では PR #593(meta 必須化)、PR #589(配列空禁止)、PR #592(CBOR エンコーディング参照削除)、PR #536(暗号化レスポンス例追加)、PR #605(multi-sign 識別子整理)が集約された
  • 編集系の地ならしと issue ストック蓄積verifier_attestationverifier_attestations の命名衝突(OID4VP Issue #613)、nonce / client_id 必須化と QES の対立(Issue #612)、ECDH+KDF+HMAC の interop(Issue #608)、Credential Response 暗号化と JWK integrity(OID4VCI Issue #506 / #507)、.well-known パスの IETF 整合(Issue #526)といった Final 化前の論点が蓄積。多くは 6 月以降の PR でクローズされる

ML 投稿は 5 週分のインデックス(4/28 開始週、5/5、5/12、5/19、5/26)に分散し、議事録共有、コール agenda、コールキャンセル通知、Berlin meeting 場所案内が中心である。OpenID4VCI リポジトリでは 5 月マージ PR が 10 件、OpenID4VP リポジトリでは 15 件、HAIP リポジトリでは 2 件 がマージされた。新規 issue は OID4VCI 12 件、OID4VP 12 件、HAIP 8 件。

2. 公開された仕様・ドラフト改訂

OID4VP draft 28 の公開レビュー進行中

OID4VP draft 28 は 4 月 24 日に Foundation 公式 60 日パブリックレビュー(〜 6 月 23 日)が開始されており、5 月はこのレビュー期間の中盤に当たる。レビュー期間中も Editor's Draft として PR がマージされ続け、5 月末時点では「draft 28 を投票対象とするか、レビューフィードバックを反映した新ドラフトを起こすか」の判断は未確定であった(後の 6 月 10 日に draft 29 を投票対象とする決定がなされる)。

OID4VCI WGLC への助走

OID4VCI 側は 5 月時点で WGLC 前の最終整備期間にあり、5 月 27 日 Americas コール(議事録: Joseph Heenan)では「WGLC 開始のために 21 件の open PR の包括的レビューを WG メンバーに依頼」する旨が共有された。「WGLC を soon に開始したい」というスケジュール感は明示されたが、実際の WGLC アナウンスは 6 月 24 日に持ち越された。

HAIP の編集系整備

HAIP(openid/oid4vc-haip-sd-jwt-vc)では 2 件の編集系 PR がマージされた。

PRタイトルマージ日著者
#173Clarify #6.1 statements5 月 20 日martijnharing
#172Remark that trust mechanisms are out of scope5 月 21 日c2bo

PR #172 は HAIP のスコープ境界を明文化する重要 PR で、「Trust Management、すなわち issuer がどのクレデンシャルを発行する権限を持つかという認可」「X.509 PKI に依拠する信頼確立」を 本バージョンの対象外 と明記。lj-raidiam が「trust certificate に関する記述を別 bullet に分離すべき」とリクエスト、jogu / TimoGlastra / peppelinux / Sakurann のレビューを経てマージ。HAIP は 6 月にパブリックレビュー入りを目指す という 5 月 22 日 APAC コール議事録の方針表明と整合する地ならしであった。

並行して APAC コール(5 月 22 日)議事録では Kenichi Nakamura による「ISO は HAIP の意味を理解していない」という指摘が共有され、ISO WG4 のバッチ発行と draft 23220 周辺要件の明確化が優先課題として挙げられた。これは 6 月 11 日の ISO 合同会議に持ち越された。

OID4VCI 編集系 PR のラストスパート(10 件)

PRタイトルマージ日著者
#519clarify that x5c, jwk and kid are mutually exclusive5 月 29 日Sakurann
#518clarify should is non-normative5 月 28 日Sakurann
#516define proof_signing_alg_values_supported for attestation proof type5 月 30 日awoie
#498make ISO mDL language more general5 月 23 日awoie
#492Move issuance pending from Deferred Credential Error Response to Deferred Credential Response5 月 30 日paulbastian
#490rework the Credential Response text, fix immediate issuance to have HTTP 200 status code5 月 29 日paulbastian
#488Various arrays can't sensibly be empty, add non-empty to definitions5 月 15 日jogu
#487Remove the Dynamic Credential Request section and associated content5 月 15 日bc-pi
#486format list5 月 1 日cre8
#478Add DPoP Nonce to Nonce Endpoint5 月 15 日paulbastian

PR #487 (Remove Dynamic Credential Request section)

Issue #145 / #103 の長期未解決問題への対応。Sakurann は「PR #473(Presentation During Issuance)の前にマージしないでほしい」と慎重姿勢だったが、jogu は「この機能を実装した者は誰もおらず、現状では完全に定義されていない」と反論。tplooker も「現状の状態では実装可能ですらない」と続いた。最終的に Issue #473(Presentation During Issuance)が 1.1 のスコープ へ後送される判断(5 月 1 日 EU コール)を前提に、未完成セクションの削除をもって 1.0 を着地させる方針で合意。jogu / tplooker / paulbastian の approval を経て 5 月 15 日マージ。

PR #478 (Add DPoP Nonce to Nonce Endpoint)

paulbastian 起票、Issue #412 への対応。nonce endpoint レスポンスで DPoP nonce も同時に返す ことで、credential issuance フローのラウンドトリップを 1 回削減する最適化。Sakurann は「WG 議論で『1 ラウンドトリップ削減によるリソース節約』と『実装が容易だという implementation feedback』が確認された」とコメント。bc-pi、c2bo、jogu、tplooker の 4 名 approval を経て 5 月 15 日マージ。Final 1.0 マイルストーン。

PR #490 (HTTP 200 for immediate issuance) と PR #492 (pending_issuance / interval 移動)

paulbastian の連携 PR。(1) Credential Response エンドポイントが即時発行時にも誤って 202 を返す仕様だった のを 200 に訂正、(2) pending_issuance パラメータが Deferred Credential Error Response 内に置かれていたのを、通常の Deferred Credential Response 内へ移動interval パラメータも同様に移動の上で必須化。tplooker は「interval を defer 時に必須にすべきか」と Joseph Heenan と議論したが、最終的に必須化に着地。Sean Loope が「クレデンシャルが発行されないケースの扱い」を懸念したが、これは別 issue(後の Issue #532「deferred credential response が issuer の発行中止意思を示す方法を明確化」、jogu 起票)として分離。(資料: 5 月 22 日 EU コール議事録、Daniel Fett 投稿より)

PR #498 (ISO mDL の用語一般化)

awoie 起票、Issue #356 への対応。OID4VP 仕様で使われる ISO mDL フォーマット識別子の言い回しと OID4VCI の表現を整合させる editorial 変更。GarethCOliver / tplooker が初期 approval、Sakurann は「ISO 23220-1 への参照は不要」として一部削除を要求、これを反映後 jogu が approval し editorial ラベルでマージ。

OID4VP Final 化集積(15 件)

PRタイトルマージ日著者
#618Editorial: Fix type_values example for W3C VC5 月 30 日awoie
#611add few more missing contributors that we know have CA5 月 21 日Sakurann
#609Fix spelling of Timo's name5 月 16 日jogu
#607Add Matthew Miller to Acknowledgements5 月 16 日MasterKale
#605Adjusted reference for single/multi sign requests5 月 16 日awoie
#596ed: fix title in 23220-2 reference5 月 13 日awoie
#593make the meta parameter required5 月 13 日c2bo
#592Remove reference to CBOR-encoding the JWK thumbprint in OpenID4VPDCAPIHandoverInfo5 月 14 日MasterKale
#589Explicitly state that various arrays need to be non-empty5 月 8 日jogu
#588Move verifier_attestations IANA consideration to correct section5 月 8 日jogu
#586fix: typo in document history5 月 2 日TimoGlastra
#584Fix language implying verifier_attestations was mandatory5 月 8 日jogu
#583Add IANA considerations for encrypted_response_enc_values_supported5 月 2 日jogu
#582Remove now unused reference to JARM spec5 月 2 日jogu
#536add example of response encryption5 月 13 日bc-pi

PR #593 (meta パラメータの必須化)

c2bo 起票、Issue #590 への対応。DCQL クエリにおいて meta フィールドを optional から required へ昇格。「将来必要になった場合の breaking change を避けるため、空オブジェクト {} を許容する形で必須化」する設計判断。charsleysa(5/7)、paulbastian(5/8)、mickrau(5/8)、awoie(5/12)の 4 名 approval を経て Sakurann がマージ。Final 1.0 マイルストーン。

PR #592 (OpenID4VPDCAPIHandoverInfo の CBOR エンコーディング参照削除)

MasterKale 起票。OpenID4VPDCAPIHandoverInfo 構造内で JWK thumbprint を CBOR エンコードする旨の参照を削除。5 月 8 日 EU コールでは「空パラメータは省略すべきか、明示的に unconstrained と書くべきか」を 3〜 4 名でレビュー継続中、と議論された(議事録 2025-05-08 より)。

PR #536 (Response encryption example 追加)

bc-pi 起票、Issue #520 への対応。OID4VP の encrypted response の具体例(JWE 形式、ECDH-ES + A128GCM)と、対応する request side の jwks 例、デコード可能な秘密鍵を仕様に追加。c2bo はレビュー中に実際に暗号化されたペイロードをデコード・復号して内容の正しさを検証 したという過程が記録されている。6 名のレビュアー(c2bo を含む)の approval を経て 5 月 13 日マージ。

PR #589 / #584 / #588 (jogu 連発の verifier_attestations 系統一)

5 月 8 日のベルリン hybrid meeting で集中レビューされた jogu 起票 3 PR。verifier_attestations パラメータの 必須性に関する曖昧表現の修正 (#584)、IANA Considerations の節配置修正 (#588)、配列が空であってはならない旨の明示 (#589)。いずれも editorial / clarification ながら Final 1.0 直前の文書整合に必須の修正であった。

3. ミーティングと議論

5 月の DCP WG は EIC 2025(ベルリン、5/6〜 9)に合わせて運営方針が大きく変更された。5 月 5 日(月)と 5 月 8 日(木)にベルリン Bundesdruckerei 本社でハイブリッドミーティングを開催、これに伴い 5 月 6 日(火)APAC コール、5 月 8 日(木)EU / EU-friendly コール、5 月 6 日(火)APAC-friendly コールはすべてキャンセル(Kristina Yasuda、5 月 5 日告知)。EIC 週明け以降は通常の週次コールに復帰した。

日付 (2025 年)区分議事録投稿者主要トピック
5 月 1 日(木)EUMirko Mollik(12 名相当)hybrid meeting への移行、openid-DCP プレフィックス変更、ISO WG4 整合、Issue #473 / #145 / #300 / #410 / #480
5 月 5 日(月)Berlin HybridJoseph Heenan(Timo Glastra / Christian Bormann 共同記録、24 名出席)OID4VP 6 月 30 日リリース目標、meta 必須化、Issue #473 を 1.0 へ前進、APU/APV 議論、Deferred Issuance
5 月 8 日(木)Berlin HybridJoseph Heenan(Jan Vereecken / Timo Glastra 共同記録、30 名以上出席)PR #592 / #593 受入、Issue #569 close、OID4VCI Issue #202 / #291 / #339 / #61
5 月 15 日(木)EUChristian Bormann(28 名出席)EC/ETSI/OpenID 連携、PR #500 / #478 / #487、Issue #502 / #468
5 月 22 日(木)EUDaniel Fett(23 名出席)ISO 連絡、GDC 招待、Issue #506 / #275 / #305 / #507、OID4VP Issue #612
5 月 22 日(木)APACStefan Charsley(8 名出席)ISO の HAIP 理解、HAIP の 6 月パブリックレビュー目標、Interop 5/27、6/17
5 月 27 日(火)AmericasJoseph Heenan(20 名出席)Directed Funding、Interop #1 結果、PR #610 / #598 / #597、Issue #613
5 月 29 日(木)EUMichael Jones(14 名出席)PR #598 / #597 / #610 / #615、OID4VCI #527 / #522

5 月 1 日 EU コール(議事録: Mirko Mollik)

参加者: Joseph、Bjorn、David、Gareth、Lee、Peter、Timo、Mirko、Gail、Brian、Hicham、Rajvardhan。

  • 運営変更: 通常の火・木コールを EIC 週は hybrid meeting に置き換え、ML プレフィックスを [Openid-specs-digital-credentials-protocols] から [openid-DCP] へ短縮する案を確認
  • ISO WG4 整合: mdoc 発行プロファイルについて ISO WG4 と継続調整中
  • Issue #473(Presentation During Issuance): スコープを same-wallet シナリオ に限定(cross-wallet は過剰複雑)。MDL 必須決済等のユースケースで「super valuable」と評価されるが、合意は 「1.0 では nice to have、1.1 で non-breaking 追加」 に着地。OID4VCI 仕様内で定義する方針
  • Issue #145(Dynamic Credential Request): 既存記述が不十分。Issue #473 のアプローチで代替できるため、当該節は 削除して PR 作成準備完了(後の PR #487)
  • Issue #300(Notification): 1.1 へ後送。1.0 にはポーリング機構が既にあり実装経験不足
  • Issue #410(DC API support): 「実装が 1 件のみ」という現実を踏まえ 1.1 へ。5 月の interop で実テストを行う
  • Issue #480(Batch / Dehydrated credentials): 「複雑なバンドリング構造は圧縮以上の利益が乏しい」として簡素化志向、追加 implementer feedback 待ち

5 月 5 日 Berlin Hybrid Meeting(議事録: Timo Glastra / Christian Bormann、24 名出席)

参加者: Joseph Heenan、Paul Bastian、Timo Glastra、Mirko Mollik、Gail Hodges、Kristina Yasuda、Torsten Lodderstedt、Adam Cooper、Christian Bormann、Dima Postnikov、Masa Obata、Oliver Terbu、Soshi Hamaguchi、Steve Venema、Shigeya Suzuki、Mike Jones、Brian Campbell、Gareth Oliver、Martijn Haring、Bjorn Hjelm、Naohiro Fujie、Sebastian Bickerle、Micha Kraus 他。

  • リリース目標: OID4VP / OID4VCI ともに 6 月 30 日リリースを目指す ことを確認、両仕様完了後は HAIP に移行
  • 重要 consensus:
    • DCQL クエリで meta フィールド必須化(不要時の空オブジェクトは許容)
    • nonce endpoint への DPoP nonce 最適化追加
    • クレデンシャルデータセット取り扱いは 1.1 へ後送
    • Issue #473(Presentation During Issuance)を実装経験を理由に現リリースへ前進(5 月 1 日決定の reversal)
  • 暗号化詳細: 18013-7 のような profile 固有の APU/APV 値の伝達方法を議論、新規 encryption parameter を提案
  • クレデンシャルバッチング: 「ウォレットは古いクレデンシャルを新バッチで置換すべきか」を議論、詳細な扱いは 1.1 へ後送
  • Deferred issuance: pending status の HTTP 400 を 202 へ変更 する勧告(後の PR #492 / #490 で実装)
  • CBOR Path Expression: ネストした CBOR オブジェクトの display 記述向け標準化パス表記の開発で合意
  • 画像処理 / 圧縮: 大ペイロードには独自方式ではなく JWE compression を活用 する選好
  • アクションアイテム: Christian が meta 必須化 PR、Oliver が PR コンフリクト解決と algorithm alignment、Mirko が Issue #473 PR、Gareth が圧縮 vs dehydration の性能データを担当

5 月 5 日 Real-World Interop Demonstration(NIST NCCoE 連携)

EIC 週の hybrid meeting と同日に、ベルリンと NIST NCCoE をリモート連携させた OID4VP draft 28 + W3C DC API + DCQL の Real-World Interop が開催された(OIDF アナウンス、5 月 28 日)。

  • 参加: ウォレット 8 社(1Password、Android、Animo / Funke Wallet、Bundesdruckerei、MATTR、Microsoft、Panasonic、Scytales、Spruce 他)、検証者 7 社
  • ペアワイズ結果: 224 ペア中 153 テスト実行、90% 以上成功
  • マルチウォレット遠隔テスト: NIST NCCoE が Microsoft 主導で開催、複数ウォレット → 単一 MATTR 検証者へのリモート提示。Entra 経由のテナント連携。1Password、Animo Funke、Bundesdruckerei InnoWallet、Google Multipaz、Google CM Wallet、Scytales、SpruceID Showcase が参加し 91.75% 成功
  • クエリ: 単純な氏名取得から複雑な年齢検証まで 4 種類の DCQL クエリ(mDL / SD-JWT 両対応)
  • 3 地域: 米国(NIST 代表)、日本(Japan Digital Agency、Soshi Hamaguchi が My Number Card を学生登録 / 公共交通発券に統合するデモ)、欧州(Bundesdruckerei 他)、加えてカリフォルニア州 DMV がオブザーバ参加
  • コメント: Dirk Balfanz(Google)「DCQL は開発プロセスを簡素化し、Android チームのデプロイに自信をもたらした」、Micha Kraus(Bundesdruckerei)「Digital Credentials API は multi-wallet シナリオの真に重要な構成要素」、Wayne Chang(SpruceID)「open standards がユーザ中心デジタル ID の安全な相互運用を実現」、Gail Hodges(OIDF Executive Director)「あるエコシステムでクレデンシャルを発行し、任意のウォレット経由で提示し、別管轄のオンライン環境で検証する未来は、もはやビジョンではなく現実」

このイベントは 5 月時点では非公開で実施され、結果のプレスリリースは 5 月 28 日に公表された。OID4VP の 6 月 Final 化判断を支える decisive な実績となった。

5 月 8 日 Berlin Hybrid Meeting(議事録: Jan Vereecken / Timo Glastra、30 名以上出席)

参加者: Joseph Heenan、Kristina Yasuda、Christian Bormann、John Bradley、Nat Sakimura、Daniel Fett 他、ベルリン現地と東京・サンフランシスコのリモートを合わせ 30 名超。

OID4VP

  • PR #592(CBOR-encoding 参照削除): clarification として WG が受け入れ
  • PR #593(meta 必須化): あと 3〜 4 名の approval が必要。「空パラメータは省略すべきか、unconstrained と明示すべきか」を議論
  • Issue #569(type 属性と vct の関係): 仕様化せず close。不要な JSON-LD 依存を回避
  • Issue #575(暗号鍵 binding 不要要件): 暗号鍵 binding を必須としない既存方針を維持し、将来の柔軟性を確保

OID4VCI

  • Issue #202(issuer metadata 署名形式): 「option 3: application/jwtapplication/json を metadata の signed / unsigned に応じて両方サポート」で consensus、Paul Bastian が PR 作成(後の PR #520 へ)
  • Issue #291(OAuth セキュリティ整合): 「BCP を統合する」または「FAPI2 を例外リスト付きで採用する」のいずれかで合意(後の PR #534 へ)
  • Issue #339(credential request 暗号化): credential request の暗号化を受入、Martijn が「どの response 属性が暗号化保護を要するか」を明確化担当(後の PR #505 へ)
  • Issue #61(completion endpoint): 「option 3: 新規 completion endpoint を Credential Response 修正や offer 修正よりも好む」が大勢、ただし最終決定前に implementation 経験を要する
  • Nonce 用語整理: 仕様横断的に nonce 用語の見直しが必要、wallet attestation endpoint は IETF で先に定義し OID4VCI から参照する 方針
  • Issuance 後の user journey: redirect 機能の主要ユースケースとして post-issuance フローが浮上
  • Issuer metadata 署名アプローチ: 「静的署名コンテンツ」と「動的非署名要素」の妥協として位置づけ

5 月 15 日 EU コール(議事録: Christian Bormann、28 名出席)

EIC 後の通常コール再開。

  • EC/ETSI/OpenID 連携進展: ETSI ESI と DCP の chair ミーティング設定、OpenID/ETSI liaison が正式に確立
  • OID4VP:
    • Signature Verification & Encryption Parameters の 2 PR が community review 必要、Kristina は privacy considerations と並行レビューを依頼
    • ECDH-MAC の議論: Brian Campbell が flag、「non-breaking として 1.1 で扱う」 合意
  • OID4VCI:
    • PR #500(Credential Metadata 切り離し): display 固有情報を別パラメータへ移動、credential format 機構が default を override 可能に。Christian が examples 更新
    • PR #478(DPoP nonce 最適化): 4 approval 取得、実装 ready
    • PR #487(Dynamic Credential Request 削除): wallet_issuer / user_hint パラメータ削除に異論なく approve
    • Issue #502(partial response encryption): VCI コンポーネントが選択的にペイロードへアクセスする mixed architecture 対応について 「重要かつサポートすべき」 と認知、ただし 完全暗号化の安全性 vs discovery 機構の複雑性 で対立
    • Issue #468(mdoc claims path 制限): format 固有 metadata によりウォレットが未知のクレデンシャル種別も扱える、という方向で consensus、ただし trust 仮定と UX への懸念も残
  • アクション: Oliver が mdoc PR 担当(critical reviewer は Peter)、Kristina が assigned issue 保有者に PR 提出を促す

5 月 22 日 EU コール(議事録: Daniel Fett、23 名出席)

参加者: Kristina Yasuda、Sander Dijkhuis、Thomas Darimont、Peter Sorotokin、Joseph Heenan、Andrew Regenscheid 他 23 名。Gareth Oliver による補足ノート(13 名)も並行投稿された。

  • ISO 連絡(Joseph): ISO の mobile document issuance 仕様タスクフォースが HAIP を参照する方向。「assurance」の定義について継続議論、ベルリンで議題化
  • GDC 連絡: Global Digital Collaboration(7 月 1〜 2 日ジュネーブ)の招待を OIDF 経由で配布予定
  • Funding: Joseph が interop イベント、セキュリティ解析、コンフォーマンステストへの directed funding を発表、関心ある参加者は Paul Briault に連絡
  • OID4VP:
    • Issue #612(QES 用途での nonce / client_id 必須化との衝突): Sander Dijkhuis が「QES は既にトランザクションデータへの暗号署名で binding を達成しており、OID4VP の nonce 必須は冗長」と問題提起。仕様を「クレデンシャルフォーマットが transaction binding と replay protection を可能にすべき」と一般化する提案。WG の解釈合意を求める
    • 既存の non-key-binding credentials 節で「鍵 binding なしも既に存在」と確認
  • OID4VCI:
    • Issue #506(Deferred endpoint 暗号化): response encryption keys を必須含有(regenerate 不要)、credential request encryption も整合のため許容で着地、GarethCOliver が PR 作成(後の PR #505 へ)
    • Issue #510(issuer metadata の batch size): アクション不要、batch size は最大値として扱い、追加バッチ要求の柔軟性を保つ
    • Issue #494(credential signing algorithm values): 必須言語へ強化
    • Issue #497(attestation proof type): attestation proof type 専用の proof_signing_alg_values_supported 定義が必要(後の PR #516 へ)
    • Issue #480(compression): 必須でないと判断し close
    • Issue #226(JWK integrity): TLS trust、暗号化アプローチ、DPoP のいずれを使うか未解決
    • Issue #275 / #305 / #507: 後続コールへ後送

5 月 22 日 APAC コール(議事録: Stefan Charsley、8 名出席)

参加者: Joseph Heenan、Stefan Charsley、Klaus Roehrle、Thomas Darimont、Andres Olave、Kenichi Nakamura、Henry Hang、Gail Hodges。

  • ISO 仕様状況: 要件明確化に追加時間が必要、6 月 11 日に専用ミーティング設定
  • 仕様進捗:
    • OID4VP: パブリックレビュー進行中
    • OID4VCI: WGLC 前に追加作業
    • HAIP: 翌月(6 月)パブリックレビュー入りを目標
  • ISO 議論: Kenichi Nakamura が「ISO は HAIP の意味を理解していない」と指摘、ISO WG4 のバッチ発行と draft 23220 周辺要件の明確化を優先
  • PR レビュー: credential response encryption integrity、batch / deferred endpoint encryption、authorization details の format claim、Presentation During Issuance、credential metadata decoupling
  • Stefan Charsley が「metadata-only VCT エンドポイント」の実装経験を共有、関連提案のレビュー意向を表明
  • Interop: Gail から 5 月 27 日 OID4VCI(ID2 対象) および 6 月 17 日 OID4VP(draft 28、non-DC API 対応) イベントを告知

5 月 27 日 Americas コール(議事録: Joseph Heenan、20 名出席)

参加者: Joseph Heenan、Kristina Yasuda、Gail Hodges、Michael Jones、Oliver Terbu 他 20 名。

  • Directed Funding: Paul Briault が 資金支援を呼びかけるプレゼン を共有、Paul / Gail が連絡窓口
  • Interop アップデート: 第 1 回 VCI ID2 + HAIP interop イベントを開催したが partial success、実装者は仕様準拠に追加作業が必要。6 月初頭に第 2 回セッション を予定(VCI implementer's draft 2 対応者向け)
  • APAC コール: 翌週 chair 不在のため延期
  • OID4VP 進捗:
    • 投票期間が近づき、deadline 前に PR をマージ要
    • PR #610(redirect ベース OID4VP mdoc session transcript)
    • PR #598(signature verification): Kristina の編集提案待ち
    • verifier_attestation client id prefix と verifier_attestations parameter の命名混乱(Issue #613) を議論
    • PR #597(encryption details parameter): 必要性で大筋合意
  • OID4VCI: WGLC 開始のため 21 件の open PR の包括的レビュー を WG メンバーに依頼

5 月 29 日 EU コール(議事録: Michael Jones)

参加者: Christian Bormann、Joseph Heenan、Mike Jones、Kristina Yasuda、Brian Campbell、Gareth Oliver、Lee Campbell、John Bradley、Oriol Canadéz Díez、Tim Cappalli、Peter Sorotokin、Jan Vereecken、Rajvardhan Deshmukh、Filip Skokan。

  • OID4VP #598(signature verification): Martijn からの実装要件フィードバック待ち
  • OID4VP #597(encryption details parameter): 「encryption profile を定義することは不要な fragmentation を生むのでは」 と議論。Kristina は「これは 1.0 の話で final review 中」と注意喚起、「まだ存在しない問題のための非相互運用な拡張点」を作るリスクへの懸念 が表明された。Lee Campbell は柔軟な profiling より完全に specified された暗号化スキームを支持。PR 内議論継続で合意
  • OID4VP #610(redirect フロー session transcript): multi-RP ユースケースと Client ID 要件を議論。John Bradley は「trust framework は単一識別子を複数 trust framework 横断でサポートする必要がある」 と強調。Gareth が implementation considerations 文書化を担当、ISO レビュー後マージ予定
  • OID4VP #615(Transaction data hashes): base64url-decode したデータのハッシュに関する interop 課題を特定、追加 WG 議論時間が必要
  • OID4VCI #527(.well-known 構文): Joseph が OpenID Connect 構文から IETF 構文へのシフト を提案。WG はこの変更を必要と認識、Kristina は WGLC 前の approval を最優先
  • OID4VCI #522(Credential Response 暗号化 integrity): TLS 中継者から暗号鍵を保護する方法を議論。John Bradley は「攻撃者が暗号鍵を改ざんしうるため、暗号化レスポンスと並行してリクエストの integrity 保護が必要」 と主張、暗号化リクエストとの組み合わせを支持。Kristina は DPoP vs wallet attestation の議論継続が必要と指摘

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML(親アーカイブ)は週次インデックス形式。5 月の 5 週分(Week-of-Mon-20250428、20250505、20250512、20250519、20250526)の投稿は 議事録共有・コール agenda・キャンセル通知が中心 で、独立した技術スレッドは限定的である。注目すべき投稿は以下の通り。

4.1 WGLC for OpenID for Verifiable Presentations Final — 2025-04-28(Steffen Schwalm 起票、Joseph Heenan 5/1 応答)

OID4VP Final 推薦と PR #459(SD-JWT VCLD 実装)に関するスレッド。Joseph Heenan は「WG コンテキスト外で起きる合意は WG の決定を表さない」「すべての WG 議論は透明に実施される」とプロセスを明確化。Schwalm の懸念(DID サポート欠如、micro-credential bundling 欠如、「W3C VCDM data model and processing 包含」という合意目標との乖離)に対し、「過去議論の蒸し返しではなく、現在の SD-JWT VCLD 仕様で正しく動作しないユースケースの具体的・文書化された詳細を、real-world JSON-LD payloads 付きで GitHub issues に記録してほしい」と要請。「テスト結果が必要なものから大きく外れていることを示すなら、WG は問題箇所を破棄することを妨げない」と柔軟性も示した。VCDM / SD-JWT 統合の長期的論点を 5 月初頭に整理し直したスレッド。

4.2 Shorter mailing list subject prefix — 2025-05-01(Joseph Heenan)

ML プレフィックスを [Openid-specs-digital-credentials-protocols] から [openid-DCP] へ短縮する提案。アーカイブの可読性向上が目的。実際に 5 月後半以降の投稿題名は新プレフィックスで流通する。

4.3 Latest status of conformance tests — 2025-05-11(Joseph Heenan)

WG ミーティングと EIC ワークショップで提示したコンフォーマンステスト現状の ML 共有。

  • 発行プロトコルテスト: implementer's draft 2 + HAIP 対応の alpha レベル。「まだ draft 2 と HAIP(PAR・DPoP 必須)両対応の実装は 1 件も見つかっていない
  • VP テスト: 拡張完了。DC API ウォレットサポート、ID3 仕様(draft 24 変更含む)、HAIP 互換、SD-JWT / mdoc 両フォーマットをカバー。直近 interop で 7 ウォレット全てが通過
  • アクセス: VP テスト手順は OpenID 認証サイトで公開、VCI テストはサイト未掲載のため直接連絡要
  • 「draft 2 + HAIP 対応の発行者またはウォレット」を募集

4.4 Urgent Directed Funding ask for 2025 — 2025-05-21(Paul Briault)

OIDF Membership Director の Paul Briault が 2025 年活動の継続に directed funding が極めて優先度高 であり、これなしには年次計画が達成できないと訴えた異例の投稿。directed funding 背景・現況・具体的依頼を示す deck と Foundation の Directed Funding Policy を共有。連絡窓口を Paul Briault と明示。後続の 5 月 27 日 Americas コールで再度プレゼンが行われた。

4.5 Global Digital Collaboration - 1-2 July 2025 - Geneva Switzerland — 2025-05-22(Stephanie Meli)

OIDF 理事会が GDC のコオーガナイザーに就任 したことを ML に告知。draft agenda レビューと lu.ma/gc25-openid 経由の登録を呼びかけ。後の 7 月 1 日 Americas コールキャンセル(GDC 参加のため)の伏線。

4.6 DCP APAC call: date changes — 2025-05-28(Joseph Heenan)

翌週の APAC コールは chairs 全員不在のため開催不可」と告知、6 月 12 日へリスケジュール、6 月は 1.0 仕様完了に向けた weekly 開催に一時的に増強する旨を共有。

4.7 議事録投稿スレッド一覧

5 月の議事録共有投稿は以下の通り。

5. GitHub 上の議論

OpenID4VCI(openid/OpenID4VCI

5 月マージ PR は 10 件、新規 issue 12 件。WGLC 前の編集系修正集積期。詳細は §2 参照。

Issue #506 - Credential Response encryption not specified for the Deferred Credential Endpoint

GarethCOliver が 5 月起票。Deferred Credential Endpoint からの response 暗号化要件が未定義であるという指摘。「deferred プロセスが長時間に及ぶ場合、当初の credential request で提示した暗号鍵を保持し続けるのはセキュリティリスク」「ウォレットは deferred request 時点で fresh な公開鍵を提示できるべき」という提案を含む。GarethCOliver にアサイン、has-PR ラベル付与、Final 1.0 マイルストーン。後の 6 月 20 日マージの PR #505 へ繋がる。

Issue #507 - Integrity of the JWK used for Credential Response encryption

GarethCOliver が 5 月 16 日起票。Credential Response 暗号化用 JWK の integrity 保護不在 を問題提起。「リクエスト暗号化なしでは、MitM 攻撃者がクライアント / 発行者いずれにも検知されずに JWK を差し替え可能」「リクエスト暗号化は機密性は提供するが integrity は保証しない」。提案された 2 つのアプローチ:

  1. proof 機構: 鍵自体に attestation または proof を添付(他のクレデンシャル鍵向け機構と同様)
  2. request signature: 既共有鍵(DPoP 鍵など)でリクエスト全体に signature 保護

GarethCOliver と c2bo にアサイン、1.1 or later マイルストーン で後送。5 月 29 日 EU コールでも John Bradley が暗号化リクエストとの組み合わせ整合性を主張。

Issue #526 - Align .well-known/openid-credential-issuer path to IETF '.well-known is always at the root' requirement

jogu 起票。発行者が https://example.com/foo の場合、現状 https://example.com/foo/.well-known/openid-credential-issuer から取得する仕様が RFC 8615(Well-Known URIs)に違反。正しくは https://example.com/.well-known/openid-credential-issuer/foo とすべき。RFC 8414(Authorization Server Metadata)のアプローチと整合し、IANA 登録要件にも適合する。VCI 参加者の interop testing で支持表明。後の PR #527(5 月 29 日 EU コールで Joseph が WGLC 前 approval を最優先と表明)へ。

Issue #532 - Clarify how deferred credential response indicates the issuer no longer plans to issue a credential

jogu 起票。Sean Loope が 5 月 22 日 EU コールで提起した「クレデンシャル発行中止意思の表現方法」を別 issue として切り出し。PR #492 のスコープ外として後続議論へ。

その他の主要 issue

  • #530 "Semantics of missing optional metadata fields is unclear"(sorotokin)— optional metadata の欠落セマンティクスの曖昧性
  • #528 "Allow multiple Trust-Frameworks through Signed Metadata"(ubamrein)— signed metadata 経由の複数 Trust Framework 表現
  • #514 "Using credential_identifier with scopes seems ambiguous"(jogu)
  • #510 "Batch size configuration per credential type"(bit-jniestroj)— 5 月 22 日 EU コールで「アクション不要」と判断

OpenID4VP(openid/OpenID4VP

5 月マージ PR は 15 件、新規 issue 12 件。Final 投票準備のための editorial 集約と、命名衝突 / 暗号化要件 / QES 互換性に関する Final 1.0 直前の論点蓄積。

Issue #613 - verifier_attestation and verifier_attestations naming conflict

Sakurann 起票。1 文字違いで概念が異なる 2 つの用語が共存し、実装者の混乱を招く。

  • verifier_attestation: client identifier scheme(client identifier prefix)
  • verifier_attestations: RP 登録証明書を渡すコンテナ

5 月 27 日 Americas コールでも議論。後の PR #629(verifier_attestationsverifier_info リネーム、6 月 7 日マージ) へ繋がる Final 1.0 直前の重要 issue。

Issue #612 - Requirements on nonce and client_id inclusion conflict with QES use cases

Sander Dijkhuis 起票。Qualified Trust Service Provider 発行の X.509 証明書をクレデンシャルとする QES(Qualified Electronic Signature) ユースケースとの衝突を指摘。

  • OID4VP は verifier に nonce 生成を強制し「transaction binding と replay protection」を達成しようとするが、QES はトランザクションデータへの暗号署名で既に binding を達成、nonce は冗長
  • 仕様を「クレデンシャルフォーマットが transaction binding と replay protection を可能にすべき」と一般化する提案

5 月 22 日 EU コールでは「鍵 binding なしも既に存在する」点で既存 non-key-binding credentials 節と整合する旨が確認された。WG 解釈合意を求めた。

Issue #608 - Interoperability for ECDH+KDF+HMAC AKA DVS

bc-pi(Brian Campbell)が 5 月 15 日起票。Key binding JWT 用の ECDH-HMAC 署名(DVS)interop の懸念。SD-JWT WG での議論を踏まえ、OID4VP layer での明確な指針を要求。「OID4VP の重要部分は存在する」という主張に対し「実際に interop は成立するのか」と問題提起。プロトコル層(SD-JWT vs OID4VP)の責務分担も対立点。SD-JWT 側は開発サイクル後期で大きな変更追加は望まない姿勢。1.2 or later マイルストーン に割り当てられた。

その他の主要 issue

  • #620 "Mitigating session fixation attacks"(patatoid、5 月 30 日)
  • #617 "Fix needed for W3C type_values example"(sloops77)— 後の PR #618 でクローズ
  • #616 "clarify how encryption key is obtained"(Sakurann)— 後の PR #619 へ
  • #601 / #600 / #602 / #603 — 101Coder101 が連続起票した response mode、client_id 利用、error response oversight、document structure に関する一連の問題提起

HAIP(openid/oid4vc-haip-sd-jwt-vc

5 月マージ PR は 2 件、新規 issue 8 件。HAIP は 5 月時点で「翌月(6 月)パブリックレビュー入り を目標」と APAC コールで宣言されており、それに先立つ論点蓄積期。

Issue #195 - Remove batch credential endpoint requirement

jogu 起票。OID4VCI で combined issuance 用の batch credential endpoint が削除された(OID4VCI の以前の整理)にもかかわらず、HAIP には未だ「batch endpoint サポート必須」と書かれている。後の PR #196(6 月 12 日マージ)で対応。

Issue #194 - Require ephemeral encryption keys?

jogu 起票。暗号化鍵の ephemeral 性を HAIP が要求すべきかの問題提起。Final 1.0 マイルストーン。

Issue #192 - DPoP nonce requirements should be explicit

jogu 起票。HAIP における DPoP nonce 要件の明示性向上。Final 1.0 マイルストーン。

Issue #189 - Meaning of 'high assurance' isn't clear

jogu が 5 月 22 日起票。HAIP の名称中核である「high assurance」の定義が仕様内に存在しない という根本的な問題提起。ISO 23220-3 タスクフォースコールでも議論。tlodderstedt にアサイン、Final 1.0 マイルストーン、iso23220-3 / has-PR ラベル付与。

Issue #188 - Remove any mandatory requirements for key attestations

jogu が 5 月 22 日起票。「key attestation が iOS / Android プラットフォーム attestation を バックエンド経由なしで直接消費する ユースケースは正当に存在する」という観点から、HAIP の attestation 要件を必須からオプショナルへ緩和する提案。discuss / has-PR / iso23220-3 / priority の 4 ラベル、Final 1.0 マイルストーン、tlodderstedt にアサイン。後の HAIP リファクタリングの起点となる重要 issue。

その他

  • #193 "Explicitly define which (part of) sections apply to which profile"(martijnharing)
  • #191 "unique identifier in each issued credential"(Sakurann)
  • #190 "is supporting haip:// really a MUST requirement?"(jogu)

6. 関連イベント

EIC 2025(ベルリン、5 月 6〜 9 日)

European Identity & Cloud Conference 2025 がベルリンで開催され、DCP WG メンバーの多くが現地参加。EIC 開幕前日の 5 月 5 日と会期中木曜の 5 月 8 日に Bundesdruckerei 本社で DCP WG ハイブリッドミーティング を開催(Eventbrite で in-person 枠を募集、リモート参加併設)。これに伴い EIC 週の通常コールはすべてキャンセル。Joseph Heenan は 5 月 11 日付の conformance test ML 投稿で、「EIC ワークショップでもテスト現状を提示した」と言及。

Real-World Interop Demonstration(5 月 5 日)

§3 に詳述。NIST NCCoE / OIDF / Microsoft / Google 他 3 地域横断の OID4VP + DC API + DCQL 実証。224 ペア中 153 テストで 90% 以上の成功率。Final 化判断を支える decisive な実績。

OID4VCI Interop #1(5 月 27 日)

VCI implementer's draft 2 + HAIP 対応の 第 1 回 OID4VCI interop イベント(5 月 27 日 Americas コールで partial success と報告)。実装者が仕様準拠に追加作業を要する状態であり、6 月初頭に第 2 回が予定された(実際には 6 月 11 日に Gail Hodges が Interop #2 結果を共有、35% 通過 / 40% 解決可能 / 25% 未解決)。

Global Digital Collaboration(GDC、ジュネーブ、7 月 1〜 2 日)

5 月 22 日に Stephanie Meli が ML 告知、OIDF 理事会が コオーガナイザー就任。DCP WG メンバーに draft agenda レビューと登録を呼びかけ。

G20 TechSprint(応募締切 6 月 20 日)

5 月時点では応募準備期間。デジタルアイデンティティ分野のスタートアップ対象、最終イベントは 11 月 10〜 11 日。

7. 今後の予定(2025 年 5 月末時点の視点)

5 月末時点で見えていた継続課題と次月以降の動き:

  • OID4VP 1.0 Final 化: 4 月 24 日開始のパブリックレビュー(〜 6 月 23 日)が継続中。6 月 30 日リリース目標 を維持。draft 28 をそのまま投票するか、レビューフィードバック反映版を起こすかは 6 月の判断(実際には 6 月 10 日に draft 29 を投票対象とする)
  • OID4VCI WGLC: 21 件の open PR レビュー完了次第 WGLC 開始(実際には 6 月 24 日 Americas コールで合意、6 月 29 日に Foundation パブリックレビュー開始)
  • HAIP パブリックレビュー入り: 6 月入りを目標
  • Issue #473(Presentation During Issuance): 5 月 5 日 hybrid meeting で「実装経験を理由に 1.0 へ前進」へ方針転換、Mirko が PR 作成担当
  • OID4VP Issue #613(verifier_attestations 命名衝突): 6 月初頭の PR で着地予定
  • HAIP Issue #188(key attestation 要件緩和)/ Issue #189(high assurance 定義): ISO 23220-3 タスクフォースとの整合下で議論継続
  • GDC(7 月 1〜 2 日ジュネーブ): OIDF コオーガナイザー、7 月 1 日 Americas コールはキャンセル予定
  • Interop: 6 月初頭に VCI Interop #2、6 月 17 日に OID4VP Interop(draft 28 + DC API、non-DC API も対象)
  • APAC コール強化: 6 月は weekly 開催に増強、初回 6 月 12 日

8. 参考情報源