idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025年6月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC / SD-JWT VC / ISO/IEC 18013-5 mDL など)の発行・提示・交換に関わるプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID4VC High Assurance Interoperability Profile (HAIP)、Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda(SPRIND)、Joseph Heenan(Authlete)、Dima Postnikov、Brent Zundel(Yubico)の 4 名。EU・APAC・Americas の 3 地域で毎週コールが開催される。

2025 年 6 月の DCP WG は OID4VP 1.0 Final 化に向けた最終レーン整備の月 であり、また OID4VCI を Final パブリックレビューへ送り出すための最終 PR 集積の月 でもあった。重要トピックは以下の 4 点に集約される。

  • 6 月 10 日: OID4VP draft 29 の公開と Final 投票通知の発行: 公開済みの draft 28 公開レビュー終了(6 月 23 日)と並行して、ML フィードバックを反映した draft 29 を投票対象とする旨が同日の Foundation アナウンスで通知された。投票期間は 6 月 24 日〜 7 月 8 日
  • 6 月 24 日 Americas コールでの OID4VCI WGLC(Working Group Last Call)合意と 6 月 26 日 EU コールでの公開レビュー進行確認: PR #509(Presentation During Issuance)はマージせずに公開レビューを開始する判断が下された
  • 6 月 27 日: OID4VCI draft 16 の公開、6 月 29 日 Foundation 公式パブリックレビュー(〜 8 月 28 日)開始: signed Credential Issuer metadata、credential request encryption、FAPI2 整合の OAuth2 セキュリティガイダンスなど約 40 項目の改訂を含む
  • HAIP からの SIOP 削除と key attestation 取り込み(PR #186 / PR #175): HAIP 1.0 のスコープ確定が進み、SIOP は他プロトコルとの自由な組み合わせは許しつつも HAIP の必須要件からは外された

並行して verifier_attestationsverifier_info への命名変更(OID4VP PR #629)、redirect ベース OID4VP フローの session transcript 定義(PR #610)、署名検証要件の汎用化(PR #598)などが OID4VP draft 29 に集約された。OpenID4VCI リポジトリでは 6 月マージ PR が 25 件、OpenID4VP リポジトリでは 16 件、HAIP リポジトリでは 3 件 がマージされた。

ML 投稿は 6 月の週次インデックス 5 週分(6/2、6/9、6/16、6/23、6/30)にまたがり、コール議事録共有と各種 agenda が中心。技術的に独立したスレッドとしては「format variant of RAR を削除する breaking change」(Joseph Heenan、6 月 13 日)、「OpenID4VCI Interop #2 Initial Results」(Gail Hodges、6 月 11 日)、「Results of 6/17 Interop: OpenID4VP v29 + DC API+ DCQL」(Gail Hodges、6 月 24 日)、「OpenID4VP: definition of Credential Format」(Dimitar Stoikov、6 月 23 日)が目立った。

2. 公開された仕様・ドラフト改訂

OID4VP draft 29 の公開と Final 投票通知(2025 年 6 月 10 日)

OpenID Foundation は 2025 年 6 月 10 日に Notice of Vote for Proposed OpenID for Verifiable Presentations Final Specification を公開した。すでに 4 月 24 日から 6 月 23 日までの 60 日パブリックレビューが進行中の状態で、レビューフィードバックを反映した draft 29 を 投票対象 とする方針を取り、レビュー期間をリセットせずに 6 月 24 日〜 7 月 8 日の投票へつなげる構成である。

draft 29 の主な変更点(Joseph Heenan 投稿、6 月 10 日):

  • redirect ベースフロー向け mdoc session transcript の追加(PR #610)
  • verifier_attestationsverifier_info へのリネーム(PR #629)
  • DCQL の meta パラメータ必須化
  • プライバシー考慮事項の拡充(PR #509)
  • 配列が最低 1 要素を含む旨の明記
  • 暗号化鍵取得の説明強化、トランザクションデータハッシュの明確化
  • ウォレット署名検証要件の緩和(PR #598、エコシステム判断に委ねる方針)

並行して 6 月 10 日に Notice for Consensus Decision at 24th June 2025 DCP WG call が発行され、「draft 29 を Final Specification 投票の対象とする」点について 14 日通知期間と公開レビュー期間を 並行 で進める手順が示された。これは OIDF Process Document の「Work Group Draft を Final Specification として推薦する」要件に従ったプロセス整備であった。

OID4VCI draft 16 公開と Final パブリックレビュー開始(6 月 27 日 / 6 月 29 日)

DCP WG は 6 月 24 日 Americas コールで OID4VCI Working Group Last Call に進む合意に達し(Jin Wen 議事録 より)、6 月 26 日 EU コール(議事録: Oriol Canadés Díez)で PR #509(Presentation During Issuance)はマージせずパブリックレビューを開始する 方針が確認された。issuer がプレゼンテーションリクエストを悪用し得るという mix-up 攻撃の懸念が議論されたが、レビュー期間中に並行して対処することとし、レビュー進行を優先した。

6 月 27 日に OID4VCI draft 16 が公開され、6 月 29 日に Foundation アナウンス Public Review Period for Proposed OpenID for Verifiable Credential Issuance 1.0 Final Specification が出された。タイムラインは以下のとおり。

  • 60 日パブリックレビュー期間: 2025 年 6 月 29 日 〜 8 月 28 日
  • Notice of Vote: 2025 年 8 月 18 日(予定)
  • 14 日投票期間: 2025 年 9 月 1 日 〜 9 月 15 日(予定)

draft 16 の主な変更点(Joseph Heenan 投稿、6 月 27 日 より、約 40 項目の changelog から抜粋):

  • 署名済み Credential Issuer Metadata の新規メカニズム(PR #520)
  • FAPI2 Security Profile に整合した OAuth2 セキュリティ推奨の actionable 化(PR #534)
  • proof type 節を付録へ移動、claims / display パラメータを credential_metadata 配下へ移行
  • credential request の暗号化サポートと zip 圧縮サポート追加(PR #505)
  • 新規エラータイプ unknown_credential_configuration / unknown_credential_identifier
  • ISO mdocs の claims path クエリを JSON ベースクレデンシャルと整合(PR #513)
  • credential request の proof パラメータの非推奨化
  • 用語変更: ldp_vpdi_vp、「Multiple credential issuance」→「Batch credential issuance」、「Holder Binding」→「Key Binding」

注記すべきは、Daniel Fett 起票の PR #509 (Presentation During Issuance)draft 16 には取り込まれていない 点である。本 PR は 7 月 22 日の Americas コールでマージされる(draft 17)。

HAIP の SIOP 削除と key attestation 取り込み

HAIP(openid/oid4vc-haip-sd-jwt-vc)では Editor's Draft レベルで 3 件の PR がマージされた。

PRタイトルマージ日著者
#196Remove requirement to support the non-longer existing batch endpoint6 月 12 日jogu
#186remove siop from haip6 月 16 日Sakurann
#175add key attestation to OpenID4VCI6 月 26 日paulbastian

PR #186 (remove siop from haip) — 6 月 16 日マージ

著者の Sakurann は「SIOP は当初擬似ログイン(pseudonymous login)の機構として HAIP に含められたが、要件は変化した」と説明。削除理由として (1) Webauthn / passkeys が当該ユースケースの優れた代替 であること、(2) HAIP 内で SIOP を実際に使っているステークホルダーが見当たらない こと、(3) HAIP からの削除は SIOP との自由な組み合わせを禁じるものではない ことが挙げられた。

@selfissued(Mike Jones)は「具体的にどの機能が失われ、誰が現在依拠しているか」を最初に問題提起したが、@jogu が「HAIP は元々 SIOP についてほとんど何も規定していない」と応じ、最終的に Mike Jones は「implementer feedback」を理由に objection を取り下げた。@patatoid は SIOP v2 が認証以上のフェデレーション・セキュリティ価値を提供しうるという反対意見を維持したが、8 名のレビュアーが承認しマージに至った。

PR #175 (add key attestation to OpenID4VCI) — 6 月 26 日マージ

paulbastian 起票、Issue #119 への対応。HAIP に key attestation サポートを追加するもので、jogu / c2bo / TimoGlastra / Sakurann の 4 名 approval を経てマージされた。「他の attestation フォーマットを許容するか」は Issue #188 として分離 し、後続議論に送られた(後の 7 月 17 日 APAC コールでの「key attestation と client attestation の分離」議論につながる)。なお Issue #197 (Amend HAIP spec to include 'attestation' for key proof)(6 月 6 日 siriscac 起票)は Issue #119 の重複として close された。

OID4VCI への credential request 暗号化追加(PR #505、6 月 20 日マージ)

GarethCOliver 起票の PR #505 (Add support for request encryption to credential endpoint) は、credential endpoint へのリクエスト暗号化と deferred credential endpoint のリクエスト/レスポンス両方向暗号化を追加する重要 PR である。EU コールでの議論を踏まえ、以下の設計判断で着地した。

  • request と response の暗号化サポートを独立に制御: 「mandatory / optional / not supported」のすべての組み合わせを許容
  • HAIP 整合: JWK 内の alg を必須化、kid も利用可能なら必須
  • Deferred 再リクエストでの鍵管理簡素化: ウォレットは元の鍵を再利用せず、新しい暗号化鍵を提示できる(「長時間の鍵管理」を回避)

5 名(jogu、tlodderstedt、selfissued、c2bo、babisRoutis)の approval を経て、Issue #339 / #286 / #506 / #480 を解決する形でマージ。これに付随して GarethCOliver は Issue #538 (Security Considerations for Encryption) を起票し、後の 7 月 25 日マージの PR #569 へつながる伏線となった。

OID4VCI 編集系 PR の集積(VCI WGLC 直前のラストスパート)

draft 16 公開を支えた 6 月の OpenID4VCI マージ PR は 25 件に上る。Final 1.0 マイルストーン直結の主要 PR は以下のとおり。

PRタイトルマージ日著者
#534Attempt to make OAuth2 security recommendations more actionable6 月 16 日jogu
#525Cleanup language around c_nonce6 月 18 日jogu
#517Remove option to use format from authorization_details6 月 12 日paulbastian
#513Align claims path query for ISO mdocs with JSON-based credentials6 月 12 日awoie
#520Add option for signed Credential Issuer metadata6 月 26 日paulbastian
#558Clarify that nonce endpoint does not require an access token6 月 26 日jogu
#542Reference OpenID Federation draft 436 月 11 日selfissued
#529Require proof_signing_alg_values_supported to match key proof algorithms6 月 16 日awoie

PR #534 (OAuth2 security recommendations の actionable 化)

Daniel Fett の問題提起(「OID4VCI が実際にカバーしている OAuth 2.0 セキュリティ実践が曖昧」)を受け、(1) ガイダンス文言を OID4VCI が実際にカバーしている範囲に絞る、(2) FAPI2 推奨をコンプライアンス経路として追加、(3) RFC9700 ではなく BCP240 を参照 することで「rfc9700 以降の OAuth セキュリティ BCP に追従可能」とする方針で着地(jogu の説明より)。tplooker / Sakurann / charsleysa の 3 名 approval。

PR #517 (format を authorization_details から削除)

Joseph Heenan が ML で breaking change として事前告知(Request for feedback、6 月 13 日)した PR。credential_configuration_id で同等の表現が可能なため、format バリアントを authorization_details から落とすことで仕様を簡素化する。一部に「format 依存ユースケースが排除されないか」という懸念があったが、議論の中で「クレデンシャル offer ではなくクレデンシャル configuration を参照することで同じユースケースが成立する」と明確化されマージ。Issue #275 を解決。

PR #520 (signed Credential Issuer metadata)

paulbastian 起票、signed_metadata フィールド方式から HTTP Accept ヘッダによる content negotiation 方式へ転換した PR。設計判断:

  • コンテンツ折衝: application/json(unsigned)と application/openidvci-issuer-metadata+jwt(signed)を Accept ヘッダで切り替え
  • unsigned サポート必須化: breaking change を避けるため、metadata をサポートする Issuer は unsigned もサポート必須
  • JWT ベース署名(JWS multi-signature ではなく): pragmatic な選択。multi-signature 対応は将来別メディアタイプで導入の余地

c2bo / tplooker / Sakurann / danielfett / tlodderstedt の 5 名がレビュー / approval、jogu がマージ。6 月 24 日 Americas コール(Jin Wen 議事録)では「issuers は interoperability のため application/json(unsigned metadata)をサポート必須」「ウォレットは signed metadata をリクエストした場合、署名検証するか unsigned に切り替えるかいずれか」という運用上の合意も確認された。

PR #558 (nonce endpoint は access token 保護不要)

Issue #541 で「nonce endpoint が OAuth 保護リソースかどうか明示されていない」「Interop #2 で複数の参加者が誤って access token 保護を仮定していた」ことが提起された。6 月 19 日 EU コール(議事録: Torsten Lodderstedt)では「self-contained nonce で c_nonce には十分」「DPoP-bound nonce は token request に必要なため最初は unprotected で配布せざるを得ない」「access token が DPoP バインドされる場合、後続 nonce endpoint リクエストは DPoP 保護される」という整理が共有され、6 月 24 日 Americas コールで「nonce endpoint は access token で保護する必要なし。主目的は freshness であり replay protection ではない」と確認された。Final 1.0 への明文化として 6 月 26 日に jogu がマージ。

OID4VP の Final 化に向けた編集系統合

OpenID4VP では draft 29 公開(6 月 10 日)と関連する 16 件の PR がマージされた。技術的に重要なものを抜粋する。

PRタイトルマージ日著者
#509Add privacy considerations6 月 10 日sakimura
#598Implement signature verification requirements6 月 3 日martijnharing
#610Add session transcript for redirect-based oid4vp flow6 月 2 日awoie
#629rename verifier_attestations parameter name to verifier_info6 月 7 日Sakurann
#621Clarify how hashing works in transaction_data_hashes6 月 3 日jogu
#619clarify text about how encryption keys are obtained6 月 3 日bc-pi
#637Update draft number now -29 has been published6 月 16 日jogu

PR #509 (Add privacy considerations)

Nat Sakimura が 4 月 7 日に起票し、6 月 8 日から Sakurann が編集を引き継いで 6 月 10 日にマージされた長期 PR。ISO/IEC 29100 プライバシー原則 に沿ってプライバシー考慮事項を再構成。要点:

  • ウォレットはソフトウェア識別情報を含まない最小限のデータのみ送信すべき
  • request URI には PII やフィンガープリンティング情報を送信してはならない
  • request URI は Client Identifier に対して検証すべき
  • 信頼できないエンドポイントへの送信前にエンドユーザの確認を要する

レビュー段階では「要件が厳しすぎないか」「仕様スコープから外れる内容ではないか」という懸念が出され、最終的には strict mandate ではなく considerations / guidance 寄りの言語に整えられた。selfissued / tplooker / paulbastian / danielfett / awoie の 5 名 approval。

PR #598 (Implement signature verification requirements)

martijnharing 起票、Issue #561 への対応。当初は client identifier prefix ごとに異なる検証ルールを規定する案だったが、複数のレビュー反復を経て 「エコシステムが署名検証を必須とするかを判断する」 という統一フレームワークに整理された。区別されたのは:

  • vanilla OpenID4VP フロー: 検証は必須
  • Digital Credentials API フロー: ウォレットの裁量。エコシステムポリシー、issuer 指示、ホルダー意向に応じて判断
  • verifier attestations: 利用するなら署名検証必須、利用するか自体はエコシステム判断

PR #610 (Session transcript for redirect-based OID4VP flow)

awoie 起票、Issue #402 への対応。redirect ベース(DC API ではない)OID4VP フロー向けに OpenID4VPHandoverInfo 構造clientIdresponseUrinonce を含む)を定義。レビュアーの指摘により ISO 18013-7 Annex B とは異なるが既存 DC API アプローチに近い構成(originclient_id + response_uri で代替)が採用された。non-DC API フローでの「単一リクエストでの複数 RP 対応」は将来課題として明示的にスコープ外とされた。

PR #629 (verifier_attestationsverifier_info リネーム)

Sakurann 起票、Issue #613 への対応。「verifier_attestations は仕様文中で『attestation を渡すべき』と定義することで、命名上の重複を避ける」目的で verifier_info へ統一。Final 1.0 マイルストーン。

3. ミーティングと議論

DCP WG は 3 地域で毎週コールを開催し、6 月は議事録が ML に投稿されたコールが少なくとも以下の通り。6 月 12 日 EU コールは 2 時間延長(OID4VP 公開・OID4VCI WGLC 化・HAIP 進行のため)、6 月 26 日以降の Thursday コールも 7 月 10 日まで 2 時間延長7 月 1 日 Americas コールは Global Digital Collaboration Conference(ジュネーブ)に伴いキャンセル という運営判断が取られた。

日付 (2025 年)区分議事録投稿者主要トピック
6 月 5 日(木)EUChristian Bormann(22 名出席)JOSE HPKE WGLC、OID4VP APU/APV PR #628 議論、PR #509 / #540 / #522 / #500
6 月 10 日(火)Americastorsten at lodderstedt.net(25 名相当)OID4VP 公開タイムライン、PR #509 マージ、PR #520 / Issue #461
6 月 12 日(木)APACStefan Charsley(6 名出席)draft 29 への移行、verifier_info、PR #525 / #534 / #533 / #513 / #505 / #517
6 月 19 日(木)EUTorsten Lodderstedt(9 名出席)PR #509 / #520 / #505 レビュー、nonce endpoint 保護議論
6 月 24 日(火)AmericasJin Wen(多数出席)OID4VP draft 29 投票開始、OID4VCI WGLC 合意、signed metadata、nonce endpoint
6 月 26 日(木)EU friendlyOriol Canadés DíezOID4VCI 公開レビュー進行(PR #509 を保留)、PR #520 マージ、Mix-up 攻撃議論、7 月 16 日 Interop 告知

6 月 5 日 EU コール(議事録: Christian Bormann、22 名出席)

参加者は Kristina Yasuda、Michael Jones、Daniel Fett、Brian Campbell、Gareth Oliver 他 22 名。

  • JOSE HPKE WGLC 開始: Mike Jones が JOSE HPKE 暗号化ドラフトの WGLC 開始を共有
  • OID4VP APU/APV PR #628: ECDH-ES の APU/APV 値を仕様化するか先送りするかの議論。Hicham Lozi は「relying party が relay や MitM を decryption 前に検出可能」と擁護、Brian Campbell は「明確な根拠が group 内で合意に至っていない」「不必要な複雑性を加える」と慎重姿勢、Oliver Terbu は「ISO 18013-7 ではこれら値が定義されているが、実装は異なる」と前例を共有
    • 決定: APU/APV PR は両方とも クローズ。Final 投票直前のタイミングで interop 問題を引き起こす last-minute 追加を避ける判断
  • OID4VP PR #509 (privacy considerations): Daniel Fett が初期レビューで satisfactory と評価、追加レビュアー募集
  • OID4VCI 課題: PR #540 / #522(暗号化鍵の integrity protection 選択肢)と PR #500 が community review 必要

6 月 10 日 Americas コール(議事録: Torsten Lodderstedt、25 名出席)

Google / Cisco / NIST / Mastercard / Authlete / MATTR 等の代表者を含む 25 名。

  • OID4VP 公開タイムライン: 6 月 10 日に draft 29 投票通知、6 月 24 日に公開レビュー終了と 14 日投票期間開始、7 月 8 日に投票終了 / 公開
  • OID4VP: PR #509(privacy considerations)が仕様にマージ
  • OID4VCI: PR #520(signed issuer metadata)は実装必須ではなく optional とする方針、Issue #461 は「access token は分散システムでの効率的な nonce 管理のためのセッション識別子であり、protection 目的ではない」と整理
  • 決定: 公開レビューフィードバック反映後、draft 29 を投票対象 とする

6 月 12 日 APAC コール(議事録: Stefan Charsley、6 名出席)

参加者は Joseph Heenan、Oliver Terbu、Stefan Charsley、Andres Olave、Kenichi Nakamura、Anders Mellqvist の 6 名と少数。

  • VP: draft 29 への移行、verifier_attestationsverifier_info 用語変更、コンフォーマンステストは週末までに完了予定
  • VCI: WGLC への前進が直近で見込まれる
  • PR レビュー:
    • PR #525(c_nonce 用語整理): 改訂後 approve
    • PR #534(OAuth2 セキュリティ): actionable なガイダンスを目指す
    • PR #533(発行クレデンシャル数と鍵数の関係明確化)
    • PR #513(claims path クエリ整合): マージ済み
    • PR #505(暗号化サポート): EU コールでの深い検討に持ち越し
    • PR #517(format 削除): ステークホルダーフィードバック必要
  • 論点: クロスウォレットクレデンシャル提示(政府系ウォレットが政府発行クレデンシャルしか保持できない場合)、HAIP 推奨の refresh token 期限上限 1 年との整合

6 月 19 日 EU コール(議事録: Torsten Lodderstedt、9 名出席)

参加者は Daniel Fett、Andreea Prian、Andres Olave、Dima Postnikov、Stefan Charsley、Torsten Lodderstedt、Paul Bastian、Ajay Jadhav、Nat Sakimura の 9 名。

  • PR レビュー:
    • PR #509: Dima が一晩でレビュー、Andres が追加フィードバック
    • PR #520: 「fully signed」へ design shift する必要があるかを議論、参加者に実装要件の明確化を依頼
    • PR #505: TLS ベース credential endpoint 利用実装者への複雑性追加を避ける方針
  • Nonce endpoint protection(Issue #541、#461): access token を nonce 管理に使うかの議論
    • self-contained nonce は c_nonce に十分
    • DPoP-bound nonce は token request 必要のため最初は unprotected
    • access token が DPoP バインドの場合、nonce endpoint リクエストも DPoP 保護される
    • 合意: 「多くのセキュリティプロトコルでは nonce が初手で unprotected で提供される」業界慣行を踏襲
  • 決定: PR #520 設計手法に対する community feedback 募集、PR #505 のレビュー要請

6 月 24 日 Americas コール(議事録: Jin Wen)

月内最重要のコール。OID4VP の Final 投票開始と OID4VCI の WGLC 合意が同日に進んだ。

  • OID4VP: draft 29 を投票対象とすることが承認、アナウンス配信済み、投票進行中
  • OID4VCI: 2 件の PR(残レビュー)完了を待って WGLC 開始することに合意
  • Signed metadata: 「Issuer は interoperability のため application/json(unsigned metadata)をサポートしなければならない」「ウォレットが signed metadata をリクエストする場合は署名検証または unsigned 利用のいずれか」と明確化
  • Nonce endpoint: 「access token で nonce endpoint を保護する必要はない」「主目的は freshness であり replay protection ではない」と確認
  • スケジュール: HAIP が WGLC に進むまで Thursday コールを 2 時間延長。Global Digital Collaboration Conference(ジュネーブ)のため 7 月 1 日 Tuesday コールはキャンセル
  • アクションアイテム: メンバーは VP 投票に参加。Christian と Tobias がプレゼンテーション関連最終レビューを担当

6 月 26 日 EU friendly コール(議事録: Oriol Canadés Díez)

VCI 公開レビュー開始直前の最後の EU コール。

  • 公開レビュー進行判断: PR #509(Presentation During Issuance)を マージせずに公開レビューを開始、レビュー期間中に問題対処する方針で合意。「悪意ある issuer がプレゼンテーションリクエストを悪用する」mix-up 攻撃脆弱性が議論されたが、レビュー進行を優先
  • PR #520(signed metadata): 編集レビューと approval を経てマージ
  • Nonce endpoint: access token 保護不要の確認
  • 告知: 7 月 16 日(バーチャル)に Interop イベントを開催。参加者は仕様準拠と HAIP サポートを demonstrate する必要

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML(親アーカイブ)は週次インデックス形式。6 月の 5 週分(Week-of-Mon-20250602、20250609、20250616、20250623、20250630)の投稿は コール議事録および agenda が中心 で、独立した技術スレッドは数本に絞られる。注目すべき投稿は以下の通り。

4.1 Notice for Consensus Decision at 24th June 2025 DCP WG call on moving new revision of VP into public review & foundation wide voting for final — 2025-06-10(Joseph Heenan)

draft 29 を Final 投票対象とするための 14 日 consensus 通知と並行レビューの整合プロセスを示すスレッド。OIDF Process Document の「WG Draft を Final Specification として推薦する」要件への対応であり、6 月 24 日 Americas コールでの正式判断につながった。

4.2 Working group last call for OID4VCI / Notice for Consensus Decision at 8th July 2025 DCP WG call — 2025-06-24(Joseph Heenan)

OID4VCI 1.0 draft 16 を Final Specification として推薦するための 14 日 consensus 通知。公開レビューと並行に進む。draft 16 の内容は「Presentation During Issuance」「signed Credential Issuer metadata」を含む 2 件の保留 PR があるが、normative 変更は今後想定していない(editorial 修正のみ)と明記された。

4.3 Request for feedback on breaking change - removing 'format' variant of RAR request — 2025-06-13(Joseph Heenan)

PR #517 の breaking change 性に対する事前告知スレッド。Joseph Heenan は「credential_configuration_id で同等の機能が達成できるため、仕様簡素化として良い変更」と説明。「同意なら approval を、不同意なら reply してほしい」と早期フィードバックを促した。スレッド内で大きな反対は確認されず、6 月 12 日にマージされた。

4.4 OpenID4VCI Interop #2 - Initial Results — 2025-06-11(Gail Hodges)

第 2 回 OID4VCI Interop の初期結果。

  • 発行者 6: BDR、Fikua、OWF/MultiPaz、Lissi GmbH、Mattr、OIDF テストスイート
  • ウォレット 3: BDR、OWF/Multipaz、OIDF テストスイート
  • テスト結果: 20 ペア中 35% 通過、40% 解決可能、25% 未解決
  • フォーマット内訳: SD-JWT に集中(18 ペア)、mdoc は 2 ペアのみ(参加少数)
  • 次回: 6 月 17 日の OID4VP テストとの重複を踏まえ、Interop #3 のスコープと開催時期を WG にガイダンス要請

4.5 Results of 6/17 Interop: OpenID4VP v29 + DC API+ DCQL — 2025-06-24(Gail Hodges)

OID4VP draft 29 + DC API + DCQL の 6 月 17 日 Interop 報告。

  • 93 ペア中: 84 通過(90%)、7 既知問題(8%)、2 未知問題(2%)
  • ウォレット 5: Bunderstruckerei、Android Credman Wallet、OWF、Panasonic Connect 他
  • 検証者 8: Mattr、Bunderstruckerei、Cisco、Digital Credentials Verifier、OWF、Panasonic Connect、OpenID Foundation テストスイート 他
  • DCQL クエリ 3 種: Q1(mdoc / 33 ペア)、Q2(SD-JWT / 29 ペア)、Q16(mdoc 拡張属性 / 31 ペア)
  • 評価: 「仕様・テストいずれにも material concern は確認されなかった」。Final 化に向けた良好なシグナル

このスレッドは 6 月 24 日 Americas コールで Final 投票開始判断を支える根拠となった。

4.6 OpenID4VP: definition of Credential Format — 2025-06-23(Dimitar Stoikov)

OpenID4VP が「Credential Format Identifier」を定義する一方で「Credential Format」自体を仕様内で正式定義していないという指摘。OpenID4VCI 側には定義が存在し、暗黙の参照と読める箇所もある(「Cryptographic Holder Binding」言及など)。Final 化直前の文書整合の問題提起であった。

4.7 Latest OID4VC conformance test updates — 2025-07-03(Joseph Heenan、6 月最終週分の投稿)

OID4VP コンフォーマンステストが proposed 1.0 final + HAIP draft(ウォレット / 検証者、SD-JWT / mdoc 両対応)に追従済み、W3C Digital Credentials API 経由でのウォレットテストも可能になったことを共有。VCI は draft 2(HAIP 含む)で開発継続、wallet attestation は未対応だが取り組み中。Joseph は VCI 1.0 proposed final(HAIP 付き)対応のベンダーを募集した。

4.8 議事録投稿スレッド一覧(議事録の流通チャネルとしての ML)

6 月の議事録共有投稿は以下の通り。

4.9 その他

5. GitHub 上の議論

OpenID4VCI(openid/OpenID4VCI

6 月マージ PR は 25 件。draft 16 公開(6 月 27 日)に向けた集積で、PR #505(暗号化)/ PR #520(signed metadata)/ PR #517(format 削除)/ PR #534(OAuth2 セキュリティ)/ PR #558(nonce endpoint 整理)が中核。詳細は §2 参照。

重要 Issue の議論

Issue #538 - Security Considerations for Encryption

GarethCOliver が 6 月の PR #505 に付随して起票。「リクエスト / レスポンスの暗号化が有用な場面に関するセキュリティ考慮事項を追加」する目的。Final 1.0 マイルストーンで GarethCOliver にアサイン。後の 7 月 25 日マージの PR #569(Application Encryption Security Considerations)として実装される。

Issue #541 - nonce endpoint が access token 保護不要であることを明示

jogu が起票。Interop #2 で複数参加者が「nonce endpoint は access token 保護必須」と誤って仮定していた事実を踏まえ、仕様の明示化を求めた。PR #558(6 月 26 日マージ)で対応、Final 1.0 マイルストーン。

Issue #544 - Web view 不要のプルーフィングデータ提供

jogu が起票。「companion devices で web view を pop するのは現実的ではない」「米国の複数州が既に該当機構を本番運用中」という実装側の声を受け、selfie / クレデンシャル写真などの proofing data を web view を介さず提示する標準機構を提案。ISO 23220-3 が同種の機構を既に定義していることが参照された。1.1 のストレッチゴールに位置付けられた。

Issue #555 - Mention security analysis?

jogu が起票。Stuttgart 大学による形式セキュリティ解析の参照を仕様に含めるかの問題提起。8 月 7 日マージの PR #603(formal security analysis への参照追加)として後続。

OpenID4VP(openid/OpenID4VP

6 月マージ PR は 16 件。Final 投票準備のための編集系統合と PR #509 / #598 / #610 / #629 の重要追加(§2 参照)。

重要 Issue の議論

Issue #646 - Native Mobile Platform App-to-App フローでの origin ハンドリング

tplooker が起票。Appendix A は web ベースシナリオ(origin1.example.com 等)に焦点を当てているが、Android の CMWallet は Android Credential Manager を使い、android:apk-key-hash-sha256:<base64_encoded_sha256_hash-of-apk-signing-cert> という origin 構文を採用。FIDO Alliance 仕様の派生であり、ネイティブモバイル app-to-app シナリオでの origin ハンドリングを明確化するガイダンス追加を要請。Final 1.1 マイルストーン。

Issue #645 - Mention security analysis?

OID4VCI Issue #555 と対の VP 側 issue。jogu が起票。

Issue #642 - JWKS 内の use フィールド必須化

QZHelen が起票。Final 化直前の鍵管理セキュリティ強化の問題提起。

HAIP(openid/oid4vc-haip-sd-jwt-vc

6 月マージ PR は 3 件(§2 の表参照)。新規 Issue は #197(Issue #119 の重複として close)、#199(HPKE 移行)、#201(status management 接続)の 3 件。

Issue #199 - JWE アルゴリズムを ECDH-ES から HPKE へ

GarethCOliver が 6 月 11 日に起票。HAIP 1.0 リリース前に ECDH-ES から HPKE への切り替えを提案。論拠:

  • HPKE は ECDH-ES より一般に優れる
  • ポスト 1.0 でのアルゴリズム移行はエコシステムコストが高いため pre-1.0 採用が望ましい
  • JOSE HPKE draft が WGLC に到達済みで、HAIP より標準化が進んでおり normative reference に適する

1.1 or later マイルストーン に割り当てられ、合意形成にはさらに WG 議論が必要と認識された。

Issue #201 - status management とクレデンシャルの接続明確化

cre8 が 6 月 23 日に起票。HAIP における status list 仕様参照と HAIP 自身の役割の整理を求める issue。

Issue #197 - 鍵プルーフへの attestation 追加

siriscac が 6 月 6 日に起票。「jwt は鍵保有のみを示すが、attestation は鍵の出自と secure storage 特性も検証可能」という改善提案。Issue #119 の重複として close。

6. 関連イベント

Global Digital Collaboration Conference(ジュネーブ、7 月 1〜 2 日)

DCP WG メンバーと共同議長の多くが参加するため、7 月 1 日 Americas コールがキャンセルされた(Joseph Heenan、6 月 23 日告知)。6 月内には開催されないが、6 月の運営判断(コール延長 / キャンセル)を規定したイベントである。

G20 TechSprint(11 月 10〜 11 日、最終イベント)

6 月 20 日が応募締切。Gail Hodges(OpenID Foundation)が判定員に就任。デジタルアイデンティティ分野のスタートアップを対象とし、OIDF メンバーと OpenID4VC 実装者に応募を呼びかけた。

OpenID Attachments 1.0 Final 承認(6 月 26 日)

eKYC & IDA WG の成果である OpenID Attachments 1.0 が Final 承認された。DCP WG の直接成果ではないが、OIDF 全体の Final 化ペースを示すコンテキスト。

IETF 123(マドリード、7 月 19〜 25 日)への準備

6 月時点では DCP WG として SD-JWT VC、Client ID Prefix、token status list、client attestation の各ドラフトを OAuth WG / JOSE WG に持ち込む準備が進行中。実際の議論は 7 月のレポートに記録される。

7. 今後の予定(2025 年 6 月末時点の視点)

6 月末時点で見えていた継続課題と次月以降の動き:

  • OID4VP 1.0 Final 投票(〜 7 月 8 日): draft 29 を投票対象として Foundation 全体投票が進行中
  • OID4VCI 1.0 Final パブリックレビュー(6 月 29 日 〜 8 月 28 日): Notice of Vote は 8 月 18 日、投票は 9 月 1〜 15 日(予定)
  • PR #509(Presentation During Issuance): draft 16 では未マージ。レビュー期間中に Mix-up 攻撃対策を含めて議論を続け、後続 draft で取り込む方針
  • HAIP 1.0 整備: JOSE HPKE 移行(Issue #199)、attestation 形式の拡張(Issue #188)、cryptographic key binding 非依存クレデンシャルの扱いなどが論点
  • 次回 Interop: 7 月 16 日にバーチャル開催(OID4VCI 中心、HAIP サポート demonstrate を含む)
  • コール運営: 7 月 3 日 / 7 月 10 日の Thursday コールは 2 時間延長を継続。7 月 1 日 Americas コールは GDC のためキャンセル

8. 参考情報源