idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025年7月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC / SD-JWT VC / ISO/IEC 18013-5 mDL など)の発行・提示・交換に関わるプロトコル群を策定する OpenID Foundation の WG である。中核仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID4VC High Assurance Interoperability Profile (HAIP)、Self-Issued OpenID Provider v2 (SIOPv2)。共同議長は Kristina Yasuda(SPRIND)、Joseph Heenan(Authlete)、Dima Postnikov、Brent Zundel(Yubico)の 4 名。EU・APAC・Americas の 3 地域で毎週コールが開催される。

2025 年 7 月の DCP WG は、OID4VP 1.0 Final 承認OID4VCI 1.0 Final パブリックレビュー進行、そして シュトゥットガルト大学による OID4VP × DC API セキュリティ解析の最終納品 が重なった月であった。重要トピックは以下の 4 点に集約される。

  • 7 月 9 日: OID4VP 1.0 Final 公開ドラフトのリポジトリ反映(PR #654 マージ)と 7 月 10 日の Final 承認アナウンス(賛成 79 / 反対 2 / 棄権 17)
  • 6 月 29 日に開始した OID4VCI 1.0 Final パブリックレビュー(〜 8 月 28 日)の進行: 7 月中はレビューフィードバックを反映する PR が 16 件マージされ、draft 16 → draft 17 に進んだ
  • OID4VCI への Presentation During Issuance(PR #509)のマージ(7 月 22 日): Daniel Fett 起票の長期 PR が約 2 か月の議論を経て統合
  • シュトゥットガルト大学情報セキュリティ研究所による OID4VP + DC API セキュリティ解析の最終版受領(7 月 15 日付提出、7 月 22 日 Americas コールで WG として正式受理): claims unforgeability の証明完了、新規脆弱性なし

並行して HAIP リポジトリでは編集ベースのクリーンアップ(PR #187)、署名済み Issuer Metadata(PR #176)、x.509 ベースの鍵解決の必須化(PR #178)など、HAIP 1.0 WGLC を見据えた整備が進んだ。OpenID4VCI リポジトリでは 7 月マージ PR が 16 件、OpenID4VP リポジトリでは 11 件(Final 公開に伴う編集系が中心)、HAIP リポジトリでは 8 件 がマージされた。

ML 投稿は 7 月の週次インデックス 5 週分(6/30 週〜 7/28 週)にまたがり、コール議事録投稿が中心。週次平均で 6〜8 件、月計で 30 件超。独立した技術スレッドとしては DCQL Playground / DCQL TS 1.0 リリース告知(7 月 25 日、Timo Glastra)と、OID4VP+DC API 形式セキュリティ解析の正式受理依頼(7 月 17 日、Gail Hodges)の 2 本が目立った。

2. 公開された仕様・ドラフト改訂

OID4VP 1.0 Final 承認(2025 年 7 月 10 日)

OpenID Foundation は 2025 年 7 月 10 日に OpenID for Verifiable Presentations 1.0 Final Specification Approved を公開した。投票結果は以下の通り。

  • 賛成: 79
  • 反対: 2
  • 棄権: 17
  • 投票総数: 98 / 399 メンバー(24.6%、定足数 20% 超過)

DCP WG の中核仕様 3 点(OID4VCI / OID4VP / HAIP)のうち、最初の Final 化となった。リポジトリ側では同タイミングで以下の編集系 PR が連続マージされた。

PRタイトルマージ日著者
#654Changes for publishing 'final' revision of VP7 月 9 日jogu
#657Add 1.0 to document title7 月 10 日jogu
#653updates authors7 月 8 日tlodderstedt
#651Various editorial nits7 月 8 日jogu
#650Fix description of deviceauth_alg_values for mdoc + add examples7 月 9 日jogu
#648Update Digital Credentials API reference to FPWD7 月 8 日timcappalli

PR #650 は 7 月 8 日 Americas コールで議論された deviceauth_alg_values の記述を「which is HMAC 256/256」から「which has to indicate HMAC 256/256」に改める方向性が明確化された案件で、Tobias Looker のフォローアップ提案を経て同日中にマージされた。PR #648 は W3C Digital Credentials API の FPWD(First Public Working Draft)に参照を更新するもので、Tim Cappalli が起票。

OID4VCI 1.0 Final パブリックレビュー進行(6 月 29 日 〜 8 月 28 日)

Public Review Period for Proposed OpenID for Verifiable Credential Issuance 1.0 Final Specification は 6 月 29 日に告知済みで、7 月はそのパブリックレビュー期間内のフィードバックを反映する PR の活発なマージが続いた。タイムラインは以下の通り。

  • 60 日パブリックレビュー期間: 2025 年 6 月 29 日 〜 8 月 28 日
  • Notice of Vote: 2025 年 8 月 18 日(予定)
  • 14 日投票期間: 2025 年 9 月 1 日 〜 9 月 15 日(予定)

7 月のドラフトは draft 16 が公開済みで、-17 への番号繰り上げが PR #566(7 月 10 日マージ)で実施された。draft 16 をターゲットに 7 月 16 日には 3 回目の VCI Interop が開催され、39 ペアで 80% 通過、17% は解決可能な既知問題、3% は未解決という結果が報告された(7 月 21 日付 Gail Hodges 投稿)。Gail Hodges は「OpenID4VCI v16 仕様に新規の致命的問題は提起されていない」「テスト側にも致命的問題はない」と評価し、Final 化に向けた仕様の安定性が確認された。

OID4VCI への Presentation During Issuance 統合(PR #509、7 月 22 日マージ)

Daniel Fett が 2025 年 5 月 19 日に起票した PR #509 (Presentation During Issuance) が、約 2 か月の議論を経て 7 月 22 日にマージされた。Issuer がクレデンシャル発行プロセスの途中で別のクレデンシャル提示を要求できるユースケース(バイオメトリクス検証、クレデンシャルアップグレード等)への対応である。

7 月のレビューでは以下の論点が浮上した。

  • Authorization Challenge Response 様の応答機構の必要性: Charles Charlesworth が PAR 類似の応答機構を提案したが、Joseph Heenan が「Issuer は web flow フォールバックで既に interactivity を強制可能」とし、複雑性追加に慎重姿勢
  • エンドポイント方針: 既存の PAR を流用するか、新規エンドポイントを設けるか。ウォレット互換性の観点から 新規エンドポイント で合意
  • Mixup 攻撃懸念: Sakurann が auth_session リダイレクトに関する Mixup 攻撃の可能性を指摘し、Aaron Parecki に意見を仰ぐアクションが立てられた

7 月 22 日 Americas コール(議事録: Gareth Oliver、18 名出席)では「auth_session」用語を「presentation_request / presentation_response」へ変更する方針が承認され、authorization endpoint 経由の継続を許容する変更を含めて PR が同日マージされた。DC API 上での Presentation During Issuance は VCI 1.1 への持ち越しとされ、IANA 考慮事項に interaction_types_supported が追加された。

これに付随して、HAIP 側でも Issue #205 (IAR may be a replacement for PAR) が Daniel Fett により 7 月 10 日に起票された。HAIP 4.2 節の「authorization endpoint MUST use Pushed Authorization Requests」条項を、IAR を許容する方向に緩和すべきかという問題提起であり、1.1 以降のマイルストーンに割り当てられた。

Application Layer Encryption のセキュリティ考慮(PR #569、7 月 25 日マージ)

PR #569 (Application Encryption Security Considerations) は GarethCOliver が 7 月 10 日に起票し、Issue #538「Security Considerations for Encryption」への対応として OID4VCI の 12.x 章にあたる Security Considerations 節へアプリケーション層暗号化のガイダンスを追加するもの。dastoikov の初期レビュー(7 月 11 日)、Sakurann の複数ラウンドのレビューを経て、7 月 24 日 EU コールで議論されたうえで 7 月 25 日に jogu がマージした。Final 1.0 マイルストーンに紐付けられている。

HAIP 主要 PR マージ(7 月)

HAIP(openid/oid4vc-haip-sd-jwt-vc)では Editor's Draft レベルで 8 件の PR がマージされ、HAIP 1.0 WGLC に向けた整備が継続した。

PRタイトルマージ日著者
#176signed issuer metadata7 月 16 日c2bo
#178Key resolution options: require x509_hash, remove web based key resolution7 月 22 日c2bo
#187HAIP clean-up7 月 8 日Sakurann
#200Clarify exactly which wallet attestation JWT the x5c header goes into7 月 8 日jogu
#204Add version number (1.0) to document title7 月 11 日jogu
#207clarify that Wallet Attestations must not contain linkable information7 月 22 日paulbastian
#209fix bulletpoint rendering7 月 17 日Sakurann
#212Fix minor typos7 月 22 日adeinega

PR #187 (HAIP clean-up) — 7 月 8 日マージ

Sakurann 起票の編集系統合 PR。Profile されている仕様一覧の追記、Clause 4.1 の文言明確化、用語「Client Identifier Scheme」→「Client Identifier Prefix」への変更、Authorization Request Framework の参照バージョン更新などを一括で実施。jogu / paulbastian / charsleysa の 3 名 approval。

PR #176 (signed issuer metadata) — 7 月 16 日マージ

c2bo 起票、Issue #156 への対応。論点は「TLS で十分ではないか」と「アプリケーション層認証の必要性」の二項対立で、提唱側は「企業環境では TLS proxy が一般的」「eIDAS のアクセス証明書要件」を挙げて application-level signature の意義を主張。ウォレット側に署名済みメタデータのサポートを必須化すべきか(TimoGlastra 提案)も議論されたが、ウォレット必須化は見送り、Issuer 側の RECOMMENDED に留める 結論。エコシステムポリシーで強化する余地を残した。

PR #178 (Key resolution options) — 7 月 22 日マージ

c2bo 起票、3 月から長期議論された PR。HAIP の鍵解決機構として x.509 証明書を唯一の必須メカニズム とし、x5c JOSE ヘッダ経由でリーフ証明書 SAN と Issuer URL を一致させる方式に統一。クライアント識別子は x509_san_dns から x509_hash 必須サポートへ変更。証明書ローテーション周期(1〜3 年)に伴う x509_hash 値の変動が外部リスト管理を複雑化する懸念(awoie 指摘)が残ったまま、blocking ではないとしてマージ。Issue #43 / #102 / #35 がクローズされた。

3. ミーティングと議論

DCP WG は 3 地域で毎週コールを開催し、7 月は議事録が ML に投稿されたコールが少なくとも以下の 9 件あった。7 月 24 日の APAC コールはキャンセル(Joseph Heenan が 7 月 23 日に告知)。

日付 (2025 年)区分議事録投稿者主要トピック
7 月 8 日(火)AmericasChristian Bormann(18 名出席)OID4VP 1.0 Final 承認確認、deviceauth_alg_values 文言議論、HAIP 整理
7 月 10 日(木)APACAndres Olave(6 名出席)VCI public review、HAIP 49 issues、PDI、HPKE
7 月 10 日(木)EU(ML 議事録の独立投稿は確認できず)ML 議事録なし
7 月 15 日(火)AmericasChristian Bormann(16 名出席)PR #509 議論深堀り、HAIP attestation 必須化緩和
7 月 17 日(木)APACStefan Charsley(8 名出席)VCI v16 Interop 結果、HAIP key vs wallet attestation 整理
7 月 22 日(火)AmericasGareth Oliver(18 名出席)VCI v16 Interop 第 3 回結果、OID4VP+DC API セキュリティ解析正式受理、PR #509 マージ承認
7 月 22 日(火)Americas (SIOP)Lenah Chacha(22 日コールの別議事録)VCI / OID4VP セキュリティ解析、HPKE
7 月 24 日(木)EUWen, Jin(13 名出席)IETF Madrid デブリーフ、PR #509 マージ後対応、HAIP 議論
7 月 29 日(火)AmericasGareth OliverFIDO 通知エンドポイント、Server-to-Server、JOSE HPKE、HAIP 鍵 attestation
7 月 31 日(木)APACStefan Charsley(7 名出席)DC API 制約、HAIP PR レビュー
7 月 31 日(木)EUJan Vereecken(16 名出席)Deferred Credential Endpoint 統合、Pre-auth flow ユースケース

7 月 8 日 Americas コール(議事録: Christian Bormann、18 名出席)

参加者は Christian Bormann、Andy Regenscheid、Brian Campbell、Gail Hodges、Joseph Heenan、Michael Jones、Oliver Terbu、Tobias Looker、Torsten Lodderstedt 等 18 名。OID4VP の Final 投票が closed され「approved as final」となった旨が共有された(公式発表は 7 月 10 日)。

  • OID4VCI: パブリックレビューへの advance を全会一致で確認
  • OID4VP: 著者リストに Daniel Fett と Joseph Heenan を追加、Adam Lemmon と Tobias Looker を初期コントリビュータとして謝辞節に明記
  • deviceauth_alg_values(mdoc)議論: 「which is HMAC 256/256」を「which has to indicate HMAC 256/256」へ改める方向で合意。Tobias がリワード提案と例示を持ち回り
  • マージされた PR: Digital Credentials API 参照更新と編集系修正の 2 件

7 月 10 日 APAC コール(議事録: Andres Olave、6 名出席)

参加者は Veaceslav Dimitroglo、Nat Sakimura、Andres Olave、Kenichi Nakamura、Joseph Heenan、Stefan Charsley の 6 名と少数。

  • イベント: IETF Madrid(7 月 21 日週)で client attestation、token list、Client ID Prefix が議論される予定。DICE は 9 月 → 11 月に延期
  • VP 1.0 Final 公開とコンフォーマンステスト提供開始
  • VCI: パブリックレビュー進行中、7 月 16 日に Interop 予定。コンフォーマンステストも更新中
  • PDI(Presentation During Issuance): Joseph が「optional とし、Issuer がメタデータでサポートを開示」と整理。Stefan が「未認識のカスタムタイプを受信したウォレットの挙動明確化が必要」と提起
  • HAIP: 1.0 Final 向け 49 件の issue がタグ付け済み。HPKE 必須化の是非、信頼ルート前提に依存しない HAIP 適用(NZ 等)、「high assurance」の定量定義などが議題
  • APAC ミーティング継続: HAIP 公開まで毎週開催を維持し、変更見落としを防止
  • VCI 投票タイムライン: 8 月 29 日〜 9 月 12 日(後に 9 月 1 日〜 15 日へ調整)

7 月 15 日 Americas コール(議事録: Christian Bormann、16 名出席)

参加者は Brian Campbell、Bjorn Hjelm、Christian Bormann、Daniel Fett、David Waite、David Zeuthen、Gareth Oliver、Joseph Heenan、Kristina Yasuda、Martijn Haring、Michael Jones、Peter Sorotokin、Rajvardhan Deshmukh、Tobias Looker、Tom Jones、Torsten Lodderstedt、Victor Lu の 16 名。

  • PR #509(Presentation During Issuance): エンドポイントとレスポンスモード(session transcript の修正)を中心に技術議論
    • Tobias: IAR エンドポイントを OID4VP レスポンスにも再利用する案
    • Daniel: 「セキュリティリスク回避のため implementer's advice として扱うべき」
    • 新規 response mode の方が semantics が明確かを検討
    • クライアント ID スキーム、ウォレットプロトコルディスカバリ、タイプサポート議論
    • Kristina の整理: ウォレットプロトコルサポートディスカバリにはさらに時間が必要、response mode 確定を優先しタイプ議論は後続作業に分離
  • HAIP Issue #188(Attestation 必須化): Martijn が必須要件の削除を要請。key attestation と client attestation を分離 すべきとの認識で合意。key attestation はネイティブサポートが妥当、client attestation は標準 OAuth/JWT パターンで足りる

7 月 17 日 APAC コール(議事録: Stefan Charsley、8 名出席)

参加者は Christian Bormann、Martijn Haring、Daniel Fett、Craig Lambie、Kenichi Nakamura、Andres Olave、Joseph Heenan、Stefan Charsley の 8 名。

  • VCI v16 Interop 成功: 「致命的問題なし」と暫定報告。レポートは ML 配信済み。コンフォーマンステストも VCI draft 16 / VP 1.0 final へ更新済み
  • OID4VCI PR レビュー:
    • PR #509(Presentation During Issuance)と PR #569(Application Encryption Security Considerations)はコミュニティレビュー要請
    • PR #574(配列必須化)は最終承認 1 件待ち
    • クレデンシャルメタデータのインデント・スコープ明確化の編集系 issue は Christian にアサイン
  • HAIP attestation 議論:
    • Martijn: 既存 attestation フォーマットを「rewrap や再フォーマット必須化なし」で利用可能とすべき。コストと安全性の観点
    • Christian: 標準化されたアプローチがクライアント認証とウォレット検証を保証、特に EU 規制文脈で重要
    • 解決: key attestation 要件(Issue #188)と wallet attestation 考慮(Issue #211)を別 GitHub issue に分割し、必須化なしの推奨記述で進行

7 月 22 日 Americas コール(議事録: Gareth Oliver、18 名出席)

参加者は Gareth Oliver、Kristina Yasuda、Joseph Heenan、Gail Hodges、Google・NIST・ANSI・1Password・MATTR・Authlete 等の代表者を含む 18 名。月内最重要のコール

  • VCI v16 Interop 結果: 47 ペア中 81% 通過、17% 解決可能な既知問題、2% 未解決問題。発行者 7 / ウォレット 5。データ追加待ち
  • OID4VP+DC API セキュリティ解析の正式受理: シュトゥットガルト大学による形式解析を WG として受理
    • 検証された性質: verifier authentication、wallet authorization、claims unforgeability
    • スコープ外: HAIP、VCI、フォールバック機構
  • HAIP:
    • Issuer メタデータ必須化の議論
    • 暗号鍵バインディング非依存クレデンシャルの許容
    • 厳格な鍵長要件は地域ごとの要件を不必要に制約しうる
  • PR #509(Presentation During Issuance): 用語を auth_session から presentation_request / presentation_response へ変更で合意、authorization endpoint での継続を許容する PR をマージ
  • 管理事項: その週の 9 AM ドイツ時間コールはキャンセル

別途、Lenah Chacha が同 22 日 Americas コールの議事録を別投稿として 7 月 28 日に ML 配信。VCI v16 21 日テスト結果(63 通過、32 既知問題、1 新規問題)、OID4VP セキュリティ解析の WG レビュー要求、PR #572 アサイン、Issue #160 / #199(HPKE は 1.0 で deferred)/ #15(POST モード追加でクローズ)の状況、HPKE と関連パラメータの ISO トラッカー確認が共有された。

7 月 24 日 EU コール(議事録: Wen, Jin / Joseph Heenan + Torsten Lodderstedt 議長、13 名出席)

参加者は Sony / 1Password 他を含む 13 名。

  • IETF Madrid デブリーフ: SD-JWT VC 仕様で「問題のある記述の削除」が圧倒的支持。Client ID Prefix draft 採択のため interim ミーティング設定
  • OID4VCI 1.0 進捗:
    • PR #509(Presentation During Issuance)はマージ済み、セキュリティ問題に対処
    • PR #569(Application Layer Encryption の達成範囲と限界)はレビュー要請
    • PR #583(credential / deferred credential endpoint 統合)が進行
  • HAIP 主要決定:
    • 暗号鍵バインディング非依存クレデンシャルを許容(デバイス変更時に再発行不要な「長寿命クレデンシャル」が成立可能に)
    • FAPI2 セキュリティ要件と sender-constrained token を必須化
    • ephemeral encryption keys を必須化
  • VCI v16 Interop: 7 月 16 日テストの確定値として「87% 通過、11% 解決可能、未解決ごく少数」を報告
  • 積み残し: クロスデバイスフローのセキュリティ、high assurance 定義、SD-JWT disclosure ポリシー

7 月 29 日 Americas コール(議事録: Gareth Oliver)

参加者は Gareth Oliver、Torsten Lodderstedt、Joseph Heenan、Gail Hodges、Steve Venema、Brian Campbell、Lee Cam、Christian Bormann、Daniel Fett、Oliver Terbu、Martijn、Tobias Looker、Bjorn Hjelm。

  • FIDO 通知エンドポイント: FIDO がデジタル支払いクレデンシャルの通知エンドポイント / ライフサイクル管理を策定中。1.1 で取り込み可能だが「8 月に専用セッションを設けたい」と先取り議論を要請
  • Server-to-Server 通信: Gareth が「リファレンスモデルと共通理解」をまとめる初稿を担当する AI を立てた
  • JOSE HPKE: WGLC まで追加修正が見込まれ、breaking change の可能性あり
  • VCI: Issuer メタデータ例の追加レビュー、Deferred Credential Endpoint の実装フィードバック待ち
  • HAIP: 鍵 attestation と相互運用性。「should」言語で十分か、4.1 節相当の条件付き表現にすべきかを討議

7 月 31 日 APAC コール(議事録: Stefan Charsley、7 名出席)

参加者は Martijn、Kenichi Nakamura、Hiroyuki Sano、Matt McInnes、Andres Olave、Joseph、Stefan を含む 7 名。

  • Client attestation、token status list、SD-JWT DID 議論が決着方向
  • JOSE HPKE は追加変更見込み(breaking change 可能性)
  • HAIP ドラフトを ISO ミーティングで提示済み、VCI はパブリックレビュー期間中
  • VCI 議論: VP / IAR エンドポイントの SessionTranscript 仕様、DC API メカニズムについて「DC API フローは DC API 以外で起動できない」との HAIP ガイドライン整合を確認、iar: 接頭辞修飾が OID4VP コンプライアンスを制約するかを議論
  • PR レビュー要請: VCI #584 / #583、HAIP #222 / #223 / #214 / #208。Stefan が #584、Christian が #583 を担当
  • 積み残し: スコープ公開要件、AS メタデータ公開パスの整理

7 月 31 日 EU コール(議事録: Jan Vereecken、16 名出席)

参加者は Kristina Yasuda、Ryan Galluzzo、Michael Jones、Daniel Fett 他 16 名。

  • 標準化進捗: client attestation、token status list が好調進行。SD-JWT × DID 統合は決着、JOSE HPKE は breaking change 可能性
  • クレデンシャルエンドポイント統合: PR #583 で deferred credential endpoint コンテンツをメインへ集約進行
  • プライバシー/セキュリティ: バッチ発行クレデンシャルへのタイムスタンプ規定を「SHOULD」言語で取り込み、複数フォーマット間の origin 値の整理
  • 仕様改善 PR:
    • JWKS 取得のセキュリティガイダンス
    • Issuance エンドポイントへの署名済みリクエスト例
    • Authorization Server 用メタデータサポート要件
  • フォーマット固有要件: SD-JWT VC を必須化するか、ISO mdoc を許容するか。共通要件とフォーマット固有要件を分離するための再構成計画
  • Pre-auth フロー: 認証済みユーザへの再認証なし発行ユースケースを認知、追加検討要

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML(親アーカイブ)は週次インデックス形式。7 月の 5 週分(Week-of-Mon-20250630、20250707、20250714、20250721、20250728)の投稿は コール議事録および agenda 中心 で、独立した技術スレッドは少ない。注目すべき投稿は以下の通り。

4.1 DCP WG to Accept: Report Security Proof for OID4VP+DC API - Milestone A.1(B) — 2025-07-17(Gail Hodges)

7 月最重要の独立スレッド。シュトゥットガルト大学 Ralf Küsters 教授チームが 7 月 15 日付で「Final Security Analysis of OpenID4VP + DC API」を OIDF に納品した旨が告知された。Gail は WG に対し以下 3 点を求めた。

  • レポートをレビューし issue を起こす(致命的セキュリティ問題は発見されなかったが、推奨事項を確認する)
  • 共同議長が翌週の DCP コールにシュトゥットガルトチームの presentation を組み、WG コール内で正式に受理する
  • リエゾンチャネルを通じて ISO に共有し、完了とセキュリティ検証を確認する

実際に 7 月 22 日 Americas コールで WG として正式受理が行われた。なお openid.net ニュースサイトでの公表は 8 月 20 日に持ち越された(OIDF receives security analysis of OpenID for Verifiable Presentations)。

4.2 DCQL Playground and 1.0 release of DCQL TypeScript library — 2025-07-25(Timo Glastra / Animo)

OID4VP 1.0 Final 公開を受け、Animo Solutions の Timo Glastra(OpenWallet Foundation Labs DCQL TypeScript メンテナ)が以下をリリース告知。

  • DCQL Playground: dcql.animo.id にて公開
  • DCQL TypeScript ライブラリ 1.0: NPM パッケージ dcql、リポジトリ openwallet-foundation-labs/dcql-ts、Apache 2.0
  • 対応範囲: OpenID4VP 1.0(古いドラフト機能を一部継続サポート)、全 DCQL 機能とクレデンシャルフォーマット
  • マッチング機能: format / type メタデータバリデーション、claim set マッチング、個別 claim バリデーション、trusted authority クエリマッチング

WG メンバーへのフィードバックを募るスレッドであった。

4.3 Preliminary Results: OpenID4VCI v16 Interop #3 — 2025-07-15 / 16(Gail Hodges)

7 月 16 日に実施された VCI v16 Interop 第 3 回の暫定結果報告。39 ペア中 67% 通過、31% 解決可能、3% 未解決。Bundesdruckerei、Mattr、Meeco、OIDF テストスイート他、発行者 7 / ウォレット 5 が参加。SD-JWT / mdoc × Custom URI 起動 × HAIP モード / private_key_jwt / no attestation などの組み合わせを網羅。「OpenID4VCI v16 仕様に新規致命的問題なし」「テスト側にも致命的問題なし」と評価。

7 月 21 日付フォローアップ で 80% 通過に更新、最終確定値は EU コール(7 月 24 日)で 87% 通過と報告された。Gail は「DC API ベースのトランザクション開始は 1.1 で検討」と先送り方針も示した。

4.4 Results of 6/17 Interop: OpenID4VP v29 + DC API+ DCQL — 2025-07-07 アーカイブ収録(Gail Hodges、原投稿は 6/24)

6 月 17 日 OID4VP v29 + DC API + DCQL Interop の最終報告。93 ペア中 90% 通過、8% 既知問題、2% 未知問題。Mattr / Cisco / Panasonic Connect / OpenID Foundation 等が参加、ウォレット 5 / 検証者 8。3 種類の DCQL クエリシナリオを網羅。Gail は「仕様・テストいずれにも致命的問題なし」「Final 化に向けた良好な軌道」と評価。OID4VP 1.0 Final 投票(6 月 24 日 〜 7 月 1 日)の信頼性裏付けに位置付けられた。

4.5 議事録投稿スレッド一覧(ML が議事録の流通チャネル)

7 月の ML 投稿の大半は各地域コール議事録の共有である。

なお APAC call this week cancelled(7 月 23 日、Joseph Heenan)で 7 月 24 日 APAC コールの中止が告知された。

5. GitHub 上の議論

OpenID4VCI(openid/OpenID4VCI

7 月マージ PR は 16 件。draft 16 のパブリックレビュー期間中であり、フィードバック反映の編集系修正と、PR #509 (PDI) / PR #569 (Application Encryption SC) の重要追加が並行進行した。

PRタイトルマージ日著者
#509Presentation During Issuance7 月 22 日danielfett
#556Editorial: authorization details in token requests/responses7 月 22 日sloops77
#557Editorial: make urls in examples consistent7 月 16 日sloops77
#560Rechecked terms defined in PR 155 are used correctly7 月 17 日deshmukhrajvardhan
#564fix rendering issues for examples exceeding maximum width7 月 16 日c2bo
#565clarification on signed metadata that parameters are included as top-level7 月 16 日paulbastian
#566Increase draft number to 17 now 16 has been published7 月 10 日jogu
#568Add version number (1.0) to document title7 月 10 日jogu
#569Application Encryption Security Considerations7 月 25 日GarethCOliver
#571Fix typo in 8.2 Credential Request7 月 15 日thomasdarimont
#574Add "non-empty" to a few arrays added since the last pass7 月 22 日jogu
#575update change controller to dcp wg7 月 22 日Sakurann
#578fix indentation of logo object in issuer metadata7 月 22 日c2bo
#581Fix grammar/punctuation/typos7 月 31 日jogu
#582Fix indentation of 'uri' in credential_metadata background_image7 月 29 日jogu
#586Fix url for VC_DATA to reference the 1.1 version7 月 25 日lebedenko-ubique

重要 PR・Issue の議論

PR #509 - Presentation During Issuance

§2 で詳述。Daniel Fett 起票、5 月 19 日から議論、6 名 approval を経て 7 月 22 日マージ。Mixup 攻撃懸念(Sakurann)、エンドポイント方針(新規 vs PAR 流用)、Authorization Challenge Response 様のレスポンス機構(Charles Charlesworth 提案)を議論し、新規エンドポイント + 用語変更(presentation_request / presentation_response)で着地。DC API 上での適用は VCI 1.1 へ持ち越し。

PR #569 - Application Encryption Security Considerations

§2 で詳述。GarethCOliver 起票、Issue #538 への対応。dastoikov、Sakurann、tlodderstedt、c2bo、charsleysa が複数ラウンドのレビュー。7 月 24 日 EU コールで議論ののち 7 月 25 日 jogu がマージ。

Issue #577 - Extension point to support other key attestation formats?

c2bo が 7 月 17 日に起票(後にクローズ、Final 1.0 マイルストーン)。HAIP 側の鍵 attestation フォーマット拡張議論を踏まえ、VCI が JWT 形式を標準としつつ他フォーマットを許容する仕組み(Issuer メタデータ・proof type でのシグナリング)を 1.0 に組み込むべきかの問題提起。HAIP 1.0 で代替フォーマット記述に対応するために必要かを議論する目的。

Issue #591 - Presentation during issuance - ISO/IEC 18013/23220 based presentment flow

martijnharing が 7 月 31 日に起票。PR #509 で SD-JWT VC ベース PDI が入った直後に、ISO mdoc / 23220 ベースの提示フローを VCI で扱うかの問題提起。

Issue #587 - Support securing W3C VCs using SD-JWTs

lebedenko-ubique が 7 月 29 日に起票。W3C VC の SD-JWT による securing をサポートする要望。VC Data Model 1.1 / 2.0 と SD-JWT の整合に関わる長期論点として持ち越し。

Issue #592 - timestamp for the batch issued credentials

Sakurann 起票。バッチ発行クレデンシャル群へのタイムスタンプ付与をプライバシー観点から SHOULD で推奨する方針が 7 月 31 日 EU コールで合意された経緯と直結。

OpenID4VP(openid/OpenID4VP

7 月マージ PR は 11 件。Final 公開のための編集系修正が中心。

PRタイトルマージ日著者
#636Fix three typos in Draft-297 月 3 日dastoikov
#638Clarify that QR code include both client_id and request_uri7 月 3 日jogu
#639Fix broken link to DC API error response privacy considerations7 月 3 日jogu
#640fix: list indentation and styling7 月 3 日charsleysa
#648Update Digital Credentials API reference to FPWD7 月 8 日timcappalli
#649Fix broken internal link in Trusted Authorities Query section7 月 4 日jogu
#650Fix description of deviceauth_alg_values for mdoc + add examples7 月 9 日jogu
#651Various editorial nits7 月 8 日jogu
#653updates authors7 月 8 日tlodderstedt
#654Changes for publishing 'final' revision of VP7 月 9 日jogu
#657Add 1.0 to document title7 月 10 日jogu

PR #648 は Digital Credentials API の W3C FPWD(First Public Working Draft)を OID4VP の参照に反映する変更で、7 月 8 日に Tim Cappalli が マージ。OID4VP 1.0 Final が DC API FPWD と整合する形で公開された意義は大きい。

HAIP(openid/oid4vc-haip-sd-jwt-vc

7 月マージ PR は 8 件(§2 の表参照)。新規 issue としては #205 と #227 の 2 件。

Issue #205 - IAR may be a replacement for PAR

danielfett が 7 月 10 日に起票。HAIP の現 4.2 節が「authorization endpoint MUST use Pushed Authorization Requests (PAR)」と RFC 9126 必須化を規定している点について、OID4VCI 側で PR #509 が IAR サポートを追加する方向性を踏まえ、HAIP も IAR を許容すべきという問題提起。1.1 マイルストーンに割り当て、議論継続。

Issue #227 - Wallets must support the pre-auth flow

leecam が 7 月 31 日に起票。多くの発行ユースケースが「ウェブサイトやアプリで既に認証済みのユーザに対する発行」であるため、ウォレット側に authorization code フローと pre-authorization code フローの両方の必須サポート を要求し、Issuer はユースケースに応じて選択可能とすべきとの提案。1.1 マイルストーン。

6. 関連イベント

IETF 123(Madrid、2025 年 7 月 19〜25 日)

7 月の最大の対外イベント。DCP WG として SD-JWT VC、Client ID Prefix、token status list、client attestation の各ドラフトを OAuth WG を中心に持ち込み、議論を継続した。7 月 24 日 EU コールでは「SD-JWT VC の問題のある記述を削除する」方向で圧倒的支持があったこと、Client ID Prefix の draft adoption に向けた interim ミーティング設定が共有された。

W3C Digital Credentials API FPWD 反映(7 月 8 日)

PR #648 により OID4VP が W3C DC API の FPWD(First Public Working Draft)を参照する形で更新された。OID4VP 1.0 Final リリースに合わせた整合作業。

OID4VP 1.0 Final 公開イベント(7 月 10 日)

OpenID Foundation の中核仕様としては EU eIDAS 2.0 アーキテクチャに直結する OID4VP の Final 化が、DCP WG の年内の最大マイルストーンの一つとして達成された。

DICE 2025 の延期(9 月 → 11 月)

7 月 8 日 Americas コール / 7 月 10 日 APAC コールで共有。

7. 今後の予定(2025 年 7 月末時点の視点)

7 月末時点で見えていた継続課題と次月以降の動き:

  • OID4VCI 1.0 Final パブリックレビュー終了(8 月 28 日)と Notice of Vote(8 月 18 日): 9 月 1〜15 日の投票へ
  • HAIP 1.0 WGLC 準備: 49 件タグ付けされた issues を継続クローズ。鍵 attestation / wallet attestation 必須性、HPKE 必須化、署名済みメタデータの扱いが主要論点
  • Presentation During Issuance(DC API 経由): VCI 1.1 への持ち越し
  • OID4VP × DC API セキュリティ解析の活用: 7 月 22 日に WG 受理済み、ISO へのリエゾン共有、openid.net 公式公開の準備(後に 8 月 20 日に公表)
  • FIDO 通知エンドポイント・ライフサイクル管理との連携: 8 月に専用セッション設定の方向
  • Server-to-Server リファレンスモデル: Gareth が初稿を起こすアクションアイテム
  • JOSE HPKE の WGLC: breaking change の可能性を踏まえ DCP WG として注視
  • IIW 41(10 月予定)に向けたハイブリッドミーティング計画

8. 参考情報源