idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025年10月)

執筆日: 2026-04-25(遡及執筆)

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC / SD-JWT VC / ISO/IEC 18013-5 mDL など)の発行・提示・交換に関わるプロトコル群を策定する OpenID Foundation の WG である。対象仕様は OpenID for Verifiable Credential Issuance (OID4VCI)OpenID for Verifiable Presentations (OID4VP)OpenID4VC High Assurance Interoperability Profile (HAIP)Self-Issued OpenID Provider v2 (SIOPv2) を中核とする。共同議長は Kristina Yasuda(SPRIND)、Joseph Heenan(Authlete)、Dima Postnikov、Brent Zundel(Yubico)の4名。

2025年10月の DCP WG は、HAIP 1.0 の最終仕様化に向けた大詰め が最大のトピックであった。10月8日に Joseph Heenan が 14日間の Working Group Last Call(WGLC)を告知し、翌9日には HAIP Draft 05 が公開 された。同時に HAIP 1.0 を超える次期課題(HPKE 統合、Server-to-Server Issuance、クレデンシャルメタデータ等)の洗い出しも行われ、IIW 41(10月21〜23日、Mountain View)の直前 10月20日にはハイブリッドミーティングで30名超が集まり優先順位付けが議論された。

10月末時点で HAIP 1.0 は WGLC 通過後メール投票に移行し、公開レビュー終了は12月3日、Final 投票開始は12月9日、Christmas 前の最終公開が現実的なスケジュールとして認識されていた。

2. 公開された仕様・ドラフト改訂

HAIP Draft 05 の公開(2025年10月9日)

Joseph Heenan が 2025-10-09 19:14 UTCHAIP Draft 05 の公開告知 を送信。公開レビューと投票提出用の版として OIDF 事務局へ提出された。主要な変更点は以下:

  • 同一デバイスフローの義務化: リダイレクトベースの OpenID4VP において、同一デバイスフローのサポートを MUST 化
  • ウォレット認証フォーマット: 必須(MUST)から推奨(RECOMMENDED)へ緩和
  • 暗号スイートの強化: ECDSA with P-256 および SHA-256 を最低限必須化
  • FAPI 2.0 Security Profile 準拠: VCI で FAPI 2.0 プロファイル適用を要件化
  • SD-JWT 発行者の HTTPS URL 要件削除: 制約を緩和し、エコシステム側の柔軟性を確保
  • 画像レンダリング: PNG・SVG フォーマットの明示的サポート

HAIP 1.0 Working Group Last Call(2025年10月8日開始)

Joseph Heenan が Working group last call for OpenID4VC High Assurance Interoperability Profile を10月8日に送信し、14日間の WGLC を正式開始。10月24日の DCP WG コールでコンセンサス決定を予定していたが、実際には後述の通り10月28日コールでメール投票への移行が決定された。

WGLC 前の Pre-WGLC 段階(10月2日)では、以下6件の normative PR が HAIP 1.0 の最終構成として検討対象であった:

PRタイトル
#293enforce same device flow for redirect-based OpenID4VP
#291Allow other Wallet Attestation formats
#289Add note about revocation mechanisms in ISO 18013-5
#276Reword SD-JWT credential validity text
#231What does High Assurance mean?
#214Require use of FAPI2 with VCI

OID4VCI / OID4VP / SIOPv2

10月中、OID4VCI・OID4VP・SIOPv2 は Implementer's Draft レベルの新規版公開はなく、HAIP 1.0 最終化後の次期課題を洗い出すフェーズであった。GitHub 上では次期仕様に向けた設計提案が活発化(§5 参照)。

3. ミーティングと議論

10月20日 Pre-IIW Hybrid Meeting(Mountain View 現地 + オンライン)

IIW 41 の前日にあたる10月20日、30名超が参加するハイブリッドミーティング が開催された。参加者には Joseph Heenan、Kristina Yasuda、Gareth Oliver、Mike Jones、Dirk、Mohammed、Lukasz、Ryo Nakashima、Hideaki Furukawa、Chris Philips、Frederik Krogsdal Jacobsen らが含まれる(議事録 Week-of-Mon-20251020/000977.html より)。

PR #313 — 発行フロー要件の MUST vs SHOULD 論争

最大の議論焦点は PR #313「Clarify issuer-initiated vs wallet-initiated issuance」。原案は「Wallet は issuer-initiated flow を MUST サポート」とする内容だったが、参加者の一部から「すべてのエコシステムがこれを必要とするとは限らない」との反論があり、最終的に SHOULD に緩和 し、エコシステム実装ガイドライン側で推奨を明記する方向でコンセンサスに向かった。WG 議論が規範要件の温度感を調整した代表例。

HPKE 統合 — 複数政府機関の強い要望

Lee Campbell が「複数の大規模政府機関が OpenID4VP 採用の条件として HPKE 対応を求めている」と指摘。Mike Jones(JOSE HPKE ドラフトエディタ)は JWE への新しい鍵確立モードとして HPKE を統合する提案 を準備中であることを報告し、次回 IETF ミーティング後の更なる検討を予告した。

未解決の論点

  • 単一用途クレデンシャル(single-use)ポリシー通信: ETSI 標準との調整が課題
  • 悪意ある発行者からの保護: 仕様本文への注意喚起文言追加の要否
  • エコシステム拡張例: 過去に削除された例の再追加検討

10月28日 DCP WG Call(ポスト IIW)

IIW 直後の10月28日コール(Week-of-Mon-20251027/000990.html)では、IIW サマリ・HAIP PR/Issue レビュー・Interactive Authorization Endpoint が議題に上がった。

HAIP WGLC 投票の延期とメール投票への移行

10月24日コールで予定されていた WGLC コンセンサス投票は「金曜の議題に含まれなかった」ため実施されず、メール投票形式に移行 することが決定。これにより仕様ステータスのタイムラインは以下に確定:

  • 公開レビュー終了: 2025年12月3日
  • Final 仕様投票開始: 2025年12月9日
  • Christmas 前の Final 公開が現実的スケジュールとして認識

IIW 41 からのテイクアウェイ

  • Server-to-Server Issuance プロトコル の進捗(GitHub issue #663 に要件整理)
  • 単一使用クレデンシャル・クレデンシャルメタデータ・HPKE の設計課題
  • ニュージーランド Interop イベント 開催予定(並行オンライン)

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML の2025年10月の週次アーカイブから、技術的に重要なスレッドを抜粋:

件名送信者開始日概要
Pre-WGLC notification for OpenID4VC High Assurance Interoperability ProfileJoseph Heenan2025-10-026件の normative PR を HAIP 1.0 最終構成として提示。形式的 WGLC への移行を予告
Working group last call for OpenID4VC HAIPJoseph Heenan2025-10-0814日間の WGLC を正式開始。10月24日コールでのコンセンサス決定を予告
HAIP draft 05 publishedJoseph Heenan2025-10-09HAIP Draft 05 の公開告知。同一デバイスフロー義務化・FAPI2 準拠等の変更点一覧
IIW session ideas and post HAIP 1.0 topics to work onKristina Yasuda2025-10-20HAIP 1.0 後の優先課題8件をリスト化(HPKE・IAE・Server-to-Server 等)
Draft meeting notes for DCP WG call on 20 October 2025(議事録)2025-10-20Pre-IIW Hybrid meeting の議事録。30名超参加・PR #313・HPKE の議論記録
Draft meeting notes for DCP WG call on 28 October 2025(議事録)2025-10-28ポスト IIW コール。WGLC メール投票移行・公開レビュー期間確定

5. GitHub 上の議論

10月中の主要な技術議論を GitHub 上の issue/PR から抜粋。

OpenID4VC-HAIP リポジトリ — HAIP 1.0 最終化の PR 群

10月中に14件の PR がマージ/アクティブ化。主要なものは以下:

OpenID4VP リポジトリ — HPKE 統合を巡る大規模議論

  • openid/OpenID4VP#676 (created 10月20日、16コメント) — "'pure' HPKE container approach using new response_mode"。HPKE を応答 mode レベルで直接取り込む提案。SessionTranscript の符号化(CBOR vs string concat)、アルゴリズム agility、暗号識別子の必要性が論点に。10月中に結論には至らず、複数の実装者(Paul Bastian、Oliver Terbu、Tobias Looker らが技術議論に参加)から設計案が提示された
  • openid/OpenID4VP#673 (created 10月15日、6コメント) — "Wallet Presentation Response Mixup"。Wallet が複数の提示応答を誤って結びつける攻撃面の議論
  • openid/OpenID4VP#671 (created 10月9日、3コメント) — "Discovery of public key / certificates of Verifier by Wallet"。Verifier の公開鍵/証明書発見メカニズムの論点

OpenID4VCI リポジトリ — Server-to-Server Issuance 要件整理

  • openid/OpenID4VCI#663 (5コメント) — "First Class Server-to-Server support in VCI"。サーバー間発行をプロトコルで first-class に扱う要件の議論。IIW・Pre-IIW meeting・10月28日コールで繰り返し参照された中心的課題
  • openid/OpenID4VCI#669 / #670 — トークン共有・フィッシング攻撃の脅威モデル議論
  • openid/OpenID4VCI#672 (3コメント) — expected_origins の型定義と Interactive Authorization Endpoint URL の衝突問題

6. 関連イベント

IIW 41 — Internet Identity Workshop XLI(2025年10月21〜23日)

カリフォルニア州 Mountain View の Computer History Museum で開催。DCP WG 関係者が多数参加し、Pre-IIW ハイブリッド meeting(10月20日)が併設された。Kristina Yasuda が IIW session ideas として提案したセッションテーマには、HPKE・Server-to-Server Issuance・クレデンシャル利用ポリシー・VCI Interactive Authorization Endpoint・VP purpose/intent_to_retain 等が含まれ、実際に IIW で議論された内容は10月28日のポスト IIW コールで集約された。

ニュージーランド Interop イベント(並行オンライン)

OIDF が別途主催する OpenID4VP / OpenID4VCI / HAIP の相互運用性テストイベント。HAIP Draft 05 公開直後の実装相互確認の場として位置付けられた。10月28日コールで Gail からアナウンスされた。

7. 今後の予定(2025年10月末時点)

10月末時点で DCP WG が見据えていた次月以降の予定:

  • HAIP 1.0 公開レビュー期間: 〜2025年12月3日
  • HAIP 1.0 Final 投票: 2025年12月9日開始
  • HAIP 1.0 Final 公開: Christmas 前を目標
  • HAIP 1.0 後の次期課題(Pre-IIW meeting で洗い出された8項目):
    1. HPKE 統合(VP・VCI 両対応、IETF jose-hpke ドラフト待ち、OID4VP #310)
    2. VCI Interactive Authorization Endpoint(オープン PR 7件)
    3. VCI Server-to-Server Issuance(要件フェーズ、OID4VCI #663)
    4. VCI DC API(OID4VCI #476 close 後の再議論)
    5. VCI credential usage policy(HAIP #260)
    6. VCI per-credential metadata(OID4VCI #421)
    7. VP Verifier 公開鍵/証明書発見(OID4VP #671)
    8. VP purpose/intent_to_retain デフォルト動作(OID4VP #669)
  • 次回 DCP WG コール(隔週火曜想定、メール投票並行)

8. 参考情報源