idbok

Appearance

OpenID Foundation Digital Credentials Protocols WG 活動レポート (2026年1月)

執筆日: 2026-04-19(遡及執筆)

Digital Credentials Protocols (DCP) Working Group は、W3C Verifiable Credentials・IETF SD-JWT VC・ISO/IEC 18013-5 mdoc など複数フォーマットのデジタル認証情報の発行・提示プロトコルを策定する OpenID Foundation の主要ワーキンググループ。

2026年1月は、共同議長 Torsten Lodderstedt の辞任表明、Stuttgart 大学によるセキュリティ形式検証結果の仕様へのフィードバック着手、OpenID4VP 1.1 および OpenID4VCI 1.1 の公開プロセス提案など、複数の重要な動きが重なった月だった。

1. 概要

  • 共同議長交代: Torsten Lodderstedt がドイツ EUDI Wallet プロジェクトに専念するため辞任を表明。後継候補を ML で募集
  • セキュリティ形式検証フィードバック: Stuttgart 大学が OpenID4VCI v1.1(IAE 含む)の形式検証を完了し、「Stuttgart」シリーズ issue として結果が登録された
  • v1.1 公開ロードマップ策定: OpenID4VP・OpenID4VCI ともに 1.1 の Implementers Draft を March 2026 を目安として公開するロードマップが提案された
  • IAE 仕様整備: Interactive Authorization Endpoint の IAE バインディング PR がマージされるとともに、形式検証起因の複数の課題が登録・議論された
  • ISO/FIDO 共同作業: ISO と OIDF の調整を担う FIDO WG 提案が議論されたが、NDA 要件を巡る懸念が上がった

2. 公開された仕様・ドラフト改訂

OpenID4VCI PR #602 マージ(1月15日)

OpenID4VCI リポジトリで PR #602「add credential format specific sections for IAR endpoint binding in VPs」 が 1 月 15 日にマージされた(マイルストーン: 1.1)。

変更内容:

  • 用語を「IAR」から「IAE(Interactive Authorization Endpoint)」に統一し、プレフィックスを iae: に確定
  • IAE フローでの VP レスポンスに対するクレデンシャルフォーマット別バインディングの節を追加
  • OpenID4VCIIAEHandover および OpenID4VCIIAEHandoverInfo の CBOR 構造を規定
  • expected_origins バリデーションに「derived origin」を使用するよう明示。audience バインディングは companion PR #629 に分離

awoie(author)、Sakurann、jogu、GarethCOliver、c2bo、TimoGlastra、martijnharing ら 5 名以上のレビュアーが参加し、用語統一・origin 導出方式・CBOR 構造の正確性について議論の後にマージされた。

3. ミーティングと議論

DCP WG APAC コール(1月21日)

1 月 21 日に APAC タイムゾーン向けの定例 WG コールが開催された(参加者: Martijn Haring、Oliver Terbu、Joseph Heenan ら 7 名)。

主要議題と決定事項:

  1. Torsten Lodderstedt 辞任の確認
    「Torsten is stepping down as co-chair of the working group.」(議事録 2026-01-21 より)
    後継候補は ML へ返信するよう案内された。

  2. HAIP バージョニング方針の確定
    HAIP 1.1 は VCI 1.1 ではなく VCI 1.0 を参照する方針に決定。これにより IAE 機能は HAIP 1.1 から先送りとなる。
    「VCI 1.1 would undergo security analysis with IAE included, while VP 1.1 would not」とも確認され、セキュリティ分析のスコープを VCI 1.1 に集中する方針が示された。

  3. v1.1 公開タイムライン(暫定)

    • Implementers Draft: 2026 年 3 月目標
    • WG Last Call: 2026 年 4〜5 月
    • Implementers Draft は「2.5 ヶ月」、セキュリティ分析は「2〜3 ヶ月」かかることを踏まえた計画。

  4. Issue #224(origin 処理)の方向性
    expected_origins はフィッシング防止の主要手段であり、ウォレットは署名を先に検証してからオリジンを確認する順序を仕様に明記することで合意。厳密な完全一致照合を要求する旨を強調する。

  5. Issue #646(ネイティブモバイルアプリフロー)の結論
    プラットフォーム固有ドキュメントへの URL 参照は URL 変更リスクがあるため非規範的にも含めないことに決定。開発者をプラットフォーム情報の自己探索に誘導するガイダンスに変更。

次回への持ち越し:
HPKE アルゴリズム要件(AES-128-GCM のみ必須とするか 256 ビット変種も含めるかのコミュニティ意見収集)、Stuttgart 大学の分析結果への対応。

DCP WG Americas コール(1月下旬)

Joseph Heenan が Americas コールのアジェンダを配布。主な議題は以下の通り:

  • 共同議長空席の取り扱い
  • VP レスポンス暗号化(HPKE/JWE、WG Last Call 中)
  • HAIP interoperability profile
  • OpenID4VP・VCI v1.1 準備状況
  • v1.1 向け優先 issue の確認
  • ISO 協業の調整状況
  • EU テスト要件ドキュメントの進捗
  • 自己認証プログラム(2026 年 2 月開始予定)

1月29日(木)WG コールの中止
Kristina Yasuda より、1 月 29 日のコールが中止になった旨が ML に通知された。

4. メーリングリストの主要スレッド

Stepping Down as a Co-Chair / Looking for new Co-Chair(s) — 2026-01-20 開始

Torsten Lodderstedt が DCP WG 共同議長からの退任を表明したスレッド。

発端の問題提起:
「I would like to focus fully on my daytime job as project lead of the German EUDI Wallet project (as we are approaching go live).」という理由を挙げ、1.0 仕様が Final に達したこのタイミングでの退任が適切と判断した。

含意:
Torsten Lodderstedt は DCP WG の創設からリードしてきた主要コントリビュータの一人。ドイツ EUDI Wallet の本番稼働フェーズが近づく中、OIDF での委員会活動から産業実装側へ軸足を移すことを示している。後継者は ML 経由でコンセンサスにより決定される。

Joint ISO/DCP work - detail on FIDO WG proposal — 2026-01-26 開始

ISO と OIDF の協調を担う FIDO Alliance 主導の「Harmonization Technical Working Group」創設提案に関するスレッド。

発端:
1 月 13 日に開催された joint meeting で FIDO Alliance が提案した調整枠組みの PDF ドキュメントを Frederik Krogsdal Jacobsen が共有した。

NDA 問題で対立:
Brian Campbell が「NDA and confidentiality requirements in this context is fairly problematic」と指摘。オープンスタンダード開発において守秘義務要件は参加を事実上阻害しかねないと主張した。Lukasz Jaromin も同様の懸念を示し、スレッドでは NDA 条項の撤廃を求める声が支配的だった。

論点の対立軸:
「ISO との実務的協調のために一定の守秘義務は不可避」対「OIDF の開放性・参加障壁ゼロの原則との相反」。当月中には解決に至らず持ち越し。

5. GitHub 上の議論

Stuttgart シリーズ issue(OpenID4VCI #688〜#694)— 2026-01-22 一括登録

Stuttgart 大学の形式セキュリティ分析(Web Infrastructure Model を用いた数学的証明)が OpenID4VCI v1.1(IAE 含む)に対して完了し、発見された問題群を jogu が一括して登録した。いずれも iae ラベルを付与。

Stuttgart 1: openid/OpenID4VCI#688 — IAE リクエストの詳細仕様が不明確
IAE は RFC 9126 PAR に倣って設計されているが、AS が IAE リクエストを処理する際に RFC 9126 の処理規則全体を適用すべきかが曖昧。request_uri の許否、redirect_uri の検証ルールが未定義。

Stuttgart 2: openid/OpenID4VCI#689 — auth_session のセキュリティ要件
セキュリティ上の重要な指摘が複数含まれる:

  • auth_session 値にエントロピー要件がなく推測・列挙が可能
  • クライアントバインディングがないため、悪意あるクライアントが別セッションの auth_session を流用できる
  • 認可コード発行後の auth_session 無効化要件が不明確

これらが組み合わさることで、セッションハイジャックや認可コード盗取攻撃の経路が生じ得ると指摘された。

Stuttgart 3〜6: #690#693 — IAE 実装上の細部

  • auth_session に関するサンプルとテキストの不整合
  • 同時複数 IAE セッションの仕様明確化
  • redirect_to_web での request_uri の一意性
  • フォローアップ IAE リクエストでのクライアント認証の必須化明示

Stuttgart 7: openid/OpenID4VCI#694 — IAE レスポンスの HTTP ステータスコードが未定義
こちらは has-PR ラベルが付き、対応 PR 作成済みの状態で登録された。

openid/OpenID4VCI#696 — 複数 IAE インタラクションタイプと fallback — 2026-01-28

TimoGlastra が提起した IAE 実装上の設計問題。OID4VP プレゼンテーションを優先しつつ、ウォレットに必要なクレデンシャルがない場合に従来の OpenID ログインにフォールバックする複合フローを実現したい場合、現在の仕様では fallback が許可されているかどうかをウォレット側が検出する手段がない。

openid/OpenID4VP#692 — HPKE info パラメータの定義 — 2026-01-08

jogu が OpenID4VP 1.1 での HPKE(Hybrid Public Key Encryption)info パラメータの定義を求めて登録。OpenID4VC-HAIP#357 での議論で合意済みの info 構造を仕様に反映するためのもの。GarethCOliver にアサインされ、マイルストーン「Final 1.1」対象。

openid/OpenID4VP#693 — OpenID4VP 1.1 公開プロセスの提案 — 2026-01-28

Sakurann が提起した OpenID4VP 1.1 の公開タイムライン:

  • 2 月: ready-for-pr マークの PR をマージして仕様作業を完了
  • 3 月: Implementers Draft の 45 日間パブリックレビュー開始。実装テストを推奨
  • 4〜5 月(後半): フィードバック反映、仕様が安定していれば最終 WG Last Call へ

スレッドでは「month は indicative であり締め切りへのコミットではない」と明示された。

6. 関連イベント

自己認証プログラム(2026年2月26日開始予定)

1 月の各コール・アジェンダで繰り返し言及されたのが、2 月 26 日に開始予定の自己認証(Self-Certification)プログラムだ。対象仕様は以下の 3 つ:

  • OpenID for Verifiable Presentations 1.0 Final
  • OpenID for Verifiable Credential Issuance 1.0 Final
  • High Assurance Interoperability Profile (HAIP) 1.0

OIDF のサーバーまたはローカル環境で無償の適合テストを実施し、任意で OIDF に結果を提出・公開できる。mdoc 対応の issuance テストはローンチ後に順次追加予定。

Stuttgart 大学との協業(セキュリティ形式検証)

University of Stuttgart の Institute of Information Security が Web Infrastructure Model(WIM)を用いて OpenID4VCI v1.1(IAE 含む)の形式的セキュリティ証明を完了した。WIM は OpenID Connect・FAPI 1.0/2.0・OAuth 2.0 の分析でも実績がある手法。分析結果は「Stuttgart」シリーズの 7 件の issue として 1 月 22 日に WG へ提供された(openid.net/formal-security-analysis-openid-verifiable-credentials/ 参照)。

今後の予定カンファレンス(当月確認分)

  • OAuth Security Workshop 2026: Leipzig、5 月 27〜29 日。Call for Presentations 公募中
  • DICE 2026: Copenhagen、6 月 22〜24 日

7. 今後の予定

1 月末時点での当面のスケジュール(当時の見込み):

時期予定内容
2026-02OpenID4VP・VCI 1.1 向け ready-for-pr issue の PR マージ完了
2026-02-26OpenID4VP 1.0 / VCI 1.0 / HAIP 1.0 自己認証プログラム開始
2026-03OpenID4VP 1.1 Implementers Draft パブリックレビュー(45 日間)開始目標
2026-03(同)OpenID4VCI 1.1 Implementers Draft 公開目標
2026-04〜05WG Last Call、フィードバック反映
2026-05OAuth Security Workshop(Leipzig)
2026-06DICE 2026(Copenhagen)
  • DCP WG 共同議長の空席候補を ML 経由でコンセンサスにより決定
  • Stuttgart 大学の指摘(auth_session セキュリティ、IAE リクエスト仕様)への対応 PR 作成
  • ISO/FIDO Harmonization WG 提案の NDA 問題の解決策を検討

8. 参考情報源