前週のSIDI Hub Tokyo から始まった怒涛のイベント3週間の第2週目、IIWウィークが終了しました。
OpenID Foundation ワークショップ
まず最初は、月曜日の午後のOpenID Foundation Workshop です。
例によって富士榮さんがすでに記事を書かれていて足すことは特にありません。
このあと、理事会、理事ディナーでした。ディナーのメニューだけ上げておきます。
IIW 39
IIWは火曜日から木曜日までの3日間。こちらもだいたい富士榮さんと被っているので、IdM実験室を読めば良い感じ。
被ってないのは、
- (1-B) OAuth 101 (Aaron)
- (2-B) OpenID Connect 101 (Mike) 1
- (3-A) SD-JWT VC over proximity/offline (Lee, Cam, Torsten, John, Oliver, Kristina Yasuda)
- (6-N) FAPI 101 #openbanking #opendata(Daniel, Joseph, Nat)
- (8-I) Why is the OpenID Foundation hopping right now? An overview of the 14 work groups and community groups on now. (Nat Sakimura + Gail Hodges)
- (9-A) RP Authentication & Authorization (EUDIW) (Torsten Lodderstedt, Giuseppe, Dima)
くらいの感じ。101や (8-I) は書く必要も無いと思うので、(3-A)と(9-A)についてだけ簡単に書いておきます。
(3-A) SD-JWT VCの近接・オフライン提示(Lee, Cam, Torsten, John, Oliver, Kristina Yasuda)
SD-JWT VC over proximity/offline
課題感:ウォレットがオフラインの場合のSD-JWT VC提示方法がない。
Offline (wallet) | Over the internet | |
mdoc | 18013-5 | OID4VP (incl. Browser API) |
SD-JWT VC | What do we do here? | OID4VP (incl. Browser API) |
オプションとしてありそうなのが以下のような感じ。
Extend ISO 18013-5deviceRequest | Extend ISO 18013-5OID4VP request | OID4VP over BLE | OID4VP with CTAP | |
Standard body | ISO? | ISO? | OpenID? | FIDO |
Device engagement / Channel establishment | QR or NFC | BLE? | QR or NFC | |
Changes required | Extend deviceRequest / Response | Add OID4VP request / response | None? | NFC needs to be added (Happening anyway for cross device flows) |
Deployment considerations | Aligned with 18013-5 existing deployments Not aligned with OID4VP online presentation | Aligned with 18013-5 existing deployments Not aligned with OID4VP online presentation | Aligned with OID4VP online presentation and existing CTAP deployments. Not aligned with 18013-5 existing deployments | |
Feature parity betwen online and offline | N | N | Y | |
Live implementations | Y Y | Y Y? | ? | Y growing VERY fast |
Format | CBOR | JSON | JSON | |
Built at | App level | App level | App level | OS or app level |
Migration | Not required | ? | Required | Required |
Reliability | Y | Y | N | Y |
Standard extension in can be done in ISO or outside of ISO | Standard extension in can be done in ISO or outside of ISO | Couldn’t use ISO | Secure tunnel between 2 devicesCan send arbitrary Invocation:QR code goes through the cloud; NFC is possible but was teken outQR code + BLE?Future UWB is possibleCTAP is available on almost all Android devices |
OID4VP with CTAPがわりと有望そう。
考慮事項として
- Bluetoothのセキュリティと安定性の欠如
- ISOのプロトコルを拡張する際のIPRの問題
などが取り上げられていました。
(9-A) RP認証と認可 (EUDIW) (Torsten Lodderstedt, Giuseppe Di Marco)
RP Authentication & Authorization
なぜRP(Relying Party:依拠当事者)の認証が重要なのか
デジタルIDシステムにおいて、RPとの安全な関係を確立することは以下の理由で不可欠です:
- 法的な透明性の確保(法律で義務付け)
- 必要に応じた通信や法的手続きの実施
- データ要求の範囲が適切かどうかの確認
認証と認可の仕組み
PID(個人識別データ)とEAA(電子属性証明)の取り扱い
- プロバイダーは開示ポリシーを通じてデータアクセスを管理
- ポリシーはRPの役割や権限証明と一致する必要がある
- ユーザーの informed decision(十分な情報に基づく決定)を支援
実装オプション
- X.509証明書
- OpenID Federation
- SD-JWT(Selective Disclosure JWT)による証明
イタリアの事例:OpenID Federationの活用
イタリアでは、以下のような階層的な信頼モデルを採用しています:
- 各事業体は自身の設定を宣言
- イタリア連携→EU連携という階層構造
- 信頼チェーンによるリアルタイムのポリシー管理
- トラストマーク(信頼の印)による認証
特徴的な点
- エンティティIDによる信頼性の確認
- DCQLによるクエリ言語の標準化
- 第三者による信頼性の付与
考慮すべき課題
特に注目すべき点として、すべてのRPが法人格を持つとは限らないという現実があります。例えば:
- 国際的な研究協力プロジェクト
- 複数の司法管轄区域にまたがる組織
その他
その他もちろんサイドミーティングもありました。
- 今は公開できない秘密の話(水曜日夜)
- EUDIWのsub値などについて(木曜日)
- Anoop Saxana FAPI 共同議長とのCFPB対応のミーティング(木曜日夕刻)
- BGINについてのディナーミーティング(木曜日夜)
- Drummond Reed とのGlobal Acceptance Network についてのミーティング(金曜日のブレックファストミーティング)
- Edmund Jay とのミーティング(金曜日昼)
- などなど
なお、今回のIIWの最終退出者はわたしです。証拠の写真がこれ。
Anoopとリモートで会議してる間にみんなビール飲みに行っちゃったんです。
それではまた来週!
脚注
@_Nat Zoneをもっと見る
購読すると最新の投稿がメールで送信されます。