IIW #38 Day2クイックレビュー

こんにちは、富士榮です。

昨日に引き続きIIW（Internet Identity Workshop）の記録です。

今日も主要なセッションについてメモしていきたいと思います。

印象に残ったのが以下のセッションです。

• Cross Platform Demo of Digital Credential API - Eric@Apple, etc.
• OpenID for VP + OpenID for VP over Browser API - Kristina, Joseph, Torsten
• Demo hour（ブータン、台湾の展示）

早速みていきます。

まずはApple/Googleからの発表です。

Cross Platform Demo of Digital Credential API - Eric@Apple, etc.

要するに、Credential APIを使ってWalletとの間のインタラクションを簡素化しましょう、という話です。

従来だとIssuance requestやPresentation requestをCross deviceだとQRコード、Same deviceだとカスタムURLスキームで、という形でブラウザとWalletとの間でやり取りをしていましたが、これまでにも触れたカスタムURLスキームの後勝ち問題など、OSの仕組み上どうしようもない課題が存在していていました。

しかし、よく考えてみると同一デバイスならブラウザから直接呼び出し、別デバイスならQRコードを表示する、というUXは他でもみたことがありますよね？そう、パスキーです。パスキーでは以前解説したとおりcredential.get()などのブラウザAPIを使って認証機能を呼び出していました。

このアイデアはOpenID for Verifiable Credentials関連の仕様においても同じ仕組みを使えるようにブラウザAPIの拡張を行うことはできないか？という話で、今回AppleとGoogleがそれぞれのデバイスで実装したデモを披露してくれました。

こんな感じでidentityDocumentのrequest/responseをブラウザAPIを使って実現します。

実際に動くデモがiOS/Androidの両方で披露されました。

OpenID for VP + OpenID for VP over Browser API - Kristina, Joseph, Torsten

前のセッションに引き続きプロトコルの面からの詳細解説です。

先に記載した通り、VerifierでPresentation requestを行うところでブラウザAPIを使うことで、現在VerifierがQRコードを自前で生成しているがこれをより安全に生成することはできないか？そして、Crossデバイスの際にパスキーでQRコードを出す仕組みをそのまま使うことでカスタムURLスキームを使わずに済むようにできないか？またフィッシングレジスタントという意味でもこの辺りはパスキーと同様の仕組みにするのがリーズナブルではないか？などモチベーションが紹介されました。

呼び出し方については

navigator.identity.get({

  digital: {

    prividers: [{

      protocol: "urn:openid.net:oid4vp"

      request: JSON.stringfy({

      　※ここにOID4VPリクエストを入れる

　　　※ただし、Client_id_scheme : "web-origin"を追加する

というイメージでAPIを実行するようです。

Demo Hour①（ブータンの国民ID）

少しセッションとは毛色が異なりますが、ブータンの国民ID、Walletの展示がありました。

オンボーディング時は軍の方が各家庭を回って本人確認〜登録を勧めたそうです。スマートフォンの配布もこの際に行ったそうです。

なお、インドと同様に各国民の生体情報（実際は特徴点情報）が国側に登録されているのでアクティベーションにいは生体情報を使います。

ざっくりメモです。

• インドの会社が作っている
• Hyperledger Ariesベース
• anonCredを使っている
• オンボーディングの際は軍が一人一人を訪ねて立ち上げをサポート
• スマホも配った
• ブートストラップする際は生体認証（そもそも国側に顔の情報が登録済み）
• 顔認証が通るとFundamental Credentialが落ちてくる
• それをベースに自己発行のクレデンシャの作成などもできる
• 民間で使う場合、例えば銀行口座を解説する場合などはサインアップ時にVCを提示してアカウントを作る
• アカウントが作られるとVCとしてWalletに取り込まれる
• そのVCを使ってオンラインバンクへのログインができる
• モチベーションとしては高地に住んでいる人が対面銀行に来るとなると標高差年全mの移動が必要となるのでデジタル化は必須だった
• ちなみにインドでも同じスタックを使っているので、インドでもこのWalletは使える
• 実際にオフィスの扉の開錠に使っている

Demo Hour②（台湾のデジタルIDウォレット）

ちょうどオードリー・タン大臣の退任が伝えられたばかりですが、台湾のデジタルIDウォレットの展示がありました。

2027年の向けてオープンソースで開発を進めているそうです。

また、トラストリストを持つことで安心して使えるようにしているのも特徴ですね。

キャラクターグッズ？をもらいました。

以下メモです。

• 細かいプロトコルやクレデンシャルフォーマットは動くので抽象化した実装となっている
• OSSで公開してブラッシュアップをしていくモデルだが、政府が７ミリオンドルくらいを毎年予算計上している
• モチベーションとしては地政学リスクを考えて、分権型としている（中央集権だと中国に乗っ取られたら終わる）
• トラストリストを作り、利用できる事業者やサービスを絞ることで利用者に安心を与えている
• オンボード時はtwFIDOとの連携している

こう言う形で実装を早い段階で展示して多くの人の意見をもらえるようにしていけるといいですね。

明日は最終日です。また記録していきたいと思います。

IIW#38 Day1クィックレビュー

こんにちは、富士榮です。

ということで初日が終わったIIW（Internet Identity Workshop）ですが自分メモとして記録をしておきたいと思います。

といってもアンカンファレンスなのでゆるーく話を聞いていた部分も多く、特に印象に残っているセッションについてのみ記録しています。

いつものアジェンダ作成の会です。

今回私が参加したのは、以下のセッションです。

1. DCC Update - Dmitri Zagidulin
2. Should Proof of Humanity apply to My Personal AI? - Adrian
3. SD-JWT(SD-JWT VC & SD-JWT VDM) - Kristina Yasuda, Oliver Terbu
4. Decentralized Storage ＆ Bring your own identity - Aaron
5. OID4VCI Events - Oliver Terbu

どれも面白かったのですが、１番目のDCCの話と５番目のOID4VCI Eventsの話をメモしておきます。

DCC Update

ずっと追いかけているMITが中心に進めているDCC（Digital Credential Consortium）です。これまでもIIWやその他のミーティングで色々と情報交換はしてきたのですが、ここにきてかなりの進捗があったように感じます。

昨年３度目のPlugFestをJFFとジョイントで実施した、ということで実装が揃ってきているのが素晴らしいですね。

DCC自体もOSSでIssuerおよびWalletなどのモジュールを公開しています。

https://github.com/digitalcredentials

Issuerの管理ツールも公開されていて、dockerイメージなので割と簡単にセットアップできます。私も入れてみました。（細かいところは追々）

Walletについてもソースコードも公開されていますし、ストアに公開もされています。

（ちょっとカスタムURLスキームが独自過ぎるのが微妙ですが）

こう言うベースがあるとフィードバックのループも回ると思いますので成長できそうです。みなさんも触ってみてフィードバックしましょう。

OID4VCI Events

Oliverのセッションです。

OID4VCIでWalletに発行されたVCに関してShared Signalを使ってイベントを送信することでライフサイクル管理を厳格化しましょう、というシナリオの提案です。

ユースケースとしては

• Notify the wallet in case the credential got revoked before end of TTL window
• Notify the wallet in case a new credential type can be requested
• Notify the wallet thee data for one credential got updated and a new credential with the updated data is available

が挙げられていました。

ちょっと光ってしまっていますがこんなことを考えているそうです。

アイデアとしては結構面白かったのでうまく進むといいなぁ、と思います。

現時点での私のコメントはVC発行のときに使うアクセストークンとSSFの登録を行う際に使うアクセストークンはぜひスコープを分けてもらい、Issuanceの際に同じスクリーンで同意ができるようにできるといいと思います。発行はOAuthの世界で同意、プッシュ通知はモバイルアプリの世界で通知（まぁ、これはどっちにしろいるわけですが）という形でバラバラになるよりも、発行はOKだけど通知は嫌、みたいなシナリオにも最初の段階で対応できるようなUIが実現できる方が良いなぁ、と思いました。

ということでまた明日！

OpenID Foundation Workshop@Googleクイックレビュー

こんにちは、富士榮です。

今回もMountainViewのGoogleのオフィスで開催されてたOpenID Foundation Workshopに参加しています。いつもの通りInternet Identity Workshop（IIW）の前日イベントとして開催されています。

相変わらず持って帰りたくなるGoogle自転車です。運用を見ていると、各所に乗り捨てられた自転車をトラックで集めてオフィス単位で分配する、というアナログな形で提供されているようです。さすがに場所のトラッキングなどはされているとは思いますが。

全体アジェンダはこちらです。

Opening - Gail Hodges, Nat Sakimura

直前にマンチェスターであったISOのミーティングでもAI、量子コンピューター、メタバースなどのキーワードとアイデンティティやプライバシーに関連するトピックで話があった、とのコメントが崎村さんからありました。

eKYC & IDA Working Group - Mark Haine

まずはMarkからeKYC & Identity Assurance WGの進捗について。

Implementer's Draft 4から4つのスペックに分割しました。

そして、まさに今ファイナライズに向けたレビューが進行中です。

対象は下記の通り。

• OpenID Connect for Identity Assurance 1.0
• OpenID Identity Assurance schema definition 1.0 draft
• OpenID Connect for Identity Assurance Claims Registration 1.0

まずはIDAのファイナライズからですね。

個人的な本命でもあるAuthorityのDraftも控えているので引き続き進めていきたいですね。

デジタル庁とのコラボレーションについても触れられました。まさにIDAの実装が進もうとしている初期のインスタンスとして日本が貢献できるのは素晴らしいことだと思います。

先週のISOミーティングでもAge Assurance（ISO 27566）とIDA仕様の連携についてディスカッションがあったことも報告されました。この辺りは選択的開示の文脈でVCへの適用などもされてくると思いますので要注目ですね。（21歳以上かどうかのみを開示する、など）

AuthZEN Work Group Update - David Brossard, Omri Gazitt

前回の日本でのWorkshopでも紹介しましたが、新しいワーキンググループですね。

このワーキンググループのモチベーションとしてOWASPのトップ10 issueでもあるアクセスコントロールの問題やAPIセキュリティの問題へ対応していくことが重要、ということです。

成果物として、認可パターン、ユースケース、コミュニケーションパターン、インテグレーションパターンをまとめたものや、認可リクエスト認可決定を行うためにPDP、PEPの間の標準化されたAPIの定義、そしてPAPからPDPへ認可ポリシーとデータを連携するためのAPIの定義が挙げられています。

Interopシナリオの定義など、精力的に活動が進んでいるようですね。

参考）Interop website

https://authzen-interop.net/

SalesforceやServiceNowなどを含むSaaSアプリでも認可を外部化して、アクセスコントロールが適切に行えるようになると素晴らしいですね。WGでは今はアプリ単位で個別に制御をしないといけないところを、外部化することで企業や組織が権限を集中管理できるようになる将来を夢見ているということです。 

OpenID Connect Work Group - Michael B. Jones

次はOpenID Connect Working Groupです。

歴史的にOpenID Connectプロトコルを定義してきていますが、その中からIDAやVC関連のプロトコルなど独立した仕様としてWG化したものを産んできました。

昨年10月以降のUpdateで一番大きかったのはOpenID for Verifiable Credential IssuanceのImplementer's draft 1が4月に出たことですかね。あとはOpenID Federationの実環境へのデプロイがイタリアやオーストラリア、スウェーデンでも進んでいる、というのも興味深いですね。

ISOの番号がちゃんとOpenID Connect関連の仕様にアサインされたのも非常に大きな進捗です。こういうデジュールに認められることはWTO的にも非常に重要です。

今後のロードマップとして今年の終わりまでにFederationの仕様の最終化をしていくという野心的な試みも示されました。

あとはなんといってもOpenID Summit Tokyoから続く10周年イベントのシリーズは今後もIdentiverseやEICでも続きます。成功の秘訣はなんといっても「Keep simple things simple」ですね。そして相互運用テストなどを含めエコシステムを生成するための営みも非常に重要なパートでした。

FAPI Work Group Update - Nat Sakimura

次はFAPIに関して崎村さんからです。

すでにFinancial-gradeを超えてGeneral Purposeな高セキュリティなプロファイルになってきています。これまでIETFライクに書かれてきたスペックをISOにも容易に持っていけるように書いてい拘置しているのはConnect WGでもあったように世界でのアドプションには必要な取り組みですね。

関連する仕様拡張も進んでいます。

他にもホワイトペーパーやFormal Analysisなども進んでいます。

仕様のファイナライズに向けて精力的に活動も続きます。だいぶ新しいIssueも減ってきたので最終化に向かえそう、ということです。

MODRNA Work Group - Bjorn Hjelm

次はMODRNAです。

モバイルオペレーターにおいてMNOがIdentity Providerになることを想定したスタンダード開発のために発足したワーキンググループです。今ではFAPIでも使われているCIBAは元々はこのワーキンググループを中心に開発された仕様ですね。

新しい動きとしては、CIBA ExtensionやRCS Verification Authority API向けのプロファイル作成などもありますし、IDAワーキンググループと共同で動いているCAMARA ProjectのIdentity and Consent Management SPとKnow Your Customer SPに関するリエゾン合意なども特筆すべきアクティビティです。日本ではKDDIさん中心に活動が進んでいますね。

他にもGSMAやETSIとのリエゾンも進んでいます。

今後のロードマップはこちらです。

なお、こちらには書かれていませんが、ISOのPASと同じくITUとの連携の取り組みも進めようとしているようです。

Digital Credentials Protocols (DCP) Work Group Update - Kristina Yasuda, Joseph Heenan

次はKristinaとJosephによるDCPワーキンググループです。

Josephが共同議長になったのが大きなニュースですね。

あと、Connect WGでも話がありましたがOpenID for Verifiable Credential IssuanceのImplementer's draft 1が出たのは大きいです。また、日本でもいくつかの事業者が協力したOpenID for Verifiable Presentationsのコンフォーマンステストについても大きな進捗がありました。

EUのLSPでは100以上の事業者がテストに参加しているのは素晴らしいですね。

すでに次のステップに向けた仕様開発も進んでいて、どんどんアップデートされていきますのでついていくのが大変です。。。その中でも特にWalletプロバイダになる事業者の方々はカスタムURLスキーム問題に対応するためのブラウザAPIに関するW3Cとのディスカッションは追いかけていかないといけませんね。あとは先日書いた通り、Presentation Exchange 2.1も出てきていますのでQuery Languageも注目です。

金曜日にDCPワーキンググループのF2Fも予定されているので、その中でW3Cとのリエゾンについても深掘りされていくことになりそうです。

Shared Signals Work Group Update - Tim Cappali

次はShared Signalです。Tim、Oktaに行ったんですね。。。

まずはそもそものSSFがやりたいことの説明です。ログインの時だけ認証するのじゃ足りないよね、って話です。ログイン後も振る舞いを見ていくことでセキュアなアクセスを実現していくことができる、というわけです。

SSFではSETなどIETFのスタンダードを使いつつCAEPなどのプロファイルを策定していっています。

SSFも新しい共同議長を迎えています。事業者が入っているのは仕様の実効性の面で非常に重要なことだと思います。

IIW、Identiverse、EICでもセッションが予定されており、活発に活動しています。また、SSFの相互運用性のプロファイルも作成されています。

先日のガートナーのIAMサミットで相互運用性イベントをやったそうです。特にSSFでは複数のIdP事業者が連携することになるのでIDaaS事業者の間での相互運用性の担保が非常に重要です。

結果もいい感じですね。楽しそうです。

OIDF Certification Program Update + Roadmap - Joseph Heenan

次はCertificationプログラムのUpdateです。

EUでのLSPに多くの事業者が参加したり、IDAのテストも開発されていたり、とこちらも多くの進捗が報告されています。

OpenID Federationのテストについてもファンドがされたので開発が始まりそうですね。

認定プログラムの特徴の一つは特にFAPIに表れているように特定の国のプロファイル（ブラジルのオープンバンキングなど）を対象としたテストも存在しているところですね。各国でプロファイルを定義して、技術面での認定をOIDFが実施する、というエコシステムになっているわけです。

Death & the Digital Estate Community Group - Dean Saxe

興味深いトピックです。死後のデジタルアカウントや資産をどうやって扱うか？についてフォーカスした営みです。

アイデンティティシステムにおいてライフサイクル設計をすることは重要ですが、「死」というステートは滅多にフォーカスされることはありません。SNS上のデータをはじめとするデジタル資産を廃棄する仕組みが用意されていることはほとんどありません。権限委譲やアカウントの削除、など必要になりそうなものは多くありそうです。デジタル遺言書なども一部検討は始まっていますね。

この活動では、新しいOIDFのコミュニティグループ、長期的にはワーキンググループの設立を目指しています。

Q2をターゲットに活動するので手伝ってね、とのこと。これはカルチャーごとに考え方も変わりそうですし、アジア圏からのコントリビューションができるといいですね。

Sustainable & Interoperable Digital Identity(SIDI) Hub Update - Gail Hodges

次はSIDI Hubに関するUpdateです。

SIDI Hubの2024のストラテジーが出てます、って話です。当ブログでも取り上げましたね。

今年はイベントてんこ盛りです。目下調整中ですが、10/25に東京でも開催される予定です！（私が今回IIWに来た理由の一つでもあります）

Listening Session: Post-Quantum Computing & Identity - Gail Hodges, Nancy Cam-Winget, John Bradley, Rick Byers, Andrea D'Intino

ポストクォンタムとアイデンティティのパネルディスカッションです。

まずはforkbombのAndreaからです。EUのファンドを受けてOSSの量子をやっている人たちです。

W3C-VCにQuantum-proofを使おうって話です。ECDSAのさらに次を、ということですね。

インプリもしているみたいです。

こんな感じでproofを作っているみたいです。

サンプルやデモもあるみたいです。

ということでディスカッションです。

PQの暗号アルゴリズムの強固性の前に、鍵管理・ローテーション・交換の問題やサイドチャネル耐性問題など解決する必要がある課題がいっぱいあるよねぇ。。という話とか、プロトコル自体がTLSに依存している状態なのが現状で、場合によってTLSを信頼するけど、場合によってPQが必要っていう矛盾した議論が起きそう、、みたいなコメントがありました。まぁ、エコシステムが複雑化してしまっている環境下において特定の技術要素だけで全体を解決するのは不可能、ってことかと。

他にも現在の仕組みからPQへのトランジションをどのように安全に行っていくのか？などのコメントもありましたが、こちらも今後のトピックになってくるんだと思います。

全体として、まだOIDFの枠の中で何かアクションを起こしていくのは早いのでは？という雰囲気でしたが、鍵管理などの運用問題についてはなんらかの手を打っていくのが良いかもしれません。

Listening Session: AI & Identity. What are your concerns? What is OIDF’s role? - Gail Hodges, Nancy Cam-Winget, Kaelig Deloumeau-Prigent, Mike Kiser, Geraint Rogers

引き続きパネルディスカッションです。こちらはAIとアイデンティティに関する議論です。

まず最初にドイツテレコムが公開しているこちらのYoutube Videoを見ました。

ソーシャルメディア上に公開される子供の写真をAIをベースに年齢を進め、自由に喋らせる、なんてことが誰にでもできてしまう時代が来てしまっている。Virtualプライバシーをどうやって守るのか？は誰もが直面する問題になってきている一方でみんなが無邪気だってことですね。これは由々しき問題です。

同時にLLMのプロンプトでJSでOIDCを実装するには？って聞いてみると、簡単に教えてくれるけどテストや認定プログラムの話がでない、などカジュアル化が進みすぎちゃっている問題もありますね。

OSS化が進み、モデルが小さくなり、必要なコンピュートリソースが少なくて済むようになり、モバイルデバイス上でさえAIが動くようになり、実際モデルナがワクチン開発にAIを活用したのと同じことがハッカーによっても手軽に実行できるようになった際のバイメトリクスはどうなるんだろうか？この辺りはすぐにアイデンティティ業界にとっても大きな課題になってくると思います。

ということで充実したワークショップでした！