こんにちは、富士榮です。

ここまで見てきたOIX（Open Identity Exchange）のレポートもついに最終回です。

これまでのおさらいはこちらです。

• 第１回：エグゼクティブサマリー
• https://idmlab.eidentity.jp/2024/04/oix.html
• 第２回：パターン１
• https://idmlab.eidentity.jp/2024/04/oix_5.html
• 第３回：パターン２
• https://idmlab.eidentity.jp/2024/04/oix_6.html
• 第４回：パターン３
• https://idmlab.eidentity.jp/2024/04/oix_7.html
• 第５回：パターン４
• https://idmlab.eidentity.jp/2024/04/oix_8.html

今回はレポートが出している結論についてみていきましょう。

エグゼクティブサマリーでも触れましたが、本レポートにおける結論・提言は、

• 政府は独自にウォレットを開発し市民に向けて提供すべきではない
• その代わりに政府はトラストフレームワークを定義し、認定された民間のウォレットに政府発行のクレデンシャルを格納できるようにするべきである

政府によっては、この枠組みの下で独自のIDウォレットを発行することで、市民が市場で利用可能なウォレットを民間セクター以外の選択肢から選べるようにすることを選ぶかもしれない。しかし、利用者に代替手段を与えることは良いアイデアかもしれないが、それは政府が独自のウォレットを発行し管理するためのコストと技術の進歩へ対処する必要があることを意味する。つまり、大きな利点と緩和可能な管理上の懸念があるため、政府が認定したフレームワーク（またはスキーム）の下で承認された民間のウォレットを利用できるようにすることが、政府、その国民、依存する当事者双方にとって最善のアプローチであると結論付けられる。

The mission of the Vittorio Bertocci Award is to honor Vittorio Bertocci’s legacy by inspiring and supporting the next generation of identity experts who will shape the foundation of digital identity.

Vittorio was a passionate, lifelong contributor to the internet as we know it by continuously engaging with and educating others about digital identity standards. He maintained laser focus on ensuring standards solved real-world problems and bettered the lives of developers tasked with their implementation. His singular charisma and wit guaranteed his lectures were memorable, which he shared all over the globe. By sponsoring motivated individuals to participate in identity standards organizations and events, the Vittorio Bertocci award creates opportunities for new voices to carry on this legacy of contributing to and learning from the standards development process.

DIAF will begin to accept applicants for the Vittorio Bertocci Award on April 9th 2024, and we will provide more details at that time.

Lastly, we believe that digital identity can only work for everyone when it’s built by everyone. We encourage people of all cultural, racial, gender identity, sexual orientation, age, veteran status, nationality, and religious backgrounds to apply.

Vittorio Bertocci Award の使命は、デジタル ID の基礎を形成する次世代の ID 専門家を鼓舞し支援することで、Vittorio Bertocci の遺産を称えることである。

Vittorio Bertocci は、デジタル・アイデンティティの標準について継続的に他者と関わり、他者を教育することで、私たちが知っているインターネットに情熱的かつ生涯を通じて貢献した人物です。彼は、標準が現実世界の問題を確実に解決し、その実装を任された開発者の生活を向上させることにレーザーの焦点を当て続けた。彼の類まれなカリスマ性とウィットは、彼の講義が記憶に残るものであることを保証し、世界中でそれを共有した。ヴィットリオ・ベルトッチ賞は、アイデンティティ標準化団体やイベントに参加する意欲的な個人を後援することで、標準化開発プロセスへの貢献とそこから学ぶというこの遺産を受け継ぐ新しい声の機会を創出します。

DIAF は、2024 年 4 月 9 日に Vittorio Bertocci 賞への応募者の受付を開始する予定であり、その時 に詳細をお知らせします。

最後に、デジタル・アイデンティティは、すべての人によって構築されて初めて、すべての人のために機能すると私たちは信じています。あらゆる文化、人種、性自認、性的指向、年齢、退役軍人の地位、国籍、宗教的背景を持つ人々の応募を奨励します。（Deeplによる機械翻訳）

 

こんにちは、富士榮です。

OpenID Summit Tokyo 2024の動画アーカイブが続々と公開されています。

当日は対面のみの開催だったこともあり、ご来場いただけなかった方々、大変お待たせいたしました。

OpenID Summit Tokyo 2024クィックレビュー

https://idmlab.eidentity.jp/2024/01/openid-summit-tokyo-2024.html

こちらで公開されていますのでぜひご覧ください。

そしてチャンネル登録をよろしくおねがいします！！

https://www.youtube.com/@openidfoundationjapan7822

セキュアな高速ネットワーク、クラウド・ソリューション、研究サポート、研究・教育向けのサービスを提供するコミュニティです。私たちのコミュニティには、高等教育機関、研究機関、政府機関、企業、文化団体が含まれます。Internet2は、正式名称をUniversity Corporation for Advanced Internet Development (UCAID)といい、多様なメンバーを代表する理事会によって運営される非営利団体です

InCommonは、Internet2が1998年から取り組んできたリソースへの信頼されたアクセスの研究から生まれた。2000年、Internet2はケン・クリンゲンシュタインを主任研究員として、後に10件となる連邦政府機関からの賞の第一号を受賞した。この賞の内訳は、全米科学財団から9件、商務省から1件である。これがInternet2 Middleware Initiativeの設立につながり、ShibbolethとInCommonの両方がこのプログラムから早い時期に生まれました。

InCommonを通じて、Internet2は、シングルサインオン（SSO）、クラウドおよびローカルサービスへのアクセス、ローミングWi-Fiなど、研究および教育用に構築されたセキュリティ、プライバシー、IAMツールを提供しています。

CACTI（Community Architecture Committee for Trust and Identity）は、Internet2のトラスト・アイデンティティ担当副社長によって設立された、コミュニティメンバーによる常設のアーキテクチャ戦略グループである。CACTIは、他のグループやInternet2のトラスト・アイデンティティ担当副社長との交流を通じて、Internet2のトラスト・アイデンティティプログラム分野に助言を与える。CACTI のメンバーには、研究および教育からの幅広い代表が含まれる。詳細については、CACTI憲章を参照。

こんにちは、富士榮です。

OpenID for Verifiable Presentationsでも利用されているPresentation Exchangeのversion 2.1がDecentralized Identity Foundation（DIF）のWorking Group Approvalのステージに到達したようです。着々と進んでいるようですね。

Presentation Exchange（ページ上は2.X.Xとなっていますがアナウンスでは2.1となっています）

https://identity.foundation/presentation-exchange/

参考）Working Group Approval

DIFの仕様の開発ステップがこちらに定義されています。Final Approvalの一つ手前ですね。

https://github.com/decentralized-identity/org/blob/master/work-item-lifecycle.md?ref=blog.identity.foundation#73-working-group-approval

何が追加されたのか？についてDIFのNews letterには以下の記載があります。

Security Enhancements: We have introduced a "Security Considerations" section, helping users navigate the security implications of the exchange more effectively.

Expanded Use Cases: A new "Use Cases" section has been added. This aims to broaden the understanding and applicability of the Presentation Exchange, providing examples and scenarios where it can be implemented.

Editorial Improvements: To further enhance the readability and clarity of the documentation, we have made various editorial changes throughout the text.

セキュリティの強化： セキュリティに関する考慮事項」のセクションを導入し、交換のセキュリティへの影響をより効果的にナビゲートできるようになりました。

使用例の拡大： 使用例」のセクションが追加されました。これは、Presentation Exchangeの理解と適用範囲を広げることを目的としており、Presentation Exchangeを実装できる例やシナリオを提供しています。

編集の改善： ドキュメントの読みやすさとわかりやすさをさらに向上させるため、本文全体にわたってさまざまな編集上の変更を加えました。

（Deeplで機械翻訳） 

なお、Presentation Exchange 1系から2系での変化点は仕様のドキュメントの中にも記載があるので今後実装する方は参考にしていきましょう。https://identity.foundation/presentation-exchange/#what-is-new

こんにちは、富士榮です。

Trust Over IPファウンデーションが今週開催されるIIW（Internet Identity Workshop）に合わせてトラスト・スパニング・プロトコルのImplementor's draftをアナウンスしてきました。アナウンスに使われたToIPのブログが非常にわかりやすいのそのまま機械翻訳にかけてみました。※そして私は現在IIWに参加するためマウンテンビューに来ています。

こちらが原文です。

TOIP ANNOUNCES THE FIRST IMPLEMENTERS DRAFT OF THE TRUST SPANNING PROTOCOL SPECIFICATION

https://trustoverip.org/blog/2024/04/11/toip-announces-the-first-implementers-draft-of-the-trust-spanning-protocol-specification/

早速中身を見ていきます。

なぜトラスト・スパニング・プロトコルが必要なのか？

インターネットがグローバルな情報経済を完全に変貌させたことに疑問を抱く人はいないだろう。接続性と信頼性の高いコンテンツ配信に不可欠なものとなった。しかし、インターネットが成長するにつれて、インターネットに対する脅威や、何を信頼すべきかという難しい課題も増えてきた。

現在、AIはこうした懸念をさらに加速させている。CyberArkによる2023年の調査によると、セキュリティ専門家の93％が2023年にAIを活用した脅威が組織に影響を及ぼすと予想しており、AIを活用したマルウェアが懸念事項の第1位に挙げられている。業界の著名人であるマーク・アンドリーセンは最近、AIの偽物を検出するための戦争は勝ち目がない、唯一の解決策はコンテンツの真正性を証明できるようにすることで「問題を逆転」させる方法を見つけることだと述べた。

30年もの間、セキュリティの問題は着実に深刻化しているのに、なぜ業界はまだ解決策を持っていないのだろうか？DNSSECや TLSのような技術や、IETFや CA/Browser Forumのような業界団体があるにもかかわらず、データ漏洩、ランサムウェア攻撃、個人情報盗難、マルウェアの蔓延に関する見出しが毎日のように掲載されるのはなぜでしょうか？生成AIへの関心が爆発的に高まっているにもかかわらず、なぜ多くの専門家は、AIが私たちを守るためというよりも、私たちを攻撃するために使われることを心配しているのだろうか？

その答えが、ToIP（Trust Over IP）ファウンデーションが4年前に設立された理由である。要するに、真正性、機密性、およびメタデータ・プライバシー機能は、インターネットのコア構造に組み込まれることはなかったのです。この問題の根本を解決するためには、既存のインターネットの上に次世代のトラストレイヤーが必要である。

このレイヤーの中心は、インターネット・プロトコル（IP）がデジタル・データにとってそうであるように、デジタル・トラストにとってそうであるプロトコルである。それがToIPトラスト・スパニング・プロトコル（TSP）である。

TSPのハイレベルな概要はどこで入手できますか？

まず、2023年1月にToIPトラスト・スパニング・プロトコル・タスクフォース（TSPTF）を立ち上げた際に発表したこのブログ記事から確認できる。TSPの全体的な目的と、ToIPスタックの中での位置づけが説明されている。

次に、昨年8月に発表されたToIPトラスト・スパニング・プロトコルの中間進捗報告書を読んで、TSP設計の7つの柱を要約することができる。いくつかの用語の進化を除いて、これら7つの柱は、過去7ヶ月間、複数の段階のワーキングドラフトを経てきた中で変わっていない。

本日、最初のImplementor's draftを発表できることを嬉しく思う。

Implmentor's draftは何をカバーしているのか？

この表は、仕様書の10の主要セクションをまとめたものである：

• 検証可能な識別子（VID）
• VID は7 つの柱の最初のものであり、TSP に対する技術的な信頼を提供する暗号的に検証可能な識別子である。VID が必要な理由、VID が公開鍵と ToIP エンドポイント・アドレスへのアクセスを提供する方法、VID の検証方法、および鍵のローテーション方法について説明する。
• メッセージ
• TSPはメッセージベースの非同期通信プロトコルである。メッセージ・エンベロープ、ペイロード（機密、非機密、ヘッダー）、署名、リレーションシップのセットアップ、帯域外の紹介。
• ネストされたメッセージ
• TSPメッセージは、メタデータ・プライバシーを達成するために1層または2層にネストすることができる。対象：ペイロード・ネスト、ネストされた関係 VID。
• 仲介者を経由するメッセージ
• TSPメッセージは、非同期配信、信頼性、パフォーマンスなど、いくつかの理由で仲介者を経由することができる。しかし、主な焦点はメタデータのプライバシー保護である。対象範囲：メッセージルーティング、直接の隣接関係、エンドポイント間（「トンネルされた」）メッセージ、プライベートVID、単一の仲介者、2つ以上の仲介者。
• マルチ・レシピエント・コミュニケーション
• TSP メッセージは複数の受信者に送ることができる。対象：複数受信者リストとエニーキャスト仲介。
• 制御ペイロードフィールド
• TSPメッセージは多目的であるため、専用の 制御メッセージではなく、制御ペイロードを定義する 。リレーションシップの形成（パラレル、ネスト、サードパーティの紹介）、リレーションシップのイベント（キーの更新、ルーティング情報、リレーションシップのキャンセル）。
• 暗号アルゴリズム
• TSPの真正性と機密性の特性は、公開鍵/秘密鍵暗号に依存しています。公開鍵署名、公開鍵認証暗号化、暗号化と復号のプリミティブ、ハイブリッド公開鍵暗号化（HPKE）、Libsodiumシールドボックス。
• シリアライズとエンコーディング
• TSPは 、 メッセージのシリアライズとエンコーディングにCESR（Composable Event Streaming Representation）を使用 します。CESRは、JSON、CBOR、MsgPakなどの一般的なデータ・エンコーディング・フォーマットをサポートします。対象：エンベロープ・エンコーディング、ペイロード・エンコーディング（非機密、機密、ネスト）、署名エンコーディング。
• トランスポート
• TSPの真正性、機密性、メタデータ・プライバシー特性は、トランスポート・プロトコルの選択に依存しないように設計されている。対象：トランスポート・サービス・インターフェース、トランスポート・メカニズムの例。
• 付録）テストベクター
• (まだ完成していない）一般的なユースケースのテストベクタ。ダイレクトモードのメッセージ、ダイレクトモードのネストされたメッセージ、ルーティングされたモデルのメッセージ。

TSPは他のトラスト・プロトコルとどう違うのか？

Opening - Gail Hodges, Nat Sakimura

eKYC & IDA Working Group - Mark Haine

Implementer's Draft 4から4つのスペックに分割しました。

• OpenID Connect for Identity Assurance 1.0
• OpenID Identity Assurance schema definition 1.0 draft
• OpenID Connect for Identity Assurance Claims Registration 1.0

まずはIDAのファイナライズからですね。

デジタル庁とのコラボレーションについても触れられました。まさにIDAの実装が進もうとしている初期のインスタンスとして日本が貢献できるのは素晴らしいことだと思います。

AuthZEN Work Group Update - David Brossard, Omri Gazitt

前回の日本でのWorkshopでも紹介しましたが、新しいワーキンググループですね。

成果物として、認可パターン、ユースケース、コミュニケーションパターン、インテグレーションパターンをまとめたものや、認可リクエスト認可決定を行うためにPDP、PEPの間の標準化されたAPIの定義、そしてPAPからPDPへ認可ポリシーとデータを連携するためのAPIの定義が挙げられています。

Interopシナリオの定義など、精力的に活動が進んでいるようですね。

参考）Interop website

https://authzen-interop.net/

SalesforceやServiceNowなどを含むSaaSアプリでも認可を外部化して、アクセスコントロールが適切に行えるようになると素晴らしいですね。WGでは今はアプリ単位で個別に制御をしないといけないところを、外部化することで企業や組織が権限を集中管理できるようになる将来を夢見ているということです。 

OpenID Connect Work Group - Michael B. Jones

次はOpenID Connect Working Groupです。

昨年10月以降のUpdateで一番大きかったのはOpenID for Verifiable Credential IssuanceのImplementer's draft 1が4月に出たことですかね。あとはOpenID Federationの実環境へのデプロイがイタリアやオーストラリア、スウェーデンでも進んでいる、というのも興味深いですね。

ISOの番号がちゃんとOpenID Connect関連の仕様にアサインされたのも非常に大きな進捗です。こういうデジュールに認められることはWTO的にも非常に重要です。

今後のロードマップとして今年の終わりまでにFederationの仕様の最終化をしていくという野心的な試みも示されました。

あとはなんといってもOpenID Summit Tokyoから続く10周年イベントのシリーズは今後もIdentiverseやEICでも続きます。成功の秘訣はなんといっても「Keep simple things simple」ですね。そして相互運用テストなどを含めエコシステムを生成するための営みも非常に重要なパートでした。

FAPI Work Group Update - Nat Sakimura

すでにFinancial-gradeを超えてGeneral Purposeな高セキュリティなプロファイルになってきています。これまでIETFライクに書かれてきたスペックをISOにも容易に持っていけるように書いてい拘置しているのはConnect WGでもあったように世界でのアドプションには必要な取り組みですね。

他にもホワイトペーパーやFormal Analysisなども進んでいます。

仕様のファイナライズに向けて精力的に活動も続きます。だいぶ新しいIssueも減ってきたので最終化に向かえそう、ということです。

MODRNA Work Group - Bjorn Hjelm

モバイルオペレーターにおいてMNOがIdentity Providerになることを想定したスタンダード開発のために発足したワーキンググループです。今ではFAPIでも使われているCIBAは元々はこのワーキンググループを中心に開発された仕様ですね。

新しい動きとしては、CIBA ExtensionやRCS Verification Authority API向けのプロファイル作成などもありますし、IDAワーキンググループと共同で動いているCAMARA ProjectのIdentity and Consent Management SPとKnow Your Customer SPに関するリエゾン合意なども特筆すべきアクティビティです。日本ではKDDIさん中心に活動が進んでいますね。

なお、こちらには書かれていませんが、ISOのPASと同じくITUとの連携の取り組みも進めようとしているようです。

Digital Credentials Protocols (DCP) Work Group Update - Kristina Yasuda, Joseph Heenan

Josephが共同議長になったのが大きなニュースですね。

あと、Connect WGでも話がありましたがOpenID for Verifiable Credential IssuanceのImplementer's draft 1が出たのは大きいです。また、日本でもいくつかの事業者が協力したOpenID for Verifiable Presentationsのコンフォーマンステストについても大きな進捗がありました。

EUのLSPでは100以上の事業者がテストに参加しているのは素晴らしいですね。

すでに次のステップに向けた仕様開発も進んでいて、どんどんアップデートされていきますのでついていくのが大変です。。。その中でも特にWalletプロバイダになる事業者の方々はカスタムURLスキーム問題に対応するためのブラウザAPIに関するW3Cとのディスカッションは追いかけていかないといけませんね。あとは先日書いた通り、Presentation Exchange 2.1も出てきていますのでQuery Languageも注目です。

金曜日にDCPワーキンググループのF2Fも予定されているので、その中でW3Cとのリエゾンについても深掘りされていくことになりそうです。

Shared Signals Work Group Update - Tim Cappali

SSFではSETなどIETFのスタンダードを使いつつCAEPなどのプロファイルを策定していっています。

SSFも新しい共同議長を迎えています。事業者が入っているのは仕様の実効性の面で非常に重要なことだと思います。

IIW、Identiverse、EICでもセッションが予定されており、活発に活動しています。また、SSFの相互運用性のプロファイルも作成されています。

結果もいい感じですね。楽しそうです。

OIDF Certification Program Update + Roadmap - Joseph Heenan

認定プログラムの特徴の一つは特にFAPIに表れているように特定の国のプロファイル（ブラジルのオープンバンキングなど）を対象としたテストも存在しているところですね。各国でプロファイルを定義して、技術面での認定をOIDFが実施する、というエコシステムになっているわけです。

Death & the Digital Estate Community Group - Dean Saxe

アイデンティティシステムにおいてライフサイクル設計をすることは重要ですが、「死」というステートは滅多にフォーカスされることはありません。SNS上のデータをはじめとするデジタル資産を廃棄する仕組みが用意されていることはほとんどありません。権限委譲やアカウントの削除、など必要になりそうなものは多くありそうです。デジタル遺言書なども一部検討は始まっていますね。

この活動では、新しいOIDFのコミュニティグループ、長期的にはワーキンググループの設立を目指しています。

Q2をターゲットに活動するので手伝ってね、とのこと。これはカルチャーごとに考え方も変わりそうですし、アジア圏からのコントリビューションができるといいですね。

Sustainable & Interoperable Digital Identity(SIDI) Hub Update - Gail Hodges

SIDI Hubの2024のストラテジーが出てます、って話です。当ブログでも取り上げましたね。

Listening Session: Post-Quantum Computing & Identity - Gail Hodges, Nancy Cam-Winget, John Bradley, Rick Byers, Andrea D'Intino

W3C-VCにQuantum-proofを使おうって話です。ECDSAのさらに次を、ということですね。

インプリもしているみたいです。

こんな感じでproofを作っているみたいです。

サンプルやデモもあるみたいです。

ということでディスカッションです。

PQの暗号アルゴリズムの強固性の前に、鍵管理・ローテーション・交換の問題やサイドチャネル耐性問題など解決する必要がある課題がいっぱいあるよねぇ。。という話とか、プロトコル自体がTLSに依存している状態なのが現状で、場合によってTLSを信頼するけど、場合によってPQが必要っていう矛盾した議論が起きそう、、みたいなコメントがありました。まぁ、エコシステムが複雑化してしまっている環境下において特定の技術要素だけで全体を解決するのは不可能、ってことかと。

Listening Session: AI & Identity. What are your concerns? What is OIDF’s role? - Gail Hodges, Nancy Cam-Winget, Kaelig Deloumeau-Prigent, Mike Kiser, Geraint Rogers

まず最初にドイツテレコムが公開しているこちらのYoutube Videoを見ました。

こんにちは、富士榮です。

ということで初日が終わったIIW（Internet Identity Workshop）ですが自分メモとして記録をしておきたいと思います。

といってもアンカンファレンスなのでゆるーく話を聞いていた部分も多く、特に印象に残っているセッションについてのみ記録しています。

いつものアジェンダ作成の会です。

今回私が参加したのは、以下のセッションです。

1. DCC Update - Dmitri Zagidulin
2. Should Proof of Humanity apply to My Personal AI? - Adrian
3. SD-JWT(SD-JWT VC & SD-JWT VDM) - Kristina Yasuda, Oliver Terbu
4. Decentralized Storage ＆ Bring your own identity - Aaron
5. OID4VCI Events - Oliver Terbu

どれも面白かったのですが、１番目のDCCの話と５番目のOID4VCI Eventsの話をメモしておきます。

DCC Update

ずっと追いかけているMITが中心に進めているDCC（Digital Credential Consortium）です。これまでもIIWやその他のミーティングで色々と情報交換はしてきたのですが、ここにきてかなりの進捗があったように感じます。

DCC自体もOSSでIssuerおよびWalletなどのモジュールを公開しています。

https://github.com/digitalcredentials

Issuerの管理ツールも公開されていて、dockerイメージなので割と簡単にセットアップできます。私も入れてみました。（細かいところは追々）

（ちょっとカスタムURLスキームが独自過ぎるのが微妙ですが）

こう言うベースがあるとフィードバックのループも回ると思いますので成長できそうです。みなさんも触ってみてフィードバックしましょう。

OID4VCI Events

Oliverのセッションです。

OID4VCIでWalletに発行されたVCに関してShared Signalを使ってイベントを送信することでライフサイクル管理を厳格化しましょう、というシナリオの提案です。

ユースケースとしては

• Notify the wallet in case the credential got revoked before end of TTL window
• Notify the wallet in case a new credential type can be requested
• Notify the wallet thee data for one credential got updated and a new credential with the updated data is available

が挙げられていました。

ちょっと光ってしまっていますがこんなことを考えているそうです。

現時点での私のコメントはVC発行のときに使うアクセストークンとSSFの登録を行う際に使うアクセストークンはぜひスコープを分けてもらい、Issuanceの際に同じスクリーンで同意ができるようにできるといいと思います。発行はOAuthの世界で同意、プッシュ通知はモバイルアプリの世界で通知（まぁ、これはどっちにしろいるわけですが）という形でバラバラになるよりも、発行はOKだけど通知は嫌、みたいなシナリオにも最初の段階で対応できるようなUIが実現できる方が良いなぁ、と思いました。

ということでまた明日！

Cross Platform Demo of Digital Credential API - Eric@Apple, etc.

こんな感じでidentityDocumentのrequest/responseをブラウザAPIを使って実現します。

実際に動くデモがiOS/Androidの両方で披露されました。

OpenID for VP + OpenID for VP over Browser API - Kristina, Joseph, Torsten

先に記載した通り、VerifierでPresentation requestを行うところでブラウザAPIを使うことで、現在VerifierがQRコードを自前で生成しているがこれをより安全に生成することはできないか？そして、Crossデバイスの際にパスキーでQRコードを出す仕組みをそのまま使うことでカスタムURLスキームを使わずに済むようにできないか？またフィッシングレジスタントという意味でもこの辺りはパスキーと同様の仕組みにするのがリーズナブルではないか？などモチベーションが紹介されました。

呼び出し方については

Demo Hour①（ブータンの国民ID）

ざっくりメモです。

• インドの会社が作っている
• Hyperledger Ariesベース
• anonCredを使っている
• オンボーディングの際は軍が一人一人を訪ねて立ち上げをサポート
• スマホも配った
• ブートストラップする際は生体認証（そもそも国側に顔の情報が登録済み）
• 顔認証が通るとFundamental Credentialが落ちてくる
• それをベースに自己発行のクレデンシャの作成などもできる
• 民間で使う場合、例えば銀行口座を解説する場合などはサインアップ時にVCを提示してアカウントを作る
• アカウントが作られるとVCとしてWalletに取り込まれる
• そのVCを使ってオンラインバンクへのログインができる
• モチベーションとしては高地に住んでいる人が対面銀行に来るとなると標高差年全mの移動が必要となるのでデジタル化は必須だった
• ちなみにインドでも同じスタックを使っているので、インドでもこのWalletは使える
• 実際にオフィスの扉の開錠に使っている

2027年の向けてオープンソースで開発を進めているそうです。

また、トラストリストを持つことで安心して使えるようにしているのも特徴ですね。

キャラクターグッズ？をもらいました。

以下メモです。

• 細かいプロトコルやクレデンシャルフォーマットは動くので抽象化した実装となっている
• OSSで公開してブラッシュアップをしていくモデルだが、政府が７ミリオンドルくらいを毎年予算計上している
• モチベーションとしては地政学リスクを考えて、分権型としている（中央集権だと中国に乗っ取られたら終わる）
• トラストリストを作り、利用できる事業者やサービスを絞ることで利用者に安心を与えている
• オンボード時はtwFIDOとの連携している

こんにちは、富士榮です。

いよいよ最終日でした。

一昨日、昨日に引き続きIIW（Internet Identity Workshop）のクイックレビューです。

• OID4VP Suggestions for query syntax(P.E.) simplification - Tobias, Kristina, Oliver
• OID4VC as Framework vs Profiles - Kristina
• Verifiable Credentials with BBS+ and zk-SNARKs for Predicate Proofs - Dan Yamamoto
• Learning Record - Mehesh Balan

あたりを記録しておきたいと思います。

OID4VP Suggestions for query syntax(P.E.) simplification - Tobias, Kristina, Oliver

OID4VC as Framework vs Profiles - Kristina

引き続きKristinaさんのセッションです。

相互運用性を担保するために必要なこととしてあげられる、

• Definition of "mandatory to implement" element of the protocols
• Wallet invocation mechanism. Custom url scheme, etc
• Verifierにおける認証メカニズム
• Walletのクレデンシャルフォーマット
• issuerの識別とキー解決
• Holder key binding
• 暗号アルゴリズム

をプロファイルとして定義していこう、という話ですね。

これはOAuthでも行われていることでRFC6749はFrameworkでFAPIなどはプロファイル、という言い方をします。

しかし、FAPIではブラジルやオーストラリアのオープンバンキング向け、など各国向けのプロファイルが存在している状態になっています。今回のOpenID for Verifiable Credentialsはどうしていくのか？は考えないといけないところだと思います。

現在、HAIP（High Assurance Interoperable Profile）が定義され、EUではこのプロファイルを使うことになっていますが、これが全世界的に受け入れられるプロファイルとなるのか、もう少しコアプロファイルを削り出して個別の事情を含め柔軟に受け入れられるようになるか、は今後のデザイン次第だと思います。

参考までに、HAIPでは

• Protocol profile
• SIOP,OID4VP,OID4VCI
• Credential profile: SD-JWT VC
• SD-JWT VC
• JWT/CWT Statuslist
• Wallet Attestation Scheme
• Attestation based client authentication
• Basic choices
• Custom scheme
• Issuer key resolution
• Crypto suite

あたりが決められています。

Verifiable Credentials with BBS+ and zk-SNARKs for Predicate Proofs - Dan Yamamoto

次はIIJの山本さんのセッションです。

これまでも毎年Updateされてきているzkp playgroundを使って動きを見ながらこれまでの研究成果を発表してくれています。

参考）

https://playground.zkp-ld.org

今回はこれまでBBS+で実装してきたSelective Disclosureに加えてzk-SNARKを使ったPredicateへの対応です。

具体的に言うと、単純に名前や生年月日を開示する・しないを選択できる選択的開示に加えて、21歳以上かどうか？などと言った判定結果のみを開示する、ということにも対応した、という話です。

具体的には、RDFのブランクを示す、”_;"から始まる文字列で対象となる値を置き換えます。

例）birthDate: "_:HIDDEN_DATETIME"

この状態でpredicateタイプとしてprivate<publicといった演算子を選択し、

• privateに先ほど指定した_:HIDDEN_DATETIMEを、
• publicに比較対象となる日付、例えば"2003-04-018T23:59:59Z"を

設定します。

こうすると実際の値が隠されたプロパティがpublicに指定した値よりも大きいのか小さいのか、ということがクレデンシャル内にセットされるためVerifierは判別ができる、という仕掛けです。

また、この結果のVerifiable Presentationを検証できるChrome Extensionを用意しており、例えばデモで見せてくれたのはBlueSkyに当該のVPを配置したストレージ（デモではgithub）のURLを投稿、このリンクの値を検証することで本当にこのアカウントの持ち主は21歳以上なのかどうかを検証ができる、というシナリオでした。

こう言う形で動いているものを見ながら議論ができると盛り上がっていいですね。

Learning Record - Mehesh Balan

こんにちは、富士榮です。

先日リリースされた自民党のweb3PT（プロジェクトチーム）のホワイトペーパーのテーマの一つとしてDID/VCが取り上げられていますね。ブロックチェーン、DAO一筋だったころに比べると社会実装に向けて現実的な路線も取り入れられてきていて成熟してきた感があります。

新たなテクノロジーが社会基盤となる時代へweb3PTが「ホワイトペーパー2024」を策定

https://www.jimin.jp/news/information/208018.html

発行されたホワイトペーパーの要旨にはこんな感じで「VC及びDIDの利活用促進、DIWに関する検討」がテーマとして記載されています。実はこのDID→VCではなく「VC及びDID」となっているところが個人的には注目です。これまでのweb3ではDIDが全面に出てきていましたが、ようやく本質はVCだということが理解されてきたようです。事務局のみなさん本当にお疲れ様です。

ちなみに、平井卓也さんのInstagramに会合の様子が掲載されています。この会は私もお邪魔してVCとブロックチェーンの関係性の話を少しお話してきました。（あんなに細かい話をして良かったのかどうかは置いておいて）

https://www.taira-m.jp/2024/04/web3-3.html

Adminダッシュボード

https://github.com/digitalcredentials/dcc-admin-dashboard

Learner Wallet

https://lcw.app/

curl https://raw.githubusercontent.com/digitalcredentials/docs/jc-compose-files/deployment-guide/docker-compose-files/admin-dashboard-compose.yaml | docker compose -f - up

ではなく、 

https://raw.githubusercontent.com/digitalcredentials/docs/jc-compose-files/deployment-guide/docker-compose-files/admin-dashboard-compose.yaml

をダウンロードしてきてメールサーバに関する記述を変更した上で、docker-compose.ymlにリネーム、docker-compose -up -dをする方がベターです。

変更対象は

      - SMTP_HOST=sandbox.smtp.mailtrap.io

      - SMTP_USER=myusername

      - SMTP_PASS=mypassword

の３行です。私はテスト用にmailtrapを使ったので必要なSMTPホストやユーザID、パスワードはmailtrapのサンドボックスの値を使いました。

最初の画面です。

使い方としては、まず最初にCredential Templatesから発行するVCの定義を行います。

タイトルやテンプレートとなるJSONを記載してきます。

ちなみに

https://github.com/digitalcredentials/dcc-admin-dashboard/blob/main/docs/GETTING_STARTED.md

にサンプルのJSONテンプレートがあるのでそのまま使いました。

定義ができました。

次がEmail Templatesです。先ほど書いた通り、メールでVC発行をユーザへ通知する仕組みなのでそのメールの本文を定義します。

これも先ほどのドキュメントにテンプレートのサンプルがあるので、そのまま設定します。

これで設定はおしまいです。

準備ができるとこんな感じで送信確認を行います。

実際に送信するとメールが届くのでメールのリンクをクリックします。

このリンクを実行するとVC発行のQRコードが出てきます。

これを先ほどのLearner Walletで読み込みます。

作者のDmitriに聞いてみましたが、どうやらバグっぽいので治るのを待ちましょう。
しばらくしたらまた試してみたいと思います。

こんにちは、富士榮です。

パスキーを使う際に、AppleやGoogle、Microsoftなどのクラウドプラットフォームを通じたデバイス間で鍵の同期を行うSyned Passkeysをどう扱うか？、つまりそもそもFIDO認証の良いところはデバイスとの紐付けが強固であることだったはず、一方で鍵のリカバリが認証強度の弱点となりクレデンシャルの盗難や不正利用のきっかけになってしまう、その意味で鍵の同期は必要なのである、といった論争もひと段落してきたわけですが、その意味でパスキーを念頭においた各種ガイドラインについても更新される時期が来ているのかもしれません。

今回、NISTからSP800-63Bに関する同期可能な認証器に関する補足文書が公開されています。

アナウンス原文はこちら）

https://www.nist.gov/blogs/cybersecurity-insights/giving-nist-digital-identity-guidelines-boost-supplement-incorporating

 公開された文書はこちら）

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63Bsup1.pdf

アナウンスに概要が記載されているので紹介しておきます。（Google Webページ翻訳）

補足文書とは何か？

補足は、既存の NIST Special Publication (SP) を強化、拡張、または詳しく説明することを目的とした特定の文書タイプです。これにより、SP 全体を更新するプロセスを経ることなく、対象を絞った更新や変更が可能になります。これらは、NIST がテクノロジーとリスク環境の変化により迅速に適応するためのメカニズムを提供します (たとえば、同期可能な認証システムのような新しい認証システム タイプの要件を提供します)。 

同期可能な認証器とはなにか？

同期可能な認証システムは、秘密キーを複製して認証システムとは別に保存して、異なるデバイス間でのその鍵の使用 (同期など) をサポートできる暗号化認証システムです。実際には、これらは通常、FIDO Allianceによって「パスキー」と呼ばれるもので、Client-to-Authenticator Protocol や World Wide Web Consortium (W3C) の Web Authentication (WebAuthn) などの複数の標準およびプロトコルを利用します。 

正しく実装されると、シンプルなリカバリ、クロスデバイスのサポート、消費者に優しいプラットフォーム認証サポート (ネイティブ生体認証など) など、多くの利点を備えたフィッシング耐性のある認証システムが提供されます。このような認証システムは、デジタル ID ガイドラインのコンテキストでは非準拠とみなされ、補足では、認証保証レベル 2 (AAL2) での使用を許可するための追加の要件と考慮事項が規定されています。 

ガイドライン（SP800-63-3）が発行されてからの世の中の変化は？

多くのことが変わりました。ガイドラインが最初に開発および発行された時点では、同期可能な認証システムをサポートするための標準と仕様は開発されていませんでした。それ以来、標準は成熟し、ほとんどの主要な消費者プラットフォームが同期可能な認証システムのサポートを導入しました。  FIDO Alliance はこれまでのところ、80 億を超えるユーザー アカウントが認証にパスキーを使用するオプションを備えていると推定しています。まだどこにでも普及しているわけではありませんが、日に日に一般的になってきています。 

鍵の複製に関するリスクは？

そう、リスクは常に存在するのです。補足の要件は、キーの保存、送信、保護の方法を含め、これらの要件にできるだけ多く対処することを目的としています。同期可能なオーセンティケーターには特有のリスクが伴います。特に、一部の技術実装におけるユーザーが自分の認証キーを他の個人と共有する機能です。認証子を共有する機能は同期可能なキーに固有のものではなく、ほぼすべての AAL2 認証子を共有できます。しかし、長年のセキュリティ ポリシーに反して、一部の実装では、多くの消費者シナリオでパスワード共有の安全な代替手段として同期可能な認証子の共有を推進しています。 

すべてのインスタンスと同様に、組織は、提供するあらゆるタイプの認証システムを評価し、実装する前にそれに伴うメリットとリスクを比較検討する必要があります。同期可能なオーセンティケータは、すべてのアプリケーションやサービスに適しているわけではありませんが、エンドユーザーと信頼当事者の両方に多くのメリットをもたらす、新たな AAL2認証器オプションとなります。

パブリックコメント期間は設けられるのか？

この更新文書には適していません 。 SP 800-63-4 に関する最初のパブリック コメント期間からのフィードバックがこの補足資料に組み込まれました。同期可能な認証システムと補足の全体的な内容に関する追加のコメントは、リビジョン 4 の今後の第 2 回パブリック コメント期間を通じて提出できます。これは今年後半に行われる予定です。 

SP800-63-4を待たないのか？

上で述べたように、デジタル ID ガイドラインの規範文に厳密に従っている政府機関は、同期可能な認証システムを使用することを許可されません。この補足では、連邦ゼロトラスト戦略をサポートする強力で使いやすく、フィッシング耐性のある認証を提供する新しいセキュリティ技術の使用方法についての指示を提供することで、多くの政府機関の当面のニーズに対応しています。リビジョン 4 が完成すると、この補足は廃止されます。

技術や状況は日々変わってきているので柔軟にガイドラインも対応していく必要がありますね。

こんにちは、富士榮です。

ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。

考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。（実装ミスは問題外として）

他にもあればぜひご意見ください。

こんにちは、富士榮です。

昨日に引き続きCACTIの次世代クレデンシャルに関するレポートを見ていきましょう。

今回はナラティブのところからです。

ナラティブとして背景〜ワーキンググループの作業の流れを説明しています。

電子 ID の状況は、従来のフェデレーション Web シングル サインオン インフラストラクチャで使用されていた強力な集中型モデルから、ユーザーがどのような ID を主張するか、誰とどのような種類の ID を主張するかを選択できるモデルに移行しつつあります。 取引の際に開示する情報。 過去 30 年以上にわたってワールドワイド Web 上のユーザーに影響を与えてきた深刻なプライバシー侵害を制限する取り組みでは、(現在の InCommon および eduGAIN フェデレーション システムと同様に) 依存するリスクがますます高くなる中核的な Web プリミティブからの移行も必要です）。 次世代クレデンシャルワーキング グループは、可能な限り多くの利害関係者の観点から、次世代クレデンシャルの導入に向けた幅広い想定されるユースケースと推進要因を収集し、それらの認証情報との親和性と投資収益率 (ROI) を分析するために設立されました。 目標は、概念実証 (POC) に高い ROI のユースケースを推奨することです。

目標は先にも書いた通り次世代クレデンシャル（VCを念頭）をどうやって利活用していくか？をユースケース分析を通して明確にしていくことですね。やはりどこの業界でもそうですがユースケースが大事です。一方でチャンピオンユースケースがいまだに見つかっていない、という課題はとても大きく、ブレークスルーが求められます。

この作業グループはさまざまな機関や組織の 24 人で構成され、2023 年 6 月 15 日から 8 回会合を開きました。このグループは、次世代資格情報の設計と実装に関して競合する理論があるという事実を認識していました。 これらのテクノロジーは、「自己主権アイデンティティ」、「検証可能な資格情報」、「ウォレットベースの資格情報」などの名前で知られています。また、このグループは、この分野で取り組んでいる他の人の成果を再現することも望んでいませんでした。 ワーキンググループは、私たちのコミュニティができることに焦点を当てることにしました。

適切な使用例を開発するには、次世代の資格情報を構成するものについてグループが共通の理解を得る必要がありました。 このグループは、次世代資格情報の次の実用的な定義を採用しました。 これは、W3C の検証可能な資格情報とほぼ一致しています。

次世代資格情報は、エンティティ (自然人、システム、組織など) に関する情報を伝達する機械検証可能な方法であり、そのエンティティによって自己主張されるか、発行者から検証者にそのエンティティについて証明されます。 所有者によって管理されるウォレットの意味。 それは、安全でプライバシーを強化し、相互運用可能であり、ユーザーが管理下にある情報の公開について有意義な決定を下せるように通知し、権限を与えるユーザー エクスペリエンスを提供し、取り消し可能である必要があります。

それほど正式には述べられていませんが、出生証明書、運転免許証、学歴などのサブジェクトに関する属性の束であり、必要に応じて所有者が提示できます。 次世代の認証情報エコシステムにおける決定的な違いは、サービス プロバイダーが認証情報を発行者からではなくユーザーから直接受け取るようになったことです。 採用された実用的な定義は、認証に次世代の資格情報を使用することを妨げるものではありませんが、グループのコンセンサスは、これらのユースケースはグループにとって検討すべき最も興味深いものではなく、適切ではないということでした。

この辺りはVCの特徴の説明です。まぁ特に目新しいところはありません。

これらの特徴を踏まえてこのワーキンググループで何をするか？を考えていきます。

このグループは、次世代の資格情報がその可能性を最大限に発揮するには、次世代の資格情報エコシステムの目標、設計、運用が透明でなければならないことを認識しました。

相互運用性、信頼モデル、取り消し可能性、ユーザー エクスペリエンスの 4 つの主要な特性を考慮します。

まず、次世代の認証情報は相互運用可能である必要があります。 業界は相互運用不可能なエコシステムを構築する傾向があります。 CACTI は、この分野での標準化を目指す既存の取り組みに参加するとともに、不足している標準化をさらに推進することを検討する必要があります。 OpenID Federation、OpenID4VCI、OpenID4VP などの新しい標準によってサポートされるモデルの展開とテストの分野では、多くの作業が必要です。 InCommon コミュニティは、既存の認証技術の導入の複雑さとコストを考慮して、これらの新しいシステムの価値を実証する価値の高いユースケースを選択し、認証システム、ウォレット、検証者、発行者、および信頼ファブリックのデモンストレーションまたはパイロットを検討する必要があります。 多くのデプロイ担当者にとって。 コミュニティは、強調されているもののまだ満たされていないニーズをサポートする既存のプロトコルの必要な拡張や修正を積極的に追求する準備を整える必要があります。 この作業は、国際的および分野を超えた協力と展開の互換性に重点を置いて進められなければなりません。

やっぱり多くのIdentity Providerをトラストフレームワークの中で運用してきた経験からもTrust Chainの構築にOpenID Federationを使うことを検討していくことになるんでしょうね。

相互運用性とエコシステムについても語られています。

商用製品との相互運用性は最も重要ですが、Google、Apple などの大手企業は、プライバシーを保護したり、容易な移植性や他のエコシステムとの相互運用性を実現したりすることを積極的に阻害しています。 Apple または Google ウォレット (それぞれ Apple Pay、Google ウォレット) の「壁に囲まれた庭園」に閉じ込められたことのある人なら、あるモバイル エコシステムから別のモバイル エコシステムに移行しようとするときに、これがどれほどイライラすることになるかを知っているでしょう。 したがって、InCommon コミュニティは、電子市民権、奨学金、その他の要件に向けた欧州委員会の資金提供による大規模ウォレットのパイロットなど、オープンウォレットの標準化における積極的な世界的な取り組みと協力することが重要です。 この作品の一例は「wwwallet」です。

なるほど、John Bradleyが入っていた理由の一つが「wwwallet」だったわけですね。

テクノロジーの相互運用性に加えてトラスト・モデルについても語られます。この辺りは長くトラストフレームワークを運用してきたInCommonならです。さすがです。

第 2 に、次世代のクレデンシャルでは、新しい信頼モデルの採用が必要になる可能性が高く、確実に新しい信頼インフラストラクチャが必要になります。 現在の信頼モデルでは、エンドユーザーは ID プロバイダーによる機密情報の開示に同意できる場合とできない場合があります。 現在のモデルでは、REFEDS Research and Scholarship (R&S) カテゴリなどの SAML エンティティ カテゴリを使用して、これをある程度安全にしようとしています。 これらのカテゴリはモノリシックで脆弱であり、認証/認可 (ログイン) トランザクションのコンテキストでユーザーに簡単に開示することはできません。 この古典的なモデルでは、ID プロバイダーがデータを管理しているため、機密データを含む証明書利用者に送信される内容を制御できます。 次世代のケースでは、保有者が情報の公開をコントロールします。 エコシステムがプライバシーを要件として構築されている場合、特に低遅延アキュムレータ スキームのようなシステムを介した失効チェックなどのアクションを集約する手段を通じて、発行者はユーザー/所有者による検証者への情報の公開を把握できなくなりますし、検証者による失効チェックについても把握できなくなります。

大規模な SAML ベースのシングル サインオン フェデレーションの現在の展開モデルは、非常に脆弱でモノリシックです。 XML に基づく脆弱な集計と非機敏な暗号化プロセスは、展開されている既存のエコシステムの長期的な存続可能性を損なう恐れがあります。 次世代モデルは、SAML と OAuth に関する数十年の経験から学んだ教訓に基づいて、標準を介して俊敏性と相互運用性を強化することで、この問題を軽減します。 これまで存在しなかったコンポーネントは、プライバシー、相互運用性 (標準/暗号化プリミティブ)、およびエンドユーザー エクスペリエンスのサポートと強制という点でおそらく最も重要な役割を果たしているため、このコンポーネントであるウォレットがその中核であり、おそらく最も重要な部分となります。 そしてそれはパイロット、標準化、教訓、および以前の作業の改良を通じて行われる作業などを通して実現されます。

SAMLでは事前のメタデータ交換に基づく（テクニカルな意味での）相互信頼に基づくため、確かにモノリシックであり、大規模環境下で運営するために大きな労力が必要となりますし、どうしてもIdPが強大な力を持つため、利用者による情報コントロールの面で難点があります。ここをウォレットを中心としたモデルで解決することが期待されます。

第３に、次世代のクレデンシャルは取り消し可能である必要があります。 資格情報には、発行時に有効期間が定義されている場合もあれば、発行者と所有者の両方が合意した将来の条件によって期限切れになる場合もあります。 取り消しは、イベントによって資格情報の再発行が必要になる場合や、個々のデータ要素が無効化され再発行する必要がある場合にも必要です。 クレデンシャル全体またはクレデンシャル内のデータ要素のアクティブでほぼリアルタイムの失効と再発行は、発行者、検証者、そして最も重要なことにウォレットによってサポートされている必要があります。 ユーザーの地理的隔離によるオフラインのウォレットおよび/または検証器の問題 (たとえば、インターネット アクセスが利用できない遠隔地のフィールド ステーションで消耗品を購入するためにウォレット内の資格情報を使用する) は、エッジ ケースであることが証明される可能性があります。 挑戦的。 解決策を追求するためにコミュニティの時間やその他のリソースへの投資を最適化する方法を決定する際には、パレートの法則を考慮する必要があります。

信頼モデルと資格情報の取り消しの両方に関するグループの議論により、信頼レジストリの必要性が確認されました。 これらのレジストリは、ある意味、InCommon Federation が現在運用している信頼フレームワークに似ていることに注意してください。 この既存の信頼フレームワークは、潜在的な将来の信頼モデルへの入力としてすでに学んだ教訓を活用する機会を提供する可能性があります。 とはいえ、これらのテクノロジーをサポートする新しい信頼レジストリ エコシステムのサポートはグリーンフィールドになる可能性が非常に高いため、慎重に計画して実装する必要があります。 エコシステム実現のこの側面は、真に相互運用可能で安全でユーザーフレンドリーなウォレットの作成と同じくらい困難なものになるでしょう。

なるほど、やはり既存のトラストフレームワークの考え方を踏襲しつつ、トラストリストや執行リストをレジストリに保管していくことになるわけですね。

しかし、このモデルは既存のSAMLメタデータをトラストフレームワークで管理していたモデルと何が違うのか？については注意深く見ていく必要があります。SAMLでいいじゃないか？という話になりがちなわけです。その点については後半に述べられているようにオフラインのユースケースを考慮する、というところで違いを出しているわけですね。

最後に、次世代のクレデンシャルでは、発行者と検証者の両方を検証し信頼する責任がユーザーに課されます。 ユーザーエクスペリエンスは、ユーザーが何を、誰に、どのような目的で、どのような範囲と制約で開示するよう求められているかを簡単に理解し、ユーザーの誠実で情報に基づいた決定に柔軟に対応して、ユーザーの好みや決定に対応できるものでなければなりません。 。 取引を完了するために必要な最小限の開示は、ユーザーに明確に伝えなければなりませんが、ユーザーが選択した場合には追加の属性のリリースも許可する必要があります。 このタイプのユーザー エクスペリエンスのサポートは、エコシステム内のすべての関係者 (発行者、検証者、ウォレット、および信頼レジストリ) に義務付けられていますが、おそらく最も中心に位置し、ウォレット自体内でユーザーに直接表示されます。

ここも信頼モデルがどう変わるのか、問題です。これまでも本ブログや各所で話をしてきたことですが、ユーザがIssuer/Verifierの正当性を検証しなければならないモデルになってしまうので、どうしても使う人を選んでしまいそうな点は懸念です。

パイロットは、研究および教育部門ではやや独特な問題に焦点を当てる必要があります。学生、教職員、およびスタッフは、多くの場合、機関間および機関内の承認に使用する必要がある非常に多くのグループと役割を担っています。 これらのグループ メンバーシップは、セキュリティ上の理由からリアルタイムの失効に大きく依存しており、グループの数が膨大であるため、大規模な承認に対して課題、別名「Kerberos PAC フィールド問題」が発生することがよくあります。 この分野におけるもう 1 つの特有のニーズは、eduperson、voperson、SCHAC などのカスタマイズされたスキーマのサポートです。 コミュニティは、検証可能な資格情報スペースの既存のオープンスタンダード内でこれらのスキーマをどのように適応させて使用できるかを調査する必要があります。