2024年4月20日土曜日

OpenID Technight #21を開催します。今回はShared SignalとIIWの振り返りです

こんにちは、富士榮です。

半年ぶりくらいになるでしょうか?OpenID Technight #21を開催します。
今回は対面+オンラインのハイブリッド開催です。

気になるテーマはマニアックに「Shared Signal Framework」です。まさにID基盤を裏から支える縁の下の力持ちのフレームワークで、主にリスクイベントやアイデンティティ・ライフサイクル上で発生する様々なイベントを裏側でIdP同士やIdPからクライアントへ伝達するためのシグナリングのための仕組みです。

また、時期的にもInternet Identity Workshop(IIW)の前後でありましたOpenID Foundation Workshopを含むIIWでの最新情報などについても、OpenIDファウンデーションジャパンの最新動向と合わせてお話できると思います。

ということでぜひ重し込みください。

お会いできるのを楽しみにしています。

2024年4月19日金曜日

IIW #38 Day3クイックレビュー

こんにちは、富士榮です。

いよいよ最終日でした。

一昨日昨日に引き続きIIW(Internet Identity Workshop)のクイックレビューです。


本日は、

  • OID4VP Suggestions for query syntax(P.E.) simplification - Tobias, Kristina, Oliver
  • OID4VC as Framework vs Profiles - Kristina
  • Verifiable Credentials with BBS+ and zk-SNARKs for Predicate Proofs - Dan Yamamoto
  • Learning Record - Mehesh Balan

あたりを記録しておきたいと思います。


OID4VP Suggestions for query syntax(P.E.) simplification - Tobias, Kristina, Oliver

現在OpenID for Verifiable Presentations(OID4VP)はPresentation Exchange 2.0.0(PE)を使っているがシンプルにできないか?という話です。現在、要件をDCPWGで洗い出しているそうです。
例えば、
  • JWTでCBORでも使えるようにしたい
  • SDにも対応できるようにしたい
  • ネスト構造にも対応できるようにしたい
などがテーマのようです。

うまく、OID4VPをプロトコル、PEをクエリ言語としてモジュラー型にできるか、という議論もあります。方向性としてはPEをシンプル化してBreaking changeを極小化する形に落ち着いてくると思われます。
具体的にはinput_descriptorsの下にformat要素を作り、例えばmDocならdoctypeとしてmDL、claimsにnamespaceやdata_element_idを指定する、という形で考えているようです。


OID4VC as Framework vs Profiles - Kristina

引き続きKristinaさんのセッションです。

相互運用性を担保するために必要なこととしてあげられる、
  • Definition of "mandatory to implement" element of the protocols
  • Wallet invocation mechanism. Custom url scheme, etc
  • Verifierにおける認証メカニズム
  • Walletのクレデンシャルフォーマット
    • issuerの識別とキー解決
    • Holder key binding
  • 暗号アルゴリズム
をプロファイルとして定義していこう、という話ですね。
これはOAuthでも行われていることでRFC6749はFrameworkでFAPIなどはプロファイル、という言い方をします。
しかし、FAPIではブラジルやオーストラリアのオープンバンキング向け、など各国向けのプロファイルが存在している状態になっています。今回のOpenID for Verifiable Credentialsはどうしていくのか?は考えないといけないところだと思います。
現在、HAIP(High Assurance Interoperable Profile)が定義され、EUではこのプロファイルを使うことになっていますが、これが全世界的に受け入れられるプロファイルとなるのか、もう少しコアプロファイルを削り出して個別の事情を含め柔軟に受け入れられるようになるか、は今後のデザイン次第だと思います。

参考までに、HAIPでは
  • Protocol profile
    • SIOP,OID4VP,OID4VCI
  • Credential profile: SD-JWT VC
    • SD-JWT VC
    • JWT/CWT Statuslist
  • Wallet Attestation Scheme
    • Attestation based client authentication
  • Basic choices
    • Custom scheme
    • Issuer key resolution
  • Crypto suite
あたりが決められています。

Verifiable Credentials with BBS+ and zk-SNARKs for Predicate Proofs - Dan Yamamoto

次はIIJの山本さんのセッションです。

これまでも毎年Updateされてきているzkp playgroundを使って動きを見ながらこれまでの研究成果を発表してくれています。
参考)

今回はこれまでBBS+で実装してきたSelective Disclosureに加えてzk-SNARKを使ったPredicateへの対応です。
具体的に言うと、単純に名前や生年月日を開示する・しないを選択できる選択的開示に加えて、21歳以上かどうか?などと言った判定結果のみを開示する、ということにも対応した、という話です。

具体的には、RDFのブランクを示す、”_;"から始まる文字列で対象となる値を置き換えます。
例)birthDate: "_:HIDDEN_DATETIME"
この状態でpredicateタイプとしてprivate<publicといった演算子を選択し、
  • privateに先ほど指定した_:HIDDEN_DATETIMEを、
  • publicに比較対象となる日付、例えば"2003-04-018T23:59:59Z"を
設定します。

こうすると実際の値が隠されたプロパティがpublicに指定した値よりも大きいのか小さいのか、ということがクレデンシャル内にセットされるためVerifierは判別ができる、という仕掛けです。

また、この結果のVerifiable Presentationを検証できるChrome Extensionを用意しており、例えばデモで見せてくれたのはBlueSkyに当該のVPを配置したストレージ(デモではgithub)のURLを投稿、このリンクの値を検証することで本当にこのアカウントの持ち主は21歳以上なのかどうかを検証ができる、というシナリオでした。

こう言う形で動いているものを見ながら議論ができると盛り上がっていいですね。

Learning Record - Mehesh Balan

最後はMeheshさんの学修歴クレデンシャルです。アリゾナ州立大学の学位などをVCとして発行する、というシナリオで実装をしているそうですが、実際の社会実装として適用していくためにはどうしていくのがいいのか?というどこかで聞いたような話でお悩み相談でした。
(スピーカーと私を含めて全部で3人のセッションだったので本当にお悩み相談っぽかったです)

ちょうどアリゾナ州にはTSMCの工場ができていたり、と半導体が盛り上がっているので学生を送り込みたいところなのですが、効率的にスキル証明をすることができれば、という話です。これもどこかで聞いた話だなぁ、と。

具体的なお悩みポイントは、
  • Issuerのトラストをどのようにして検証するのか
  • どうやってVerifier(例えばTSMC)に受け入れてもらうか
です。

まず、トラストの話はX.509のルートを辿っていく、という話も出てきましたが、技術以外にトラストフレームワークをどう捉えるのかも総合して考えないとダメだよね、という話をしました。米国の大学ではinCommonがあるのでそのSPとしてTSMCを構成すればそもそもVCじゃなくてもいいのでは?という話もありますが、卒業生や他の大学の学生などトラストフレームワークの外のエンティティをどうやって担保するのか?という話なども議論の種でした。

Verifierとの調整の話は典型的な卵・鶏の話なので、まずはアカデミアの世界でちゃんとグローバル標準を作って、より多くの大学が同じタイプのクレデンシャルを発行できる状態を作って数で勝負していなかないとダメ、という話をしました。この辺りは某QRコード決済を普及された事業者がやっていたような力技もどこかで必要になるでしょうし、政府のサポートも重要なファクターとなると思われます。

また半年後、もしくは1年後に彼とは情報交換をして進捗を確認し合っていけると良いと思いました。



ということで3日間のIIWはおしまいです。
ここに書いた話以外にもサイドで個別に議論をできたことも多く、結果的に実りのある3日間でした。また次回の秋もしくは1年後に参加して進捗を見ていきたいと思います。

2024年4月18日木曜日

IIW #38 Day2クイックレビュー

こんにちは、富士榮です。

昨日に引き続きIIW(Internet Identity Workshop)の記録です。

今日も主要なセッションについてメモしていきたいと思います。
印象に残ったのが以下のセッションです。
  • Cross Platform Demo of Digital Credential API - Eric@Apple, etc.
  • OpenID for VP + OpenID for VP over Browser API - Kristina, Joseph, Torsten
  • Demo hour(ブータン、台湾の展示)

早速みていきます。
まずはApple/Googleからの発表です。

Cross Platform Demo of Digital Credential API - Eric@Apple, etc.

要するに、Credential APIを使ってWalletとの間のインタラクションを簡素化しましょう、という話です。
従来だとIssuance requestやPresentation requestをCross deviceだとQRコード、Same deviceだとカスタムURLスキームで、という形でブラウザとWalletとの間でやり取りをしていましたが、これまでにも触れたカスタムURLスキームの後勝ち問題など、OSの仕組み上どうしようもない課題が存在していていました。
しかし、よく考えてみると同一デバイスならブラウザから直接呼び出し、別デバイスならQRコードを表示する、というUXは他でもみたことがありますよね?そう、パスキーです。パスキーでは以前解説したとおりcredential.get()などのブラウザAPIを使って認証機能を呼び出していました。
このアイデアはOpenID for Verifiable Credentials関連の仕様においても同じ仕組みを使えるようにブラウザAPIの拡張を行うことはできないか?という話で、今回AppleとGoogleがそれぞれのデバイスで実装したデモを披露してくれました。

こんな感じでidentityDocumentのrequest/responseをブラウザAPIを使って実現します。


実際に動くデモがiOS/Androidの両方で披露されました。

OpenID for VP + OpenID for VP over Browser API - Kristina, Joseph, Torsten

前のセッションに引き続きプロトコルの面からの詳細解説です。

先に記載した通り、VerifierでPresentation requestを行うところでブラウザAPIを使うことで、現在VerifierがQRコードを自前で生成しているがこれをより安全に生成することはできないか?そして、Crossデバイスの際にパスキーでQRコードを出す仕組みをそのまま使うことでカスタムURLスキームを使わずに済むようにできないか?またフィッシングレジスタントという意味でもこの辺りはパスキーと同様の仕組みにするのがリーズナブルではないか?などモチベーションが紹介されました。



呼び出し方については
navigator.identity.get({
  digital: {
    prividers: [{
      protocol: "urn:openid.net:oid4vp"
      request: JSON.stringfy({
       ※ここにOID4VPリクエストを入れる
   ※ただし、Client_id_scheme : "web-origin"を追加する
というイメージでAPIを実行するようです。

Demo Hour①(ブータンの国民ID)

少しセッションとは毛色が異なりますが、ブータンの国民ID、Walletの展示がありました。


オンボーディング時は軍の方が各家庭を回って本人確認〜登録を勧めたそうです。スマートフォンの配布もこの際に行ったそうです。


なお、インドと同様に各国民の生体情報(実際は特徴点情報)が国側に登録されているのでアクティベーションにいは生体情報を使います。

ざっくりメモです。
  • インドの会社が作っている
  • Hyperledger Ariesベース
  • anonCredを使っている
  • オンボーディングの際は軍が一人一人を訪ねて立ち上げをサポート
  • スマホも配った
  • ブートストラップする際は生体認証(そもそも国側に顔の情報が登録済み)
  • 顔認証が通るとFundamental Credentialが落ちてくる
  • それをベースに自己発行のクレデンシャの作成などもできる
  • 民間で使う場合、例えば銀行口座を解説する場合などはサインアップ時にVCを提示してアカウントを作る
  • アカウントが作られるとVCとしてWalletに取り込まれる
  • そのVCを使ってオンラインバンクへのログインができる
  • モチベーションとしては高地に住んでいる人が対面銀行に来るとなると標高差年全mの移動が必要となるのでデジタル化は必須だった
  • ちなみにインドでも同じスタックを使っているので、インドでもこのWalletは使える
  • 実際にオフィスの扉の開錠に使っている

Demo Hour②(台湾のデジタルIDウォレット)

ちょうどオードリー・タン大臣の退任が伝えられたばかりですが、台湾のデジタルIDウォレットの展示がありました。

2027年の向けてオープンソースで開発を進めているそうです。
また、トラストリストを持つことで安心して使えるようにしているのも特徴ですね。

キャラクターグッズ?をもらいました。

以下メモです。
  • 細かいプロトコルやクレデンシャルフォーマットは動くので抽象化した実装となっている
  • OSSで公開してブラッシュアップをしていくモデルだが、政府が7ミリオンドルくらいを毎年予算計上している
  • モチベーションとしては地政学リスクを考えて、分権型としている(中央集権だと中国に乗っ取られたら終わる)
  • トラストリストを作り、利用できる事業者やサービスを絞ることで利用者に安心を与えている
  • オンボード時はtwFIDOとの連携している

こう言う形で実装を早い段階で展示して多くの人の意見をもらえるようにしていけるといいですね。
明日は最終日です。また記録していきたいと思います。


2024年4月17日水曜日

IIW #38 Day1クィックレビュー

こんにちは、富士榮です。

ということで初日が終わったIIW(Internet Identity Workshop)ですが自分メモとして記録をしておきたいと思います。

といってもアンカンファレンスなのでゆるーく話を聞いていた部分も多く、特に印象に残っているセッションについてのみ記録しています。


いつものアジェンダ作成の会です。



今回私が参加したのは、以下のセッションです。

  1. DCC Update - Dmitri Zagidulin
  2. Should Proof of Humanity apply to My Personal AI? - Adrian
  3. SD-JWT(SD-JWT VC & SD-JWT VDM) - Kristina Yasuda, Oliver Terbu
  4. Decentralized Storage & Bring your own identity - Aaron
  5. OID4VCI Events - Oliver Terbu

どれも面白かったのですが、1番目のDCCの話と5番目のOID4VCI Eventsの話をメモしておきます。

DCC Update

ずっと追いかけているMITが中心に進めているDCC(Digital Credential Consortium)です。これまでもIIWやその他のミーティングで色々と情報交換はしてきたのですが、ここにきてかなりの進捗があったように感じます。


昨年3度目のPlugFestをJFFとジョイントで実施した、ということで実装が揃ってきているのが素晴らしいですね。

DCC自体もOSSでIssuerおよびWalletなどのモジュールを公開しています。

https://github.com/digitalcredentials


Issuerの管理ツールも公開されていて、dockerイメージなので割と簡単にセットアップできます。私も入れてみました。(細かいところは追々)


Walletについてもソースコードも公開されていますし、ストアに公開もされています。

(ちょっとカスタムURLスキームが独自過ぎるのが微妙ですが)

こう言うベースがあるとフィードバックのループも回ると思いますので成長できそうです。みなさんも触ってみてフィードバックしましょう。


OID4VCI Events

Oliverのセッションです。

OID4VCIでWalletに発行されたVCに関してShared Signalを使ってイベントを送信することでライフサイクル管理を厳格化しましょう、というシナリオの提案です。

ユースケースとしては

  • Notify the wallet in case the credential got revoked before end of TTL window
  • Notify the wallet in case a new credential type can be requested
  • Notify the wallet thee data for one credential got updated and a new credential with the updated data is available

が挙げられていました。


ちょっと光ってしまっていますがこんなことを考えているそうです。


アイデアとしては結構面白かったのでうまく進むといいなぁ、と思います。

現時点での私のコメントはVC発行のときに使うアクセストークンとSSFの登録を行う際に使うアクセストークンはぜひスコープを分けてもらい、Issuanceの際に同じスクリーンで同意ができるようにできるといいと思います。発行はOAuthの世界で同意、プッシュ通知はモバイルアプリの世界で通知(まぁ、これはどっちにしろいるわけですが)という形でバラバラになるよりも、発行はOKだけど通知は嫌、みたいなシナリオにも最初の段階で対応できるようなUIが実現できる方が良いなぁ、と思いました。


ということでまた明日!


2024年4月16日火曜日

OpenID Foundation Workshop@Googleクイックレビュー

こんにちは、富士榮です。

今回もMountainViewのGoogleのオフィスで開催されてたOpenID Foundation Workshopに参加しています。いつもの通りInternet Identity Workshop(IIW)の前日イベントとして開催されています。

相変わらず持って帰りたくなるGoogle自転車です。運用を見ていると、各所に乗り捨てられた自転車をトラックで集めてオフィス単位で分配する、というアナログな形で提供されているようです。さすがに場所のトラッキングなどはされているとは思いますが。


全体アジェンダはこちらです。




Opening - Gail Hodges, Nat Sakimura

直前にマンチェスターであったISOのミーティングでもAI、量子コンピューター、メタバースなどのキーワードとアイデンティティやプライバシーに関連するトピックで話があった、とのコメントが崎村さんからありました。

eKYC & IDA Working Group - Mark Haine

まずはMarkからeKYC & Identity Assurance WGの進捗について。

Implementer's Draft 4から4つのスペックに分割しました。
そして、まさに今ファイナライズに向けたレビューが進行中です。
対象は下記の通り。
  • OpenID Connect for Identity Assurance 1.0
  • OpenID Identity Assurance schema definition 1.0 draft
  • OpenID Connect for Identity Assurance Claims Registration 1.0

まずはIDAのファイナライズからですね。
個人的な本命でもあるAuthorityのDraftも控えているので引き続き進めていきたいですね。


デジタル庁とのコラボレーションについても触れられました。まさにIDAの実装が進もうとしている初期のインスタンスとして日本が貢献できるのは素晴らしいことだと思います。
先週のISOミーティングでもAge Assurance(ISO 27566)とIDA仕様の連携についてディスカッションがあったことも報告されました。この辺りは選択的開示の文脈でVCへの適用などもされてくると思いますので要注目ですね。(21歳以上かどうかのみを開示する、など)

AuthZEN Work Group Update - David Brossard, Omri Gazitt



前回の日本でのWorkshopでも紹介しましたが、新しいワーキンググループですね。
このワーキンググループのモチベーションとしてOWASPのトップ10 issueでもあるアクセスコントロールの問題やAPIセキュリティの問題へ対応していくことが重要、ということです。

成果物として、認可パターン、ユースケース、コミュニケーションパターン、インテグレーションパターンをまとめたものや、認可リクエスト認可決定を行うためにPDP、PEPの間の標準化されたAPIの定義、そしてPAPからPDPへ認可ポリシーとデータを連携するためのAPIの定義が挙げられています。



Interopシナリオの定義など、精力的に活動が進んでいるようですね。
参考)Interop website

SalesforceやServiceNowなどを含むSaaSアプリでも認可を外部化して、アクセスコントロールが適切に行えるようになると素晴らしいですね。WGでは今はアプリ単位で個別に制御をしないといけないところを、外部化することで企業や組織が権限を集中管理できるようになる将来を夢見ているということです。 

OpenID Connect Work Group - Michael B. Jones


次はOpenID Connect Working Groupです。
歴史的にOpenID Connectプロトコルを定義してきていますが、その中からIDAやVC関連のプロトコルなど独立した仕様としてWG化したものを産んできました。

昨年10月以降のUpdateで一番大きかったのはOpenID for Verifiable Credential IssuanceのImplementer's draft 1が4月に出たことですかね。あとはOpenID Federationの実環境へのデプロイがイタリアやオーストラリア、スウェーデンでも進んでいる、というのも興味深いですね。

ISOの番号がちゃんとOpenID Connect関連の仕様にアサインされたのも非常に大きな進捗です。こういうデジュールに認められることはWTO的にも非常に重要です。

今後のロードマップとして今年の終わりまでにFederationの仕様の最終化をしていくという野心的な試みも示されました。

あとはなんといってもOpenID Summit Tokyoから続く10周年イベントのシリーズは今後もIdentiverseやEICでも続きます。成功の秘訣はなんといっても「Keep simple things simple」ですね。そして相互運用テストなどを含めエコシステムを生成するための営みも非常に重要なパートでした。


FAPI Work Group Update - Nat Sakimura

次はFAPIに関して崎村さんからです。

すでにFinancial-gradeを超えてGeneral Purposeな高セキュリティなプロファイルになってきています。これまでIETFライクに書かれてきたスペックをISOにも容易に持っていけるように書いてい拘置しているのはConnect WGでもあったように世界でのアドプションには必要な取り組みですね。

関連する仕様拡張も進んでいます。

他にもホワイトペーパーやFormal Analysisなども進んでいます。

仕様のファイナライズに向けて精力的に活動も続きます。だいぶ新しいIssueも減ってきたので最終化に向かえそう、ということです。


MODRNA Work Group - Bjorn Hjelm

次はMODRNAです。

モバイルオペレーターにおいてMNOがIdentity Providerになることを想定したスタンダード開発のために発足したワーキンググループです。今ではFAPIでも使われているCIBAは元々はこのワーキンググループを中心に開発された仕様ですね。

新しい動きとしては、CIBA ExtensionやRCS Verification Authority API向けのプロファイル作成などもありますし、IDAワーキンググループと共同で動いているCAMARA ProjectのIdentity and Consent Management SPとKnow Your Customer SPに関するリエゾン合意なども特筆すべきアクティビティです。日本ではKDDIさん中心に活動が進んでいますね。
他にもGSMAやETSIとのリエゾンも進んでいます。

今後のロードマップはこちらです。

なお、こちらには書かれていませんが、ISOのPASと同じくITUとの連携の取り組みも進めようとしているようです。

Digital Credentials Protocols (DCP) Work Group Update - Kristina Yasuda, Joseph Heenan

次はKristinaとJosephによるDCPワーキンググループです。

Josephが共同議長になったのが大きなニュースですね。
あと、Connect WGでも話がありましたがOpenID for Verifiable Credential IssuanceのImplementer's draft 1が出たのは大きいです。また、日本でもいくつかの事業者が協力したOpenID for Verifiable Presentationsのコンフォーマンステストについても大きな進捗がありました。

EUのLSPでは100以上の事業者がテストに参加しているのは素晴らしいですね。

すでに次のステップに向けた仕様開発も進んでいて、どんどんアップデートされていきますのでついていくのが大変です。。。その中でも特にWalletプロバイダになる事業者の方々はカスタムURLスキーム問題に対応するためのブラウザAPIに関するW3Cとのディスカッションは追いかけていかないといけませんね。あとは先日書いた通り、Presentation Exchange 2.1も出てきていますのでQuery Languageも注目です。

金曜日にDCPワーキンググループのF2Fも予定されているので、その中でW3Cとのリエゾンについても深掘りされていくことになりそうです。

Shared Signals Work Group Update - Tim Cappali

次はShared Signalです。Tim、Oktaに行ったんですね。。。


まずはそもそものSSFがやりたいことの説明です。ログインの時だけ認証するのじゃ足りないよね、って話です。ログイン後も振る舞いを見ていくことでセキュアなアクセスを実現していくことができる、というわけです。

SSFではSETなどIETFのスタンダードを使いつつCAEPなどのプロファイルを策定していっています。

SSFも新しい共同議長を迎えています。事業者が入っているのは仕様の実効性の面で非常に重要なことだと思います。

IIW、Identiverse、EICでもセッションが予定されており、活発に活動しています。また、SSFの相互運用性のプロファイルも作成されています。

先日のガートナーのIAMサミットで相互運用性イベントをやったそうです。特にSSFでは複数のIdP事業者が連携することになるのでIDaaS事業者の間での相互運用性の担保が非常に重要です。

結果もいい感じですね。楽しそうです。



OIDF Certification Program Update + Roadmap - Joseph Heenan

次はCertificationプログラムのUpdateです。
EUでのLSPに多くの事業者が参加したり、IDAのテストも開発されていたり、とこちらも多くの進捗が報告されています。
OpenID Federationのテストについてもファンドがされたので開発が始まりそうですね。

認定プログラムの特徴の一つは特にFAPIに表れているように特定の国のプロファイル(ブラジルのオープンバンキングなど)を対象としたテストも存在しているところですね。各国でプロファイルを定義して、技術面での認定をOIDFが実施する、というエコシステムになっているわけです。

Death & the Digital Estate Community Group - Dean Saxe

興味深いトピックです。死後のデジタルアカウントや資産をどうやって扱うか?についてフォーカスした営みです。

アイデンティティシステムにおいてライフサイクル設計をすることは重要ですが、「死」というステートは滅多にフォーカスされることはありません。SNS上のデータをはじめとするデジタル資産を廃棄する仕組みが用意されていることはほとんどありません。権限委譲やアカウントの削除、など必要になりそうなものは多くありそうです。デジタル遺言書なども一部検討は始まっていますね。

この活動では、新しいOIDFのコミュニティグループ、長期的にはワーキンググループの設立を目指しています。

Q2をターゲットに活動するので手伝ってね、とのこと。これはカルチャーごとに考え方も変わりそうですし、アジア圏からのコントリビューションができるといいですね。


Sustainable & Interoperable Digital Identity(SIDI) Hub Update - Gail Hodges

次はSIDI Hubに関するUpdateです。

SIDI Hubの2024のストラテジーが出てます、って話です。当ブログでも取り上げましたね。



今年はイベントてんこ盛りです。目下調整中ですが、10/25に東京でも開催される予定です!(私が今回IIWに来た理由の一つでもあります)

Listening Session: Post-Quantum Computing & Identity - Gail Hodges, Nancy Cam-Winget, John Bradley, Rick Byers, Andrea D'Intino

ポストクォンタムとアイデンティティのパネルディスカッションです。
まずはforkbombのAndreaからです。EUのファンドを受けてOSSの量子をやっている人たちです。

W3C-VCにQuantum-proofを使おうって話です。ECDSAのさらに次を、ということですね。

インプリもしているみたいです。




こんな感じでproofを作っているみたいです。

サンプルやデモもあるみたいです。


ということでディスカッションです。

PQの暗号アルゴリズムの強固性の前に、鍵管理・ローテーション・交換の問題やサイドチャネル耐性問題など解決する必要がある課題がいっぱいあるよねぇ。。という話とか、プロトコル自体がTLSに依存している状態なのが現状で、場合によってTLSを信頼するけど、場合によってPQが必要っていう矛盾した議論が起きそう、、みたいなコメントがありました。まぁ、エコシステムが複雑化してしまっている環境下において特定の技術要素だけで全体を解決するのは不可能、ってことかと。
他にも現在の仕組みからPQへのトランジションをどのように安全に行っていくのか?などのコメントもありましたが、こちらも今後のトピックになってくるんだと思います。

全体として、まだOIDFの枠の中で何かアクションを起こしていくのは早いのでは?という雰囲気でしたが、鍵管理などの運用問題についてはなんらかの手を打っていくのが良いかもしれません。

Listening Session: AI & Identity. What are your concerns? What is OIDF’s role? - Gail Hodges, Nancy Cam-Winget, Kaelig Deloumeau-Prigent, Mike Kiser, Geraint Rogers

引き続きパネルディスカッションです。こちらはAIとアイデンティティに関する議論です。

まず最初にドイツテレコムが公開しているこちらのYoutube Videoを見ました。

ソーシャルメディア上に公開される子供の写真をAIをベースに年齢を進め、自由に喋らせる、なんてことが誰にでもできてしまう時代が来てしまっている。Virtualプライバシーをどうやって守るのか?は誰もが直面する問題になってきている一方でみんなが無邪気だってことですね。これは由々しき問題です。

同時にLLMのプロンプトでJSでOIDCを実装するには?って聞いてみると、簡単に教えてくれるけどテストや認定プログラムの話がでない、などカジュアル化が進みすぎちゃっている問題もありますね。


OSS化が進み、モデルが小さくなり、必要なコンピュートリソースが少なくて済むようになり、モバイルデバイス上でさえAIが動くようになり、実際モデルナがワクチン開発にAIを活用したのと同じことがハッカーによっても手軽に実行できるようになった際のバイメトリクスはどうなるんだろうか?この辺りはすぐにアイデンティティ業界にとっても大きな課題になってくると思います。

ということで充実したワークショップでした!