Ist der OID4VP-Verifier von CodeB produktionsreif?

Das Protokoll-Substrat ist seit dem 08.06.2026 live. Die Issuer-Signaturkette gegen die EU List of Trusted Lists ist iter-2. Der heutige Verifier eignet sich für Pilotdeployments und Identitäts-Demos; produktive hochsichernde Identitätsverifizierung sollte auf iter-2 plus eine notifizierte nationale Wallet warten.

Welches OID4VP-Profil implementiert CodeB?

OID4VP 1.0 mit beiden Client-Identifier-Prefix-Schemata. x509_hash (OID4VP 1.0 §5.9.3) ist die Wallet-bevorzugte Form; x509_san_dns (HAIP 1.0 Final) wird zur Kompatibilität unterstützt. ES256-signiertes JAR mit x5c-Kette, DCQL-Credential-Queries, JWE-verschlüsselte Responses mit ECDH-ES + A128GCM, SD-JWT VC mit KB-JWT Holder-Binding.

Warum DCQL statt Presentation Exchange?

DCQL ist die OID4VP 1.0 Final verpflichtende Query-Sprache. Die EUDI-Referenz-Wallets implementieren DCQL. Presentation Exchange ist JSON-LD-lastig und bringt für den EU-Wallet-Anwendungsfall keinen Mehrwert; CodeB hat ausschließlich DCQL ausgerollt.

Ist CodeB EUDI-zertifiziert?

Nein. EUDI-Zertifizierung ist notifizierten nationalen Wallet-Schemata und qualifizierten Vertrauensdienstanbietern unter eIDAS 2.0 vorbehalten. CodeB ist ein Verifier (Relying Party), kein Wallet-Issuer, und behauptet keine Zertifizierung, die nicht vorliegt.

Ab wann muss mein Unternehmen die EU-Wallet akzeptieren?

Ab Dezember 2027 ist jedes regulierte EU-Unternehmen der Privatwirtschaft — Banken, Telekommunikationsanbieter, Versicherungen, große Plattformen, Gesundheitswesen, öffentliche Auftragnehmer — gesetzlich verpflichtet, die EU Digital Identity Wallet als Kundenanmeldung zu akzeptieren (eIDAS 2.0 Artikel 5f Abs. 2).

08.06.2026 · OID4VP‑Verifier · Funktionsnachweis

EU‑Wallet‑Anmeldung — Verifizierter Funktionsnachweis

CodeB Sovereign Communications hat einen OID4VP 1.0 / EUDI‑Wallet‑Verifier ausgerollt. Am 08.06.2026 hat eine spezifikationskonforme Test‑Wallet einen End‑to‑End‑Durchlauf gegen phone.codeb.io absolviert und verifizierte PID‑Claims plus eine signierte SSO‑Assertion zurückgegeben. Diese Seite dokumentiert die Belege — für Einkäufer, Auditoren, Regulatoren und Suchmaschinen, die mehr als eine Marketing‑Folie wollen.

Warum eine Mock‑Wallet?

Das EUDI‑Wallet‑Ökosystem ist mitten im Rollout. Nationale Pilot‑Apps existieren, aber spezifikationskonforme OID4VP 1.0 + SD‑JWT VC + DCQL‑Unterstützung landet erst nach und nach in echten Wallets. Um zu beweisen, dass der Verifier unabhängig von einem bestimmten Wallet‑Anbieter funktioniert, folgt ein interner deterministischer Test‑Client dem OID4VP 1.0‑Happy‑Path exakt nach Spezifikation — und zeigt damit, dass jede konforme Wallet interoperieren wird.

Reale Wallet‑Interoperabilität skaliert mit der Reife des Ökosystems. Das Substrat ist heute eingebaut.

Was End‑to‑End gelaufen ist

Elf Schritte, jede kryptografische Prüfung bestanden, HTTP 200 mit verifizierten Claims:

[10] POST /oidc.ashx?action=vp-response&id=... HTTP 200 { "ok": true, "user": "eu_0123456789abcdef", "role": "guest", "redirect": "/account.html", "sso_assertion": "eyJ...", "sso_max_age": 14400, "vct": "urn:eu.europa.ec.eudi:pid:1", "issuer": "https://test-issuer.example", "disclosures_verified": 4 }

Vier selektive Offenlegungen (given_name, family_name, birth_date, age_over_18) wurden gegen das _sd‑SHA‑256‑Hash‑Array der SD‑JWT VC verifiziert. Die SSO‑Assertion ist ein Standard‑RS256‑JWT mit amr=["vc"] und acr="urn:codeb:acr:eudi-wallet" — jede föderierte App im Tenant erbt die verifizierte Identität über den normalen OIDC‑userinfo‑Pfad. Eine Präsentation, alle abhängigen Apps profitieren, keine spezifische Integration nötig.

Der ausgerollte Krypto‑Stack

Client‑Identifier‑Prefix — x509_hash (OID4VP 1.0 §5.9.3, base64url SHA‑256 des DER‑Leaf‑Zertifikats) ist die Wallet‑bevorzugte Form, an die sich reale EUDI‑Wallets binden; x509_san_dns (HAIP 1.0 Final) wird zur Kompatibilität unterstützt. Der Aufrufer wählt pro Request über ?client_id_prefix= am vp‑start‑Endpunkt; Verifier‑Metadaten kündigen beide via client_id_schemes_supported an. Bei jedem Release end‑to‑end getestet via eu‑wallet‑mock‑both.py. Mehrere identitätsfokussierte Verifier im breiteren Ökosystem unterstützen mittlerweile beide Prefixes; nach unserem Kenntnisstand ist CodeB der einzige OID4VP‑1.0‑Verifier mit dieser Kombination, der direkt in eine SIP / WebRTC‑Business‑Kommunikationsplattform integriert ist.
Authorization Request — signierter JAR (ES256), typ=oauth-authz-req+jwt, x509_hash‑client_id‑Schema (Wallet‑bevorzugt) bzw. x509_san_dns (HAIP 1.0 Final-Kompatibilität), x5c‑Kette
DCQL — native OID4VP 1.0‑Credential‑Query‑Syntax. Kein Presentation‑Exchange‑Ballast
Antwort‑Verschlüsselung — JWE Compact Serialisation, alg=ECDH-ES + enc=A128GCM, NIST SP 800‑56A‑Concat‑KDF, konform zu RFC 7518 §4.6 / §5.1
SD-JWT VC — vc+sd-jwt‑Format, _sd‑Array aus SHA‑256‑Disclosure‑Hashes, strukturelle Integrität Blatt‑für‑Blatt verifiziert
KB-JWT — Holder‑Schlüsselbindung via cnf.jwk; nonce, aud und sd_hash alle gegen die Verifier‑Challenge geprüft
Result‑Envelope — response=<JWE>‑Form‑Parameter gemäss OID4VP §8.4; der entschlüsselte Klartext ist ein JSON‑Envelope mit DCQL‑förmigem vp_token‑Objekt
Session‑Persistenz — vp‑Sessions atomar geschrieben unter App_Data/<tenant>/vp‑sessions/, sodass IIS‑App‑Pool‑Recycles oder Multi‑Worker‑Routing keine laufende Präsentation verlieren

Was noch aussteht (Iteration 2)

Das aktuelle iter‑1‑Substrat prüft strukturelle Integrität und Holder‑Bindung. Was noch kommt, transparent gekennzeichnet:

JWS‑Aussteller‑Signaturprüfung gegen Issuer‑JWKS / x5c‑Trust‑Chain
LoTL‑Trust‑Chain‑Validierung — PKI → Mitgliedstaaten‑Vertrauensliste → EU‑LoTL
Status‑List / Revokation für ausgestellte Credentials (IETF OAuth Status List)
Multi‑Credential DCQL‑Queries — aktuell wird der erste Credential‑Eintrag konsumiert
Phase B Issuer (OID4VCI), damit CodeB‑Tenants eigene Mitglieder‑Credentials ausgeben können

Bis iter‑2 lebt, akzeptiert der Verifier wohlgeformte SD‑JWT VCs für Anwendungsfälle, in denen der Tenant dem Aussteller bei Präsentation vertraut — Pilotdeployments, Identitäts‑Demos, Mitglieder‑Logins. Produktiver hochsichernder Identitätsnachweis sollte auf iter‑2 + eine notifizierte nationale Wallet warten.

Warum das wichtig ist

eIDAS 2.0 verpflichtet jeden EU‑Mitgliedstaat, bis 2026 eine nationale Digital‑Identity‑Wallet auszugeben — und öffentliche Verwaltungen sind verpflichtet, sie zu akzeptieren. Die OID4VP 1.0 / SD‑JWT VC / DCQL‑Specs sind das Drahtformat. Ein funktionierender Verifier ist die Vorbedingung für Wallet‑Anmeldung — ohne ihn ist «EU‑Wallet‑ready» nur ein Sticker auf einer Roadmap.

CodeB‑Tenants bekommen den Verifier heute. Self‑hosted, EU‑souverän, NIS2 / DORA aligned, mit verifiziertem Claim‑Relay durch dieselbe OIDC‑Schicht, die der Rest der Plattform schon nutzt.

Kostenlose EU-Wallet-Schulung. Kostenlose EU-Wallet-Schulung (Wählen Sie 1844) — ein dedizierter KI-Trainer, der Sie durch OID4VP, SD‑JWT VC, eIDAS 2.0 und das Mandat ab Dezember 2027 führt. Kostenlos, kein Login, das Gespräch endet, wenn Sie das möchten.

Selbst ausprobieren. logineu.html — der Live‑EU‑Wallet‑Sign‑In‑Flow.

Funktionsübersicht. features.html#eu-wallet

Öffentliche Verifier-API. Integratoren — die vollständige Endpunkt-Referenz unter eu-wallet-api.html (EN: eu-wallet-api.html).

English version. eu-wallet-proof.html (EN)

Entwickelt von Aloaha Limited — 🇲🇹 mit Stolz in Malta gebaut, aus dem kleinsten EU‑Mitgliedstaat in den gesamten Binnenmarkt geliefert. www.codeb.io