FIDO 認証の進化とさらなる応 展開 ヤフー株式会社 Yahoo! JAPAN 研究所上席研究員五味秀仁 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 2 Ø 振り返り : FIDO 認証モデル Ø Web 認証とCTAP Ø FIDO 認証を いた応 ソリューション Ø まとめ
振り返り : FIDO 認証モデル FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 3
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 4 認証に関する潮流 性能なセンサーと安全なデータ保管技術による新しい認証形態 ( モデル ) の出現 ローカル認証 : の検証を保有しているデバイスで実施 継続的認証 : の 動情報を絶えず取得し 認証に活 暗黙的認証 : 認証のための明 的な操作 ( タッチ操作やジェスチャーなど ) なしに認証が完了 コンテキスト認証 : が存在するコンテキストに関わる情報を活 して認証 安全なデータ保管領域 コンテキストからのデータ 位置 温度 加速度歩数歩 距離他 コンテキスト 正確でリアルタイムのコンテキストデータを活 することで 認証のあり に変化が起こっている
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 5 認証モデルの違い : ローカル vs. リモート 従来的な認証モデル ( パスワードなど ) 認証 ID PWD 識別 PWD OK 検証 FIDO 認証モデル FIDO クライアント 分離 FIDO サーバー クレデンシャル ( 認証情報 ) 検証 検証結果 OK FIDO 認証 識別 * : 英語では Authenticator
コンセプト : 認証の部品化 ( 再掲 ) FIDO 指紋 FIDO クライアント FIDO サーバー サービス 1 虹彩顔 USBキースマートカード新認証 段 FIDO 標準メッセージ サービス 2 サービス 3 サービス N が 部品 として組み込まれ 認証のスケーラビリティ ( 拡張性 ) が向上更新された仕様 UAFとU2F v1.1を公開 ( 参考 ) https://fidoalliance.org/wp-content/uploads/fidotokyoseminar-gomi-112015-ja.pdf FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 6
Web 認証と CTAP *CTAP (Client To Authenticator Protocol) FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 7
Web 認証における範囲限定クレデンシャル Web アプリケーション向け 暗号学的 クレデンシャル サーバー (Relying Party, RP) トラスト ( 信頼 ) の鎖 リンク ( 検証すれば確 ) ( 静的 ) リンク ( 静的 ) リンク ID 特定の向け 秘密鍵 ( クレデンシャル ) 特定のとサーバー向け 公開鍵 他の 他のサーバー ( 参考 ) 本セミナーの Anthony Nadalin の講演資料 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 8
Web認証API ブラウザーがJavascriptを いてクレデンシャルにアクセスするための抽象的API makecredential() getassertion() 側 サーバー側 Web認証API サーバー Relying Party, RP ブラウザー クレデンシャル のデバイス FIDO Seminar in Tokyo #3 12/08/2016 *API (Application programming interface) Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 9
の登録 1. makecredential() 要求 Web認証API サーバー RP ブラウザー ID 2. 所定の 段で 検証 認証 秘密鍵 3. 秘密鍵 公開鍵のセットを 成 4. 以下のデータを 成 認証 公開鍵 5. クレデンシャルに関する 6. FIDO認証 公開鍵を登録 署名付きデータを返信 クレデンシャル情報 証明書 公開鍵 署名 (注) 証明のための鍵は図中では省略 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 10
を いたWeb認証 1. getassertion()要求 Web認証API サーバー RP ブラウザー ID 認証 秘密鍵 2. 所定の 段で検証 3. 以下のデータを 成 4. アサーションを含めた 署名付きデータを返信 5. 署名検証 6. IDの抽出 クレデンシャル情報 アサーション 検証 結果の証明書 署名 FIDO Seminar in Tokyo #3 12/08/2016 認証 公開鍵 (注) 証明のための鍵は図中では省略 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 11
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 12 スマートフォン : つの Web 認証 API サーバー 指紋 虹彩 サービス 1 顔 サービス 2 USB キー スマートカード サービス 3 スマートフォン サービス N スマートウォッチ スマホ により さらに認証のスケーラビリティ ( 拡張性 ) が向上
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 13 のバリエーション 内蔵外部 デバイス着脱型 クライアント 無線型 Web 認証 API クライアント Web 認証 API CTAP (Client To Authenticator Protocol)
FIDO 認証を いた応 ソリューション FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 14
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 15 認証 : セキュア トラストアプリケーションのための基盤 般的なアクセス制限つきシステム アクセス要求 サーバー 認証 ID アクセス応答 (OK/NG) シングルサインオン の権限確認 ( アクセス制御 ) 認証後のさらなる 動 個 属性共有 パーソナルサービスの提供 サーバー 認証が起点になり 様々なオンライン上の 動につながる
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 16 FIDO 認証のセマンティクス ( 意味 ) が本 であると主張通りの であることを検証したということ がのすぐそばにいる ( 存在する ) こと が 分のアイデンティティ ( 本 性 ) コンテキスト 取引などに関して確認した ( 同意した ) ということ チャレンジ ( ランダムな 字列 ) 署名付きチャレンジ ( アサーション ) サーバー (RP) コンテキスト クレデンシャル 証明 FIDO 認証は のアイデンティティやコンテキストを証明する機構を備える
の応 展開 既存 新規の認証 式を実装したの展開を期待 体認証 動特性 ウェアラブル機器 証明書ベースの認証を実装した (KICA のユースケース ) 体認証 API PKI モジュール 証明書 暗号化した秘密鍵 FIDO 認証 ( 改変なしに拡張 ) 証明書の発 ( 従来の PKI プロトコル ) サーバー (RP) 証明書の検証 ( オンライン証明書状態プロトコル OCSP) 指紋センサー 虹彩センサー 認証局 (CA) ( 参考 ) 本セミナーの Jae Jung Kim の講演資料 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 17
FIDO 認証と ID 連携 RP/IdP ( アイデンティティプロバイダー ) 連携 RP ( サービスプロバイダー ) FIDO クライアント 認証コンテキスト FIDO サーバー アサーション発 認証アサーション 認証コンテキスト アイデンティティサービス FIDO 認証 ID 連携 ( フェデレーション ) シンプルで堅牢な認証 シームレスで安全なサービス FIDO 認証と ID 連携を組み合わせると 認証コンテキストはから連携 RP へと伝搬 ( 参考 )https://fidoalliance.org/assets/images/general/fidotokyoseminar101014_gomi.pdf FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 18
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 19 証明情報の伝搬 RP/IdP 連携 RP ( アイデンティティプロバイダー )( サービスプロバイダー ) 証明 証明 クレデンシャル コンテキスト アイデンティティコンテキスト取引 ( トランザクション ) 証明 証明 で 成されたの証明情報を使えば インターネット規模でトラストなアプリケーションを提供することができる
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 20 取引 ( トランザクション ) 認証 MITM (Man-in-the-Middle) 攻撃から取引データの改ざんを保護 ( 既に UAF 仕様でサポート 海外の銀 で導 事例あり ) 元の取引データ 振込先銀 : AAA 銀 座番号 : 123456 額 : 10000 円 提 された取引データを確認秘密鍵を使って署名を 成 のデバイス マルウェア クライアント 秘密鍵 改ざんされた取引データ 振込先銀 : XXX 銀 座番号 : 7654321 額 : 1000000 円 署名 元の取引データの署名 RP ( 銀 ) 署名付き取引データを改ざんしても 署名検証により改ざんを検出し 不正送 を防 可能
氏名 : 山田太郎住所 : 東京都港区赤坂 9-7-1 年齢 : 30 歳性別 : 男 証明書発行元 : ヤフー株式会社証明書配布先 : ABCサービス株式会社証明書発行時刻 : 2013 年 8 月 10 日 13 時証明書有効期限 : 2014 年 8 月 10 日 13 時まで証明書識別番号 : s8e3d5y9z0g3 本人画像 (2013 年 1 月 10 日撮影 ) 身分証明書 本人画像 (2013 年 1 月 10 日撮影 ) 氏名 : 山田太郎住所 : 東京都港区赤坂 9-7-1 年齢 : 30 歳性別 : 男 証明書発行元 : ヤフー株式会社証明書配布先 : ABC サービス株式会社証明書発行時刻 : 2013 年 8 月 10 日 13 時証明書有効期限 : 2014 年 8 月 10 日 13 時まで証明書識別番号 : s8e3d5y9z0g3 オフラインでの本 確認 リアルタイムで 体による FIDO 認証を いれば 現実世界のサービスへのアクセス時に 本 確認 が可能となる ( 例 ) 電 チケット ( オンライン ) 同 物? ( 検証要 ) 他の ( オフライン ) FIDO 認証 チケット購 ( オンライン ) ( オフライン ) チケットおよび本 確認情報の提 身分証明書 なりすましの防 電 チケットサーバー 電 チケット FIDO サーバー ID イベントでの 場ゲート チケットおよび本 確認情報の検証 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 21 認証ログ ( 参考 )Yahoo Japan のデモブース
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 22 検証のキャッシング ( 新仕様 ) 今後 EMVCo のユースケースを満たす仕様を開発 CDCVM ( デバイスのカード保持者の検証 式 ) に対応 のデバイス サーバー FIDO 認証 ( オンライン ) への確認 ( アプリ 1) X への確認 ( アプリ 2) アプリ 2 アプリ 1 秘密鍵 ポリシー例 を検証 ( 確認 ) して 5 分以内なら 所定のアプリ ( アプリ 2) に検証処理しない 既に実施した検証をオフラインで再利 簡便化 ( プレゼンスを証明 )
FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 23 まとめ FIDO 認証モデル 部品化したを いたローカル認証 仕様を通して 尾 貫性あり Web 認証と CTAP 範囲限定の暗号学的クレデンシャル ( 認証情報 ) ブラウザを通じ多様な形態のをサポートする API FIDO 認証を いたソリューション展開 の導 展開 アイデンティティ連携システムの拡張 アイデンティティ コンテキストの証明 ( オン オフラインともに ) FIDO 認証を オンライン オフラインともに セキュアでトラストなシステム構築のソリューションとして導 ください
All Rights Reserved. FIDO Alliance. Copyright 2016. 24
All Rights Reserved. FIDO Alliance. Copyright 2016. Please Silence All Electronic Devices