FIDOTokyo-gomi final-ja - PDF Free Download

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 4 認証に関する潮流性能なセンサーと安全なデータ保管技術による新しい認証形態 ( モデル ) の出現ローカル認証 : の検証を保有しているデバイスで実施継続的認証 : の動情報を絶えず取得し認証に活暗黙的認証 : 認証のための明的な操作 ( タッチ操作やジェスチャーなど ) なしに認証が完了コンテキスト認証 : が存在するコンテキストに関わる情報を活して認証安全なデータ保管領域コンテキストからのデータ位置温度加速度歩数歩距離他コンテキスト正確でリアルタイムのコンテキストデータを活することで認証のありに変化が起こっている

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 5 認証モデルの違い : ローカル vs. リモート従来的な認証モデル ( パスワードなど ) 認証 ID PWD 識別 PWD OK 検証 FIDO 認証モデル FIDO クライアント分離 FIDO サーバークレデンシャル ( 認証情報 ) 検証検証結果 OK FIDO 認証識別 * : 英語では Authenticator

コンセプト : 認証の部品化 ( 再掲 ) FIDO 指紋 FIDO クライアント FIDO サーバーサービス 1 虹彩顔 USBキースマートカード新認証段 FIDO 標準メッセージサービス 2 サービス 3 サービス N が部品として組み込まれ認証のスケーラビリティ ( 拡張性 ) が向上更新された仕様 UAFとU2F v1.1を公開 ( 参考 ) https://fidoalliance.org/wp-content/uploads/fidotokyoseminar-gomi-112015-ja.pdf FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 6

Web 認証における範囲限定クレデンシャル Web アプリケーション向け暗号学的クレデンシャルサーバー (Relying Party, RP) トラスト ( 信頼 ) の鎖リンク ( 検証すれば確 ) ( 静的 ) リンク ( 静的 ) リンク ID 特定の向け秘密鍵 ( クレデンシャル ) 特定のとサーバー向け公開鍵他の他のサーバー ( 参考 ) 本セミナーの Anthony Nadalin の講演資料 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 8

Web認証API ブラウザーがJavascriptをいてクレデンシャルにアクセスするための抽象的API makecredential() getassertion() 側サーバー側 Web認証API サーバー Relying Party, RP ブラウザークレデンシャルのデバイス FIDO Seminar in Tokyo #3 12/08/2016 *API (Application programming interface) Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 9

の登録 1. makecredential() 要求 Web認証API サーバー RP ブラウザー ID 2. 所定の段で検証認証秘密鍵 3. 秘密鍵公開鍵のセットを成 4. 以下のデータを成認証公開鍵 5. クレデンシャルに関する 6. FIDO認証公開鍵を登録署名付きデータを返信クレデンシャル情報証明書公開鍵署名 (注) 証明のための鍵は図中では省略 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 10

をいたWeb認証 1. getassertion()要求 Web認証API サーバー RP ブラウザー ID 認証秘密鍵 2. 所定の段で検証 3. 以下のデータを成 4. アサーションを含めた署名付きデータを返信 5. 署名検証 6. IDの抽出クレデンシャル情報アサーション検証結果の証明書署名 FIDO Seminar in Tokyo #3 12/08/2016 認証公開鍵 (注) 証明のための鍵は図中では省略 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 11

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 12 スマートフォン : つの Web 認証 API サーバー指紋虹彩サービス 1 顔サービス 2 USB キースマートカードサービス 3 スマートフォンサービス N スマートウォッチスマホによりさらに認証のスケーラビリティ ( 拡張性 ) が向上

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 13 のバリエーション内蔵外部デバイス着脱型クライアント無線型 Web 認証 API クライアント Web 認証 API CTAP (Client To Authenticator Protocol)

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 15 認証 : セキュアトラストアプリケーションのための基盤般的なアクセス制限つきシステムアクセス要求サーバー認証 ID アクセス応答 (OK/NG) シングルサインオンの権限確認 ( アクセス制御 ) 認証後のさらなる動個属性共有パーソナルサービスの提供サーバー認証が起点になり様々なオンライン上の動につながる

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 16 FIDO 認証のセマンティクス ( 意味 ) が本であると主張通りのであることを検証したということがのすぐそばにいる ( 存在する ) ことが分のアイデンティティ ( 本性 ) コンテキスト取引などに関して確認した ( 同意した ) ということチャレンジ ( ランダムな字列 ) 署名付きチャレンジ ( アサーション ) サーバー (RP) コンテキストクレデンシャル証明 FIDO 認証はのアイデンティティやコンテキストを証明する機構を備える

の応展開既存新規の認証式を実装したの展開を期待体認証動特性ウェアラブル機器証明書ベースの認証を実装した (KICA のユースケース ) 体認証 API PKI モジュール証明書暗号化した秘密鍵 FIDO 認証 ( 改変なしに拡張 ) 証明書の発 ( 従来の PKI プロトコル ) サーバー (RP) 証明書の検証 ( オンライン証明書状態プロトコル OCSP) 指紋センサー虹彩センサー認証局 (CA) ( 参考 ) 本セミナーの Jae Jung Kim の講演資料 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 17

FIDO 認証と ID 連携 RP/IdP ( アイデンティティプロバイダー ) 連携 RP ( サービスプロバイダー ) FIDO クライアント認証コンテキスト FIDO サーバーアサーション発認証アサーション認証コンテキストアイデンティティサービス FIDO 認証 ID 連携 ( フェデレーション ) シンプルで堅牢な認証シームレスで安全なサービス FIDO 認証と ID 連携を組み合わせると認証コンテキストはから連携 RP へと伝搬 ( 参考 )https://fidoalliance.org/assets/images/general/fidotokyoseminar101014_gomi.pdf FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 18

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 19 証明情報の伝搬 RP/IdP 連携 RP ( アイデンティティプロバイダー )( サービスプロバイダー ) 証明証明クレデンシャルコンテキストアイデンティティコンテキスト取引 ( トランザクション ) 証明証明で成されたの証明情報を使えばインターネット規模でトラストなアプリケーションを提供することができる

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 20 取引 ( トランザクション ) 認証 MITM (Man-in-the-Middle) 攻撃から取引データの改ざんを保護 ( 既に UAF 仕様でサポート海外の銀で導事例あり ) 元の取引データ振込先銀 : AAA 銀座番号 : 123456 額 : 10000 円提された取引データを確認秘密鍵を使って署名を成のデバイスマルウェアクライアント秘密鍵改ざんされた取引データ振込先銀 : XXX 銀座番号 : 7654321 額 : 1000000 円署名元の取引データの署名 RP ( 銀 ) 署名付き取引データを改ざんしても署名検証により改ざんを検出し不正送を防可能

氏名 : 山田太郎住所 : 東京都港区赤坂 9-7-1 年齢 : 30 歳性別 : 男証明書発行元 : ヤフー株式会社証明書配布先 : ABCサービス株式会社証明書発行時刻 : 2013 年 8 月 10 日 13 時証明書有効期限 : 2014 年 8 月 10 日 13 時まで証明書識別番号 : s8e3d5y9z0g3 本人画像 (2013 年 1 月 10 日撮影 ) 身分証明書本人画像 (2013 年 1 月 10 日撮影 ) 氏名 : 山田太郎住所 : 東京都港区赤坂 9-7-1 年齢 : 30 歳性別 : 男証明書発行元 : ヤフー株式会社証明書配布先 : ABC サービス株式会社証明書発行時刻 : 2013 年 8 月 10 日 13 時証明書有効期限 : 2014 年 8 月 10 日 13 時まで証明書識別番号 : s8e3d5y9z0g3 オフラインでの本確認リアルタイムで体による FIDO 認証をいれば現実世界のサービスへのアクセス時に本確認が可能となる ( 例 ) 電チケット ( オンライン ) 同物? ( 検証要 ) 他の ( オフライン ) FIDO 認証チケット購 ( オンライン ) ( オフライン ) チケットおよび本確認情報の提身分証明書なりすましの防電チケットサーバー電チケット FIDO サーバー ID イベントでの場ゲートチケットおよび本確認情報の検証 FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 21 認証ログ ( 参考 )Yahoo Japan のデモブース

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 22 検証のキャッシング ( 新仕様 ) 今後 EMVCo のユースケースを満たす仕様を開発 CDCVM ( デバイスのカード保持者の検証式 ) に対応のデバイスサーバー FIDO 認証 ( オンライン ) への確認 ( アプリ 1) X への確認 ( アプリ 2) アプリ 2 アプリ 1 秘密鍵ポリシー例を検証 ( 確認 ) して 5 分以内なら所定のアプリ ( アプリ 2) に検証処理しない既に実施した検証をオフラインで再利簡便化 ( プレゼンスを証明 )

FIDO Seminar in Tokyo #3 12/08/2016 Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved. 23 まとめ FIDO 認証モデル部品化したをいたローカル認証仕様を通して尾貫性あり Web 認証と CTAP 範囲限定の暗号学的クレデンシャル ( 認証情報 ) ブラウザを通じ多様な形態のをサポートする API FIDO 認証をいたソリューション展開の導展開アイデンティティ連携システムの拡張アイデンティティコンテキストの証明 ( オンオフラインともに ) FIDO 認証をオンラインオフラインともにセキュアでトラストなシステム構築のソリューションとして導ください