マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

FIDO準拠のデバイスやソフトウエアは、= Authenticatorとも言う。

構成

  • スマートフォンやPCであれば、セキュア環境で動作する(プラットフォーム認証器)。
  • 外部接続であれば、以下のような接続インタフェースを使用する(ローミング認証器)
    • USB
    • NFC
    • Bluetooth Low Energy

アテステーション (Attestation)

FIDO認証器では、⾃⼰の正統性を認証サーバに表明できる
各種のアテステーション(Attestation、端末/認証器の証明)機能が仕様化されている。

Metadata Service

  • 脆弱性の発覚などで信用性が低下したデバイスに関する情報を公開する。
    • 脆弱性の発覚などで信用性が低下した認証器やデバイスの情報を提供。
    • この情報を元に、どの認証器・デバイスからの認証を受け入れるかは、サービス事業者の自己判断となる。
  • データはJWT形式で提供されている。
    以下を使用してJWTの中を確認できる。

ES256のJWTであるもよう。

Attestation秘密鍵

  • 工場出荷時に埋め込まれるSecure Storage にて安全に保管される。
  • 登録フェーズにおいて以下の様に利用する。
    • KRDに対して Authenticator の Attestation 秘密鍵でデジタル署名する。
    • FIDO Alliance における認定取得製品であることをサーバ側で確認できる
      (認定取得製品でなければ Attestation 秘密鍵を所有していないため)。

Attestation公開鍵

  • Metadata サービスと呼ばれる方法で
    FIDO Alliance から各 FIDO Server に配信される。

存在 vs 認証

存在確認

  • 認証器をタッチするなどして存在を確認する。
  • その際、認証情報は読み取られない。

認証ジェスチャ(Authorization Gesture)

  • 認証器と共にユーザによって実行される物理的な対話
  • Human Palatability: ・・・。

PINコード

TPM + PIN

タッチ・ジェスチャー

  • 認証器にタッチするだけ(存在確認)
  • 多分、ジェスチャーアンロックとかも。

生体認証

  • 指紋
  • 静脈
  • 虹彩

その他

  • ・・・

デバイス

Microsoft

Windows Hello

  • 2016年7月のWindows 10 Anniversary Updateでは、
    ブラウザーのMicrosoft EdgeからFIDO対応サービスへの
    ログイン方法に生体認証が利用できるようになった。

Apple

Touch ID

iPhoneシリーズのTouch IDの指紋認証は、FIDO対応ではないもよう。
しかし、FIDOクライアント側で、Touch IDを利用可能にしている模様。

yubico

yubico.com

yubion.com

NEXX

その他

PINの送信をサポートする?

https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-client-to-authenticator-protocol-v2.0-rd-20180702.html#client-pin-support

参考

FIDO Alliance MetaData? Service

FIDO Alliance Metadata Service - FIDO Alliance
https://fidoalliance.org/mds/


Tags: :IT国際標準, :認証基盤, :FIDO


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-03-07 (木) 16:41:13 (16d)