FIDO2

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

経緯 †

• 2015年11月19日、WWW技術の標準化団体である
  W3Cに FIDO 2.0 のWeb API仕様を提案した。

• FIDO 2.0は、FIDO 1.0の拡張ではなく、

• UAFとU2Fを統合（補完し置換する）し、
  OSやブラウザといったプラットフォームのサポートに最適化する、
  プラットフォーム（ブラウザやOS）によるネイティブサポートのための仕様。

• OSやブラウザのAPIが定義され、FIDO Clientといった中継のためのレイヤが無くなったため、
  依拠当事者（Relying Party）から直接リクエストができる、見かけ上U2Fに近いシンプルな構成になった。

ざっくり †

• パスワードやOTPに代わる新しい認証
• 秘密鍵で署名（＝登録）をして、公開鍵で検証（＝認証）

• 秘密鍵で署名（＝登録）
  • 依拠当事者（Relying Party）から認証機の登録を要求する。
  • 署名のための秘密鍵は認証器内で生成される。
  • 依拠当事者（Relying Party）から生成された情報に署名を行う。
    （rpId; RPの識別子、userId, Name: ユーザ情報、challenge: 乱数）
  • 公開鍵と署名を依拠当事者（Relying Party）に登録する。

• 公開鍵で検証（＝認証）
  • 本人確認, 否認防止の目的がある。
  • ...

2つの仕様 †

以下の2つの仕様から成る。

Webプラットフォーム API仕様（WebAuthn?: Web Authentication API） †

• Web API（抽象的なAPIを通じたメッセージの通信）仕様
  • ブラウザでの普及を想定し、標準化団体W3Cへ、本仕様を提案
  • 秘密鍵を使用して認証器のコンテキストに関する情報に署名。

• 以下の3つの仕様から成る。
  • Web API for accessing FIDO 2.0 credentials
  • Key Attestation Format
  • Signature Format

デバイス間連携仕様（CTAP: Client To Authenticator Protocol） †

シータップ

• PC、スマホなどのデバイス組込みではない認証器に対応するための通信プロトコルの規定。

• EAP: External Authenticator Protocol
  USB / Bluetooth / NFCトランスポートバインディングを規定
  • プラットフォームと外部認証器間の通信プロトコルを規定。
  • 具体的な通信路（USB / Bluetooth / NFCなど）の適用が可能。

• CTAP1、CTAP2
  • CTAP1 : FIDO1 U2Fのスペック
  • CTAP2 : FIDO2のスペック

デバイス †

U2Fセキュリティ・キーの使用 †

U2Fセキュリティ・キーを使用している場合、

• FIDO2は後方互換性を提供する（ただし、認証器の実装に依る）。
• UAFの機能を実行できるが、プロトコルは異なる。
• Web Authentication API（別名 WebAuthn）でも使用できる。

platform or cross-platform 認証器 †

認証器 = Authenticator

• platform Authenticator : OS組み込み機能
• cross-platform Authenticator : セキュリティ・キー

登場人物のまとめ †

ユーザ †

• ユーザ同意
  ユーザが求めている内容に同意すること

• ユーザ・ハンドル
  • 依拠当事者（Relying Party）によって識別されるユーザID
  • 64バイトの最大サイズを持つ不透明バイトシーケンス
  • 信用証明書の数を制御するために依拠当事者（Relying Party）によって使用される。
    （ユーザ・ハンドル + RP IDで信用証明書が一意に決まる）

依拠当事者（Relying Party） †

• アーキテクチャによる違い
  • 認証器をPlatform API経由で使用するClientアプリケーション
  • 認証器をWeb Authentication API (別名 WebAuthn) 経由で使用するWebアプリケーション

• Client or Server
  • RP Client
    指紋認証USBデバイス、虹彩認証対応スマホなどの、認証器から、
    登録（Attestation）、認証（Assertion）の結果を、標準化されたAPIで受け取ることができる。

• RP Server
  • 登録（Attestation）、認証（Assertion）の結果を、RP Clientから受け取る。
  • IdP/STSに実装して、クレームベース認証を使用してWebアプリケーションと認証連携してもイイ。

認証器（Authenticator） †

• Platform API経由で利用する認証器
• Web Authentication API (別名 WebAuthn) 経由で利用する認証器

クライアント †

• クライアント側
  以下を接着するすべての組み合わせ。
  • クライアント・プラットフォーム
  • 認証プロバイダ
  • およびすべて

• クライアント・デバイス
  • クライアントが実行されるハードウェア・デバイス
  • 認証器は、クライアント・デバイスにバインドされる。

• クライアント・プラットフォーム

• クライアント・デバイス + 依拠当事者（Relying Party）のRP Clientの組み合わせ

• 単一のクライアント・デバイスが、
  • 異なる依拠当事者（Relying Party）のRP Clientを実行すると、
  • 異なるクライアント・プラットフォームとなる。

• WebAuthnクライアント

詳細 †

処理シーケンス †

登録（Attestation） †

RegistrationでAttestationされる。

• 認証器で鍵を生成・登録するAPIを使用して処理を行う。
  （新しいアカウント、または既存のアカウントへ、
  新しい非対称鍵ペアの関連付ける認証情報を作成する。）

  1. サービス要求（RP Client ---> RP Server）
     
  2. 認証要求（クライアント <--- RP Client <--- RP Server）
  3. クレデンシャル生成要求（NativeのAPI ---> 認証器）
  4. クレデンシャル生成 「この機器（認証器）をサーバに登録しますか？」
     • ユーザーによる明示的な操作（ジェスチャー）
     • 秘密鍵・公開鍵のペアを生成することを承認（確認）
  5. クレデンシャル情報の応答（NativeのAPI ---> RP Client ---> RP Server）
     公開鍵、鍵情報 (署名つき) をサーバに伝達して登録。

認証（Assertion） †

AuthenticationでAssertionされる。

• 登録済みの鍵を使って認証用の署名を生成するAPIを使用して処理を行う。
  （既存の認証情報セットを使用し、ログインまたは二要素認証をする。）

  1. サービス要求（RP Client ---> RP Server）
     
  2. 認証要求（NativeのAPI <--- RP Client <--- RP Server）
  3. FIDO2認証要求（NativeのAPI ---> 認証器）
  4. クレデンシャルの検索
     「この機器（認証器）を用いて認証しますか？」
     • ユーザーによる明示的な操作（ジェスチャー）
     • 既存のクレデンシャルを利用することを承認（確認）
  5. 認証器による認証
     • デバイス側の認証器で認証を完了させ、
     • 認証結果を端末側が持つ秘密鍵を使って署名する。
  6. アサーション応答（RP Client ---> RP Server）
     署名されたアサーション（署名つきchallenge + その他データ）を
     サーバに伝達し、署名検証することでログインできる。

各仕様 †

Web API for accessing FIDO 2.0 credentials †

JavaScriptを介してFIDO 2.0資格情報にアクセスするための、
Web Authentication API（別名 WebAuthn）を定義。

• Webアプリケーション（RPアプリケーション）から利用される

• 登録シーケンスと、認証シーケンスに使用するAPIを定義している。
  • 認証器で鍵を生成する登録するAPI
  • 登録済みの鍵を使って認証用の署名をつくるAPI

Key Attestation Format †

クライアントや認証器などのコンテキストを表現するための
アサーションや、クレデンシャルのフォーマットを定義している。

• 認証器の信頼性、秘密鍵管理の信頼性を証明するための情報のデータ構造を定義
• 具体的な個別の環境を利用する（TPMが暗号カーネルとして機能する）場合のプロファイル。
  仕様が進化するにつれて、より多くのプロファイルが追加される予定。

Signature Format †

FIDO 2.0準拠クレデンシャル用の署名フォーマット（上記のアサーションに署名を行う）

• アサーションを表すデータ構造
• 認証器で署名するためのバイトストリームにシリアライズされる方法
• 結果のシグネチャとそれに関連するデータの表現

OSネイティブ用は？ †

• Windows : Windows.Security.Credentials
• Linux : ・・・
• iOS : ・・・
• Android : ・・・

つまずきポイント †

WWWブラウザ †

• Can I use... Support tables for HTML5, CSS3, etc
  https://caniuse.com/#feat=webauthn

実装事例 †

• 二要素認証の実装事例
• パスワードレス認証の実装事例

アカウント・リカバリ †

デバイスの紛失に対する

• 二要素認証の解除
• アカウント・リカバリ

の検討が必要。

フィッシング †

• 以下のような処理でフィッシングができてしまう。
• ChromeではcaBLEと呼ばれるBLEの接続方法を検討している。

• 参考
  • パスワードレス認証WebAuthn?の勘所と対応状況：新春特別企画｜gihyo.jp … 技術評論社
    https://gihyo.jp/dev/column/newyear/2019/webauthn?page=2

参考 †

• 3分でわかる FIDO | 日経 xTECH（クロステック）
  https://tech.nikkeibp.co.jp/atcl/nxt/keyword/18/00002/011500043/

W3C †

• Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0
  https://www.w3.org/Submission/2015/02/

• FIDO 2.0: Web API for accessing FIDO 2.0 credentials
  • https://www.w3.org/Submission/fido-web-api/
  • https://www.w3.org/Submission/2015/SUBM-fido-web-api-20151120/

• FIDO 2.0: Key Attestation Format
  • https://www.w3.org/Submission/fido-key-attestation/
  • https://www.w3.org/Submission/2015/SUBM-fido-key-attestation-20151120/

• FIDO 2.0: Signature format
  • https://www.w3.org/Submission/fido-signature-format/
  • https://www.w3.org/Submission/2015/SUBM-fido-signature-format-20151120/

FIDO Alliance †

• FIDO Alliance FIDO2 Project - FIDO Alliance
  https://fidoalliance.org/fido2/
• Index of /specs/ - fidoalliance.org
  https://fidoalliance.org/specs/

• Client To Authenticator Protocol
  
  • https://fidoalliance.org/specs/fido-v2.0-ps-20170927/fido-client-to-authenticator-protocol-v2.0-ps-20170927.html
  • https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-client-to-authenticator-protocol-v2.0-rd-20180702.html

Yahoo! JAPAN †

コーポレートブログ †

• 「安全・安心・便利」FIDO（ファイド）を使った パスワードレスログインとは
  https://about.yahoo.co.jp/blog/column/2019/02/20/fido.html

Tech Blog †

• Yahoo! JAPAN Tech Advent Calendar 2018
  • Yahoo! JAPANでの生体認証の取り組み
    （FIDO2サーバーの仕組みについて）
    https://techblog.yahoo.co.jp/advent-calendar-2018/webauthn/
  • FIDO2 attestation formatの紹介
    https://techblog.yahoo.co.jp/advent-calendar-2018/webauthn-attestation-packed/

ニュース †

2015 †

• パスワードに代わる強固なウェブ認証実現に向けた
  W3Cの「Web Authentication」 - ZDNet Japan
  https://japan.zdnet.com/article/35084511/

2016 †

• News ＆ Trend - 認証標準化団体が「FIDO 2.0」の
  Web API仕様をW3Cに提案、パスワードレス普及へ一歩：ITpro
  http://itpro.nikkeibp.co.jp/atcl/column/14/346926/112300385/

2018 †

• パスワードに依存しない認証「WebAuthn?」をChrome/Firefox/Edgeが実装開始、
  W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ － Publickey
  http://www.publickey1.jp/blog/18/webauthnchromefirefoxedgew3cweb.html

• 「パスワード不要」な未来が、もうすぐやってくる｜WIRED.jp
  https://wired.jp/2018/05/18/webauthn-in-browsers/

Qiita †

WebAuthn †

CTAP †

• gebo
  • CTAP2 お勉強メモ
    • #1 - 環境構築(Build)
      https://qiita.com/gebo/items/d2ffbd4fcf7d75e21b63
    • #2 - 接続(GetInfo?)
      https://qiita.com/gebo/items/e0bd197d607312dcf4fb
    • #3 - 登録(Create)
      https://qiita.com/gebo/items/2cfc3202cd88a59b24ba
    • #4 - 認証
      https://qiita.com/gebo/items/634aa39b0e08d8258682
    • #5 - PIN
      https://qiita.com/gebo/items/84454583daeaf6711fd0
    • #6 - Use Case
      https://qiita.com/gebo/items/cfc6ceb1c7f9aa5fdad6
    • #7 - NFC
      https://qiita.com/gebo/items/2c9d020c0768b95a01b0
    • #8 - BLE
      https://qiita.com/gebo/items/2c9d020c0768b95a01b0

• CTAP超ざっくりまとめ＆WindowsにFIDOキーでサインインする試み - Qiita
  https://qiita.com/gebo/items/84ed5ec93aef843032c6

• WebAuthn?ぽいことができるWinデスクトップアプリ用ライブラリ WebAuthnModokiDesktop?β
  https://qiita.com/gebo/items/f6d3024f7e164ac0a195

OSSコンソーシアム †

Security Key by YubicoというFIDO2.0認証器を評価する

• （１）
  https://www.osscons.jp/jogiz4cps-537/#_537
• （２）
  https://www.osscons.jp/joi5xu2en-537/#_537
• （３）
  https://www.osscons.jp/joa13f6lr-537/#_537

---

Tags: :IT国際標準, :認証基盤, :FIDO