Windows.Security.Credentials のバックアップ(No.3) - マイクロソフト系技術情報 Wiki

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
Windows.Security.Credentials へ行く。
- 1 (2017-10-06 (金) 19:22:40)
- 2 (2017-10-06 (金) 19:53:03)
- 3 (2017-10-06 (金) 23:38:13)
- 4 (2017-10-10 (火) 12:48:29)
- 5 (2017-10-10 (火) 14:53:44)
- 6 (2017-10-10 (火) 19:01:55)
- 7 (2017-10-11 (水) 16:14:19)
- 8 (2017-10-13 (金) 21:34:05)
- 9 (2018-02-03 (土) 14:11:00)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

↑

概要 †

Microsoft Passportが提供するプログラミングシステムのAPI
Windowsデバイス上で、FIDOを実装する場合に、このAPIを利用する。

↑

キーストアの分離 †

Microsoft Passportは、公開鍵暗号（PKI）ビルトインサービスである。
このPKIビルトインサービスのキーストアは以下のように分離される。

↑

ユーザ †

ユーザー毎に別のキーストアを持つ。

↑

アプリ †

さらにアプリ毎にコンテナが分割される。

↑

シーケンス †

↑

共通 †

アプリケーションに登録開始リクエストを送る。
challenge、policy、appIDなどが返される。

↑

認証器の調査: KeyCredentialManager?.IsSupportedAsync?()メソッド †

policyに適合する認証器があった場合、
ユーザーが Windows Hello をセットアップしたかどうかを調べる

if (await KeyCredentialManager.IsSupportedAsync() == false)
{
  ・・・

↑

キーのストア＆コンテナを開く: KeyCredentialManager?.OpenAsync?()メソッド †

当該ユーザ＆アプリケーションのキーのストア＆コンテナを開く。

// retrieve private key for sign
KeyCredentialRetrievalResult res =
  await KeyCredentialManager.OpenAsync("keyName");

if (res.Status == KeyCredentialStatus.Success)
{
  ・・・

↑

登録 †

上記の結果が、

if (res.Status == KeyCredentialStatus.NotFound)
{
  ・・・

の場合、

↑

キーペアを作成する: KeyCredentialManager?.RequestCreateAsync?()メソッド †

RequestCreateAsync?を使用してキーペアを作成する。
- Windows Helloに対応した認証器に生体認証の情報を入力する。
- 入力後、内部では、private key と public key が作成される。
- private key は TPM に登録され、以降、認証器によって保護される。
- public key は・・・。

実装

// Create the credential
// (Windows Hello is diplayed here !)
KeyCredentialRetrievalResult createRes =
    await KeyCredentialManager.RequestCreateAsync("keyName", KeyCredentialCreationOption.ReplaceExisting);

// if the status is success, retrieve the public key.
if (createRes.Status == KeyCredentialStatus.Success)
{
  ・・・

↑

public keyを取得する: KeyCredential?.RetrievePublicKey?()メソッド †

public keyを取得する。

実装

var userKey = keyCreationResult.Credential;
var publicKey = userKey.RetrievePublicKey();

↑

Attestationを取得する: KeyCredential?.GetAttestationAsync?()メソッド †

Attestation（デバイス正常性構成証明）を取得する。

実装

IBuffer keyAttestation = null;
IBuffer certificateChain = null;
bool keyAttesttionIncluded = false;
bool keyAttestationCanBeRetrievedLAter = false;

KeyCredentialAttestationResult keyAttestationResult = await userKey.GetAttestationAsync();
KeyCredentialAttestationStatus keyAttestationRetryType = 0;

if (keyAttestationResult.Status == KeyCredentialAttestationStatus.Success)
{
    keyAttestationIncluded = true;
    keyAttestation = keyAttestationResult.AttestationBuffer;
    certificateChain = keyAttestationResult.CertificateChainBuffer;
}
else if (keyAttestationResult.Status == KeyCredentialAttestationStatus.TemporaryFailure)
{
    keyAttestationRetryType = KeyCredentialAttestationStatus.TemporaryFailure;
    keyAttestationCanBeRetrievedLater = true;
}
else if (keyAttestationResult.Status == KeyCredentialAttestationStatus.NotSupported)
{
    keyAttestationRetryType = KeyCredentialAttestationStatus.NotSupported;
    keyAttestationCanBeRetrievedLAter = true;
}

↑

認証 †

上記の結果が、

if (res.Status == KeyCredentialStatus.Success)
{
  ・・・

の場合、

↑

KeyCredentialManager?.RequestSignAsync?()メソッド †

登録後、この App に SignIn? する際には、PIN の入力や biometrics 認証を使って、この登録された private key を使ったデジタル署名 (RequestSignAsync?) が可能です。

↑

その他 †

↑

KeyCredentialManager?.DeleteAsync? †

private keyを削除する。

await KeyCredentialManager.DeleteAsync("keyName");

↑

参考 †

KeyCredentialManager? Class (Windows.Security.Credentials) - UWP app developer | Microsoft Docs
https://docs.microsoft.com/en-us/uwp/api/windows.security.credentials.keycredentialmanager

KeyCredential? Class (Windows.Security.Credentials) - UWP app developer | Microsoft Docs
https://docs.microsoft.com/en-us/uwp/api/windows.security.credentials.keycredential

Tags: :認証基盤