Windows.Security.Credentials のバックアップ(No.4)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Windows.Security.Credentials へ行く。
  • 1 (2017-10-06 (金) 19:22:40)
  • 2 (2017-10-06 (金) 19:53:03)
  • 3 (2017-10-06 (金) 23:38:13)
  • 4 (2017-10-10 (火) 12:48:29)
  • 5 (2017-10-10 (火) 14:53:44)
  • 6 (2017-10-10 (火) 19:01:55)
  • 7 (2017-10-11 (水) 16:14:19)
  • 8 (2017-10-13 (金) 21:34:05)
  • 9 (2018-02-03 (土) 14:11:00)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• Microsoft Passportが提供するプログラミングシステムのAPI
• Windowsデバイス上で、FIDOを実装する場合に、このAPIを利用する。

クライアント実装 †

共通 †

• アプリケーションに登録開始リクエストを送る。
• challenge、policy、appIDなどが返される。

認証器の調査: KeyCredentialManager?.IsSupportedAsync?()メソッド †

• ユーザーが Windows Hello をセットアップしたかどうかを調べる

if (await KeyCredentialManager.IsSupportedAsync() == false)
{
  ・・・

キーのストア＆コンテナを開く: KeyCredentialManager?.OpenAsync?()メソッド †

当該ユーザ＆アプリケーションのキーのストア＆コンテナを開く。

// retrieve private key for sign
KeyCredentialRetrievalResult res =
  await KeyCredentialManager.OpenAsync("keyName");

if (res.Status == KeyCredentialStatus.Success)
{
  ・・・

登録 †

• 上記のKeyCredentialManager.OpenAsyncの結果が、

if (res.Status == KeyCredentialStatus.NotFound)
{
  ・・・

の場合、

• ≒新規のdeviceを登録する場合、若しくは、追加のデバイスを登録する場合。

キーペアを作成する: KeyCredentialManager?.RequestCreateAsync?()メソッド †

• RequestCreateAsync?を使用してキーペアを作成する。
  • Windows Helloに対応した認証器に生体認証の情報を入力する。
  • 入力後、内部では、private key と public key が作成される。
  • private key は TPM に登録され、以降、認証器によって保護される。

• 実装

  // Create the credential
  // (Windows Hello is diplayed here !)
  KeyCredentialRetrievalResult createRes =
      await KeyCredentialManager.RequestCreateAsync("keyName", KeyCredentialCreationOption.ReplaceExisting);
  
  // if the status is success, retrieve the public key.
  if (createRes.Status == KeyCredentialStatus.Success)
  {
    ・・・public keyとattestationを取得する。
  }
  else if(
      keyCreationResult.Status == KeyCredentialStatus.UserCanceled ||
      keyCreationResult.Status == KeyCredentialStatus.UserPrefersPassword)
  {
      // Show error message to the user to get confirmation that user does not want to enroll.
  }

public keyを取得する: KeyCredential?.RetrievePublicKey?()メソッド †

• 以下の場合に、public keyを取得する。

  if (createRes.Status == KeyCredentialStatus.Success)

• 実装

  var userKey = keyCreationResult.Credential;
  var publicKey = userKey.RetrievePublicKey();

attestationを取得する: KeyCredential?.GetAttestationAsync?()メソッド †

• 以下の場合に、attestation（デバイス正常性構成証明）を取得する。

  if (createRes.Status == KeyCredentialStatus.Success)

• 実装

  IBuffer keyAttestation = null;
  IBuffer certificateChain = null;
  bool keyAttesttionIncluded = false;
  bool keyAttestationCanBeRetrievedLAter = false;
  
  KeyCredentialAttestationResult keyAttestationResult = await userKey.GetAttestationAsync();
  KeyCredentialAttestationStatus keyAttestationRetryType = 0;
  
  if (keyAttestationResult.Status == KeyCredentialAttestationStatus.Success)
  {
      keyAttestationIncluded = true;
      keyAttestation = keyAttestationResult.AttestationBuffer;
      certificateChain = keyAttestationResult.CertificateChainBuffer;
  }
  else if (keyAttestationResult.Status == KeyCredentialAttestationStatus.TemporaryFailure)
  {
      keyAttestationRetryType = KeyCredentialAttestationStatus.TemporaryFailure;
      keyAttestationCanBeRetrievedLater = true;
  }
  else if (keyAttestationResult.Status == KeyCredentialAttestationStatus.NotSupported)
  {
      keyAttestationRetryType = KeyCredentialAttestationStatus.NotSupported;
      keyAttestationCanBeRetrievedLAter = true;
  }

上記の情報をサーバに飛ばして登録する。 †

こちら

認証 †

上記のKeyCredentialManager.OpenAsyncの結果が、

if (res.Status == KeyCredentialStatus.Success)
{
  ・・・

の場合、

KeyCredentialManager?.RequestSignAsync?()メソッド †

登録後、PIN や 生体認証を使って、challengeにデジタル署名 (RequestSignAsync?) する。

var openKeyResult = await KeyCredentialManager.OpenAsync(AccountId);
if (openKeyResult.Status == KeyCredentialStatus.Success)
{
    var userKey = openKeyResult.Credential;
    var publicKey = userKey.RetrievePublicKey();
    var signResult = await userKey.RequestSignAsync(message);
    if (signResult.Status == KeyCredentialStatus.Success)
    {
        return signResult.Result;
    }
    else if (signResult.Status == KeyCredentialStatus.UserPrefersPassword)
    {
    }
}

上記の情報をサーバに飛ばして認証する。 †

こちら

その他 †

KeyCredentialManager?.DeleteAsync?()メソッド †

private keyを削除する。

await KeyCredentialManager.DeleteAsync("keyName");

サーバ実装 †

サンプルのデータベース スキーマ †

• User
  • id
  • e-mail address
  • first name
  • last name

• UserKeys?
  • id
  • user id
  • public key
  • attestation
  • device id
  • last logontime

処理 †

登録 †

UserKeys?レコードを追加。

認証 †

using (RSACng pubKey = new RSACng(publicKey))
{
   retval = pubKey.VerifyData(
                originalChallenge, responseSignature,
                HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1); 
}

参考 †

• KeyCredentialManager? Class (Windows.Security.Credentials) - UWP app developer | Microsoft Docs
  https://docs.microsoft.com/en-us/uwp/api/windows.security.credentials.keycredentialmanager

• KeyCredential? Class (Windows.Security.Credentials) - UWP app developer | Microsoft Docs
  https://docs.microsoft.com/en-us/uwp/api/windows.security.credentials.keycredential

• Windows-universal-samples/Samples/MicrosoftPassport? at master · Microsoft/Windows-universal-samples.
  https://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport
  • クライアント（UWP）
    https://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport/cs
  • サーバ（ASP.NET MVC）
    https://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport/Server

†

• policyに適合する認証器があった場合、

---

Tags: :認証基盤

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.029 sec.