FIDO認証器 のバックアップ(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• FIDO認証器 へ行く。
  • 1 (2018-06-11 (月) 15:14:52)
  • 2 (2018-06-11 (月) 15:26:55)
  • 3 (2018-08-23 (木) 18:48:37)
  • 4 (2018-09-05 (水) 11:24:12)
  • 5 (2018-09-05 (水) 15:46:37)
  • 6 (2018-10-09 (火) 22:13:04)
  • 7 (2019-03-01 (金) 16:54:18)
  • 8 (2019-03-07 (木) 16:41:13)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

FIDO準拠のデバイスやソフトウエアは、＝ Authenticatorとも言う。

構成 †

• スマートフォンやPCであれば、セキュア環境で動作する（プラットフォーム認証器）。

• 外部接続であれば、以下のような接続インタフェースを使用する（ローミング認証器）
  • USB
  • NFC
  • Bluetooth Low Energy

アテステーション (Attestation) †

FIDO認証器では、⾃⼰の正統性を認証サーバに表明できる
各種のアテステーション(Attestation、端末/認証器の証明)機能が仕様化されている。

Metadata Service †

• 脆弱性の発覚などで信用性が低下したデバイスに関する情報を公開する。
  • 脆弱性の発覚などで信用性が低下した認証器やデバイスの情報を提供。
  • この情報を元に、どの認証器・デバイスからの認証を受け入れるかは、サービス事業者の自己判断となる。

• データはJWT形式で提供されている。
  以下を使用してJWTの中を確認できる。

• JSON Web Tokens - jwt.io
  https://jwt.io/

ES256のJWTであるもよう。

• 詳しくは、FIDO Alliance MetaData Serviceを参照。

Attestation秘密鍵 †

• 工場出荷時に埋め込まれるSecure Storage にて安全に保管される。
• 登録フェーズにおいて以下の様に利用する。
  • KRDに対して Authenticator の Attestation 秘密鍵でデジタル署名する。
  • FIDO Alliance における認定取得製品であることをサーバ側で確認できる
    （認定取得製品でなければ Attestation 秘密鍵を所有していないため）。

Attestation公開鍵 †

• Metadata サービスと呼ばれる方法で
  FIDO Alliance から各 FIDO Server に配信される。

存在 vs 認証 †

存在確認 †

• 認証器をタッチするなどして存在を確認する。
• その際、認証情報は読み取られない。

認証ジェスチャ（Authorization Gesture） †

• 認証器と共にユーザによって実行される物理的な対話
• Human Palatability: ・・・。

PINコード †

TPM + PIN

タッチ・ジェスチャー †

• 認証器にタッチするだけ（存在確認）
• 多分、ジェスチャーアンロックとかも。

生体認証 †

• 指紋
• 静脈
• 虹彩
• 顔

その他 †

• ・・・

デバイス †

Microsoft †

Windows Hello †

• Windows 10ではFIDOに準拠した「Windows Hello」を搭載

• 2016年7月のWindows 10 Anniversary Updateでは、
  ブラウザーのMicrosoft EdgeからFIDO対応サービスへの
  ログイン方法に生体認証が利用できるようになった。

Apple †

Touch ID †

iPhoneシリーズのTouch IDの指紋認証は、FIDO対応ではないもよう。
しかし、FIDOクライアント側で、Touch IDを利用可能にしている模様。

• ドコモ、iPhone／iPadの「Touch ID」を使った生体オンライン認証に対応 - ITmedia Mobile
  http://www.itmedia.co.jp/mobile/articles/1603/07/news076.html

• Touch IDによるオンライン認証の概要
  https://www.nttdocomo.co.jp/binary/pdf/info/notice/pages/160307_00.pdf

yubico †

yubico.com †

• FIDO2 | Yubico
  https://www.yubico.com/solutions/fido2/

• Yubico Blog Archives | Yubico
  https://www.yubico.com/category/blog/
  • Yubico and Microsoft Introduce Passwordless Login | Yubico
    https://www.yubico.com/2018/04/yubico-and-microsoft-introduce-passwordless-login/

yubion.com †

• YubiOn?
  https://www.yubion.com
• Yubico社が、FIDO２対応のパスワードレスログインを実現する新セキュリティキーを発表 | YubiOn?
  https://www.yubion.com/trend/yubico-blog/528/

NEXX †

その他 †

PINの送信をサポートする？ †

https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-client-to-authenticator-protocol-v2.0-rd-20180702.html#client-pin-support

参考 †

• FIDO2 対応の Security Key ファーストインプレッション - enjoy struggling
  https://blog.haniyama.com/2018/04/26/fido2-security-key/

• まだパスワードで消耗してるの？ TouchIDとFIDO2.0でパスワードレス認証を実装してみた（Keycloak編）
  https://qiita.com/rkato/items/3607e6870c71fbd3ec06

FIDO Alliance MetaData? Service †

FIDO Alliance Metadata Service - FIDO Alliance
https://fidoalliance.org/mds/

• The digitally signed metadata TOC document is published in Javascript Web Token (JWT) form at
  https://mds.fidoalliance.org/

• メタデータ規約
  • 提出（認証器ベンダー対象）
    https://mymds2.fidoalliance.org/eula
  • 利用（RPまたはSP対象）
    https://mds2.fidoalliance.org/tokens/legalese

---

Tags: :IT国際標準, :認証基盤, :FIDO

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.025 sec.