「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>FIDO]] * 目次 [#z398faa8] #contents *概要 [#z1770eba] 2015年11月19日、WWW技術の標準化団体であるW3Cに FIDO 2.0 のWeb API仕様を提案 -FIDO 2.0は、[[FIDO 1.0>FIDO1]]の拡張ではなく、 --[[UAFとU2F>FIDO1]]を統合(補完し置換する)し、~ OSやブラウザといったプラットフォームのサポートに最適化する、~ プラットフォーム(ブラウザやOS)によるネイティブサポートのための仕様。 --OSやブラウザのAPIが定義され、[[FIDO Client>FIDO#yb40ab95]]といった中継のためのレイヤが無くなったため、~ RPアプリケーションから直接リクエストができる、見かけ上U2Fに近いシンプルな構成になった。 -また、あるサービスに登録済みの認証デバイスによるFIDO認証を通じて、~ 未登録の新たな端末からサービスにログインできる機能が使えるようになる。 --(例)PC上のアプリケーション利用時の認証を、スマホで行う。 ---PC-スマホ間のデバイス連携機能で、スマホを[[認証器>FIDO#lf855e22]]として用い ---これにより、スマホに認証機能を集約させることができる。 **以下の2つの仕様からなる。 [#w7d24bd2] ***Webプラットフォーム API仕様 [#aef70118] -Web API(抽象的なAPIを通じたメッセージの通信)仕様 --ブラウザでの普及を想定し、標準化団体W3Cへ、本仕様を提案 --秘密鍵を使用して[[認証器>FIDO#lf855e22]]のコンテキストに関する情報に署名。 -以下の3つの仕様から成る。 --[[Web API for accessing FIDO 2.0 credentials>#yed618c1]] --[[Key Attestation Format>#ad9f61cb]] --[[Signature Format>#be72a8b1]] ***デバイス間連携仕様(CTAP: Client To Authenticator Protocol) [#g0465d1e] -デバイス組込みではない[[認証器>FIDO#lf855e22]]に対応するための通信プロトコルの規定。 -EAP: External Authenticator Protocol~ USB/Bluetooth/NFCトランスポートバインディングを規定 --プラットフォームと外部[[認証器>FIDO#lf855e22]]間の通信プロトコルを規定。 --具体的な通信路(USB/Bluetooth/NFCなど)の適用が可能。 **U2Fセキュリティキーの使用 [#xeffb25a] U2Fセキュリティキーを使用している場合、 -FIDO2は後方互換性を提供する(ただし、[[認証器>FIDO#lf855e22]]の実装に依る)。 -UAFの機能を実行できるが、プロトコルは異なる。 -[[Web Authentication API(別名 WebAuthn)>Web Authentication API]]でも使用できる。 *詳細 [#y031e0f2] **処理シーケンス [#xa549daa] |>|>|[[認証器>FIDO#lf855e22]]|NativeのAPI|>|CENTER: Reelying Party(RP Client)|WebAPI|通信|サーバ(RP Server)|h |・|>|PINコード|デバイス間連携仕様&br;・CTAP: Client To Authenticator Protocol&br;・EAP: External Authenticator Protocol|[[Web Authentication API(別名 WebAuthn)>Web Authentication API]]|各種WWWブラウザ|各種HttpClient|ここの仕様は存在しないもよう|サービス&br;or&br;IdP/STS| |・|>|ジェスチャー|~|~|~|~|~|~| |・|>|生体認証|~|~|~|~|~|~| | |・|指紋|~|~|~|~|~|~| | |・|静脈|~|>|CENTER: Nativeアプリ|~|~|~| | |・|虹彩|~|~|~|~|~|~| | |・|顔 |~|~|~|~|~|~| ***登録(Attestation) [#e7f048cc] -[[認証器>FIDO#lf855e22]]で鍵を生成・登録するAPIを使用して処理を行う。~ (新しいアカウント、または既存のアカウントへ、~ 新しい非対称鍵ペアの関連付ける認証情報を作成する。) > +サービス要求(RP Client ---> RP Server)~ +認証要求(クライアント <--- RP Client <--- RP Server) +クレデンシャル生成要求(NativeのAPI ---> [[認証器>FIDO#lf855e22]]) +クレデンシャル生成 「この機器([[認証器>FIDO#lf855e22]])をサーバに登録しますか?」 --ユーザーによる明示的な操作(ジェスチャー) --秘密鍵・公開鍵のペアを生成することを承認(確認) +クレデンシャル情報の応答(NativeのAPI ---> RP Client ---> RP Server)~ 公開鍵、鍵情報 (署名つき) をサーバに伝達して登録。 ***認証(Assertion) [#dacdf419] -登録済みの鍵を使って認証用の署名を生成するAPIを使用して処理を行う。~ (既存の認証情報セットを使用し、ログインまたは二要素認証をする。) > +サービス要求(RP Client ---> RP Server)~ +認証要求(NativeのAPI <--- RP Client <--- RP Server) +FIDO2認証要求(NativeのAPI ---> [[認証器>FIDO#lf855e22]]) +クレデンシャルの検索~ 「この機器([[認証器>FIDO#lf855e22]])を用いて認証しますか?」 --ユーザーによる明示的な操作(ジェスチャー) --既存のクレデンシャルを利用することを承認(確認) +[[認証器>FIDO#lf855e22]]による認証 --デバイス側の[[認証器>FIDO#lf855e22]]で認証を完了させ、 --認証結果を端末側が持つ秘密鍵を使って署名する。 +アサーション応答(RP Client ---> RP Server)~ 署名されたアサーション(署名つきchallenge + その他データ)を~ サーバに伝達し、署名検証することでログインできる。 **クライアント・サーバ [#i438a778] -指紋認証USBデバイス、虹彩認証対応スマホなどの、[[認証器>FIDO#lf855e22]]から、~ [[登録(Attestation)>#e7f048cc]]、[[認証(Assertion)>#dacdf419]]の結果を、標準化されたAPIで受け取ることができる。 ***[[RP Client>FIDO#tbbc2bdc]] [#ad1c979d] JavaScriptのAPIを使用する。 ***[[RP Server>FIDO#ra24f089]] [#nff1b46f] -[[登録(Attestation)>#e7f048cc]]、[[認証(Assertion)>#dacdf419]]の結果を、[[RP Client>#ad1c979d]]から受け取る。 -IdP/STSに実装して、[[クレームベース認証]]を使用してWebアプリケーションと認証連携してもイイ。 **各仕様 [#g0ff9ca3] ***Web API for accessing FIDO 2.0 credentials [#yed618c1] JavaScriptを介してFIDO 2.0資格情報にアクセスするための、~ [[Web Authentication API(別名 WebAuthn)>Web Authentication API]]を定義。 -Webアプリケーション(RPアプリケーション)から利用される -登録シーケンスと、認証シーケンスに使用するAPIを定義している。 --認証器で鍵を生成する登録するAPI --登録済みの鍵を使って認証用の署名をつくるAPI ***Key Attestation Format [#ad9f61cb] クライアントや[[認証器>FIDO#lf855e22]]などのコンテキストを表現するための~ アサーションや、クレデンシャルのフォーマットを定義している。 -[[認証器>FIDO#lf855e22]]の信頼性、秘密鍵管理の信頼性を証明するための情報のデータ構造を定義 -具体的な個別の環境を利用する(TPMが暗号カーネルとして機能する)場合のプロファイル。~ 仕様が進化するにつれて、より多くのプロファイルが追加される予定。 ***Signature Format [#be72a8b1] FIDO 2.0準拠クレデンシャル用の署名フォーマット(上記のアサーションに署名を行う) -アサーションを表すデータ構造 -[[認証器>FIDO#lf855e22]]で署名するためのバイトストリームにシリアライズされる方法 -結果のシグネチャとそれに関連するデータの表現 ***OSネイティブ用は? [#i4394730] -Windows : [[Windows.Security.Credentials]] -Linux : ・・・ -iOS : ・・・ -Android : ・・・ *参考 [#i23e8cdd] **FIDO Alliance [#f2ecfccb] -FIDO Alliance FIDO2 Project - FIDO Alliance~ https://fidoalliance.org/fido2/ -Index of /specs/ - fidoalliance.org~ https://fidoalliance.org/specs/ -Client To Authenticator Protocol~ --https://fidoalliance.org/specs/fido-v2.0-ps-20170927/fido-client-to-authenticator-protocol-v2.0-ps-20170927.html --https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-client-to-authenticator-protocol-v2.0-rd-20180702.html **W3C [#r189df98] -Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0~ https://www.w3.org/Submission/2015/02/ --FIDO 2.0: Web API for accessing FIDO 2.0 credentials ---https://www.w3.org/Submission/fido-web-api/ ---https://www.w3.org/Submission/2015/SUBM-fido-web-api-20151120/ --FIDO 2.0: Key Attestation Format ---https://www.w3.org/Submission/fido-key-attestation/ ---https://www.w3.org/Submission/2015/SUBM-fido-key-attestation-20151120/ --FIDO 2.0: Signature format ---https://www.w3.org/Submission/fido-signature-format/ ---https://www.w3.org/Submission/2015/SUBM-fido-signature-format-20151120/ **ニュース [#d7b23633] ***2015 [#u3f2249c] -パスワードに代わる強固なウェブ認証実現に向けた~ W3Cの「Web Authentication」 - ZDNet Japan~ https://japan.zdnet.com/article/35084511/ ***2016 [#i1031e0d] -News & Trend - 認証標準化団体が「FIDO 2.0」の~ Web API仕様をW3Cに提案、パスワードレス普及へ一歩:ITpro~ http://itpro.nikkeibp.co.jp/atcl/column/14/346926/112300385/ ***2018 [#t632b76e] -パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、~ W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ - Publickey~ http://www.publickey1.jp/blog/18/webauthnchromefirefoxedgew3cweb.html -「パスワード不要」な未来が、もうすぐやってくる|WIRED.jp~ https://wired.jp/2018/05/18/webauthn-in-browsers/ ---- Tags: [[:認証基盤]], [[:FIDO]]