FIDO2 のバックアップ(No.13)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• FIDO2 へ行く。
  • 1 (2018-06-11 (月) 14:00:40)
  • 2 (2018-06-11 (月) 15:24:58)
  • 3 (2018-06-15 (金) 09:53:58)
  • 4 (2018-06-15 (金) 13:53:19)
  • 5 (2018-06-21 (木) 09:07:02)
  • 6 (2018-07-04 (水) 15:05:13)
  • 7 (2018-08-23 (木) 18:38:37)
  • 8 (2018-08-29 (水) 19:31:49)
  • 9 (2018-09-05 (水) 11:59:23)
  • 10 (2018-09-05 (水) 13:10:36)
  • 11 (2018-10-02 (火) 14:14:30)
  • 12 (2018-10-09 (火) 22:12:57)
  • 13 (2018-12-17 (月) 11:29:08)
  • 14 (2019-01-16 (水) 09:37:40)
  • 15 (2019-02-19 (火) 17:38:16)
  • 16 (2019-02-20 (水) 16:35:33)
  • 17 (2019-02-26 (火) 11:33:20)
  • 18 (2019-02-28 (木) 20:39:59)
  • 19 (2019-03-05 (火) 10:01:55)
  • 20 (2019-12-23 (月) 09:13:23)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

2015年11月19日、WWW技術の標準化団体であるW3Cに FIDO 2.0 のWeb API仕様を提案

• FIDO 2.0は、FIDO 1.0の拡張ではなく、

• UAFとU2Fを統合（補完し置換する）し、
  OSやブラウザといったプラットフォームのサポートに最適化する、
  プラットフォーム（ブラウザやOS）によるネイティブサポートのための仕様。

• OSやブラウザのAPIが定義され、FIDO Clientといった中継のためのレイヤが無くなったため、
  RPアプリケーションから直接リクエストができる、見かけ上U2Fに近いシンプルな構成になった。

• また、あるサービスに登録済みの認証デバイスによるFIDO認証を通じて、
  未登録の新たな端末からサービスにログインできる機能が使えるようになる。

• （例）PC上のアプリケーション利用時の認証を、スマホで行う。
  • PC-スマホ間のデバイス連携機能で、スマホを認証器として用い
  • これにより、スマホに認証機能を集約させることができる。

以下の2つの仕様からなる。 †

Webプラットフォーム API仕様 †

• Web API（抽象的なAPIを通じたメッセージの通信）仕様
  • ブラウザでの普及を想定し、標準化団体W3Cへ、本仕様を提案
  • 秘密鍵を使用して認証器のコンテキストに関する情報に署名。

• 以下の3つの仕様から成る。
  • Web API for accessing FIDO 2.0 credentials
  • Key Attestation Format
  • Signature Format

デバイス間連携仕様（CTAP: Client To Authenticator Protocol） †

• デバイス組込みではない認証器に対応するための通信プロトコルの規定。

• EAP: External Authenticator Protocol
  USB/Bluetooth/NFCトランスポートバインディングを規定
  • プラットフォームと外部認証器間の通信プロトコルを規定。
  • 具体的な通信路（USB/Bluetooth/NFCなど）の適用が可能。

U2Fセキュリティキーの使用 †

U2Fセキュリティキーを使用している場合、

• FIDO2は後方互換性を提供する（ただし、認証器の実装に依る）。
• UAFの機能を実行できるが、プロトコルは異なる。
• Web Authentication API（別名 WebAuthn）でも使用できる。

詳細 †

処理シーケンス †

登録（Attestation） †

• 認証器で鍵を生成・登録するAPIを使用して処理を行う。
  （新しいアカウント、または既存のアカウントへ、
  新しい非対称鍵ペアの関連付ける認証情報を作成する。）

  1. サービス要求（RP Client ---> RP Server）
     
  2. 認証要求（クライアント <--- RP Client <--- RP Server）
  3. クレデンシャル生成要求（NativeのAPI ---> 認証器）
  4. クレデンシャル生成 「この機器（認証器）をサーバに登録しますか？」
     • ユーザーによる明示的な操作（ジェスチャー）
     • 秘密鍵・公開鍵のペアを生成することを承認（確認）
  5. クレデンシャル情報の応答（NativeのAPI ---> RP Client ---> RP Server）
     公開鍵、鍵情報 (署名つき) をサーバに伝達して登録。

認証（Assertion） †

• 登録済みの鍵を使って認証用の署名を生成するAPIを使用して処理を行う。
  （既存の認証情報セットを使用し、ログインまたは二要素認証をする。）

  1. サービス要求（RP Client ---> RP Server）
     
  2. 認証要求（NativeのAPI <--- RP Client <--- RP Server）
  3. FIDO2認証要求（NativeのAPI ---> 認証器）
  4. クレデンシャルの検索
     「この機器（認証器）を用いて認証しますか？」
     • ユーザーによる明示的な操作（ジェスチャー）
     • 既存のクレデンシャルを利用することを承認（確認）
  5. 認証器による認証
     • デバイス側の認証器で認証を完了させ、
     • 認証結果を端末側が持つ秘密鍵を使って署名する。
  6. アサーション応答（RP Client ---> RP Server）
     署名されたアサーション（署名つきchallenge + その他データ）を
     サーバに伝達し、署名検証することでログインできる。

クライアント・サーバ †

• 指紋認証USBデバイス、虹彩認証対応スマホなどの、認証器から、
  登録（Attestation）、認証（Assertion）の結果を、標準化されたAPIで受け取ることができる。

RP Client †

JavaScriptのAPIを使用する。

RP Server †

• 登録（Attestation）、認証（Assertion）の結果を、RP Clientから受け取る。
• IdP/STSに実装して、クレームベース認証を使用してWebアプリケーションと認証連携してもイイ。

各仕様 †

Web API for accessing FIDO 2.0 credentials †

JavaScriptを介してFIDO 2.0資格情報にアクセスするための、
Web Authentication API（別名 WebAuthn）を定義。

• Webアプリケーション（RPアプリケーション）から利用される

• 登録シーケンスと、認証シーケンスに使用するAPIを定義している。
  • 認証器で鍵を生成する登録するAPI
  • 登録済みの鍵を使って認証用の署名をつくるAPI

Key Attestation Format †

クライアントや認証器などのコンテキストを表現するための
アサーションや、クレデンシャルのフォーマットを定義している。

• 認証器の信頼性、秘密鍵管理の信頼性を証明するための情報のデータ構造を定義
• 具体的な個別の環境を利用する（TPMが暗号カーネルとして機能する）場合のプロファイル。
  仕様が進化するにつれて、より多くのプロファイルが追加される予定。

Signature Format †

FIDO 2.0準拠クレデンシャル用の署名フォーマット（上記のアサーションに署名を行う）

• アサーションを表すデータ構造
• 認証器で署名するためのバイトストリームにシリアライズされる方法
• 結果のシグネチャとそれに関連するデータの表現

OSネイティブ用は？ †

• Windows : Windows.Security.Credentials
• Linux : ・・・
• iOS : ・・・
• Android : ・・・

参考 †

W3C †

• Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0
  https://www.w3.org/Submission/2015/02/

• FIDO 2.0: Web API for accessing FIDO 2.0 credentials
  • https://www.w3.org/Submission/fido-web-api/
  • https://www.w3.org/Submission/2015/SUBM-fido-web-api-20151120/

• FIDO 2.0: Key Attestation Format
  • https://www.w3.org/Submission/fido-key-attestation/
  • https://www.w3.org/Submission/2015/SUBM-fido-key-attestation-20151120/

• FIDO 2.0: Signature format
  • https://www.w3.org/Submission/fido-signature-format/
  • https://www.w3.org/Submission/2015/SUBM-fido-signature-format-20151120/

FIDO Alliance †

• FIDO Alliance FIDO2 Project - FIDO Alliance
  https://fidoalliance.org/fido2/
• Index of /specs/ - fidoalliance.org
  https://fidoalliance.org/specs/

• Client To Authenticator Protocol
  
  • https://fidoalliance.org/specs/fido-v2.0-ps-20170927/fido-client-to-authenticator-protocol-v2.0-ps-20170927.html
  • https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-client-to-authenticator-protocol-v2.0-rd-20180702.html

Yahoo! †

JAPAN > Tech Blog †

• Yahoo! JAPAN Tech Advent Calendar 2018
  • Yahoo! JAPANでの生体認証の取り組み
    （FIDO2サーバーの仕組みについて）
    https://techblog.yahoo.co.jp/advent-calendar-2018/webauthn/
  • FIDO2 attestation formatの紹介
    https://techblog.yahoo.co.jp/advent-calendar-2018/webauthn-attestation-packed/

ニュース †

2015 †

• パスワードに代わる強固なウェブ認証実現に向けた
  W3Cの「Web Authentication」 - ZDNet Japan
  https://japan.zdnet.com/article/35084511/

2016 †

• News ＆ Trend - 認証標準化団体が「FIDO 2.0」の
  Web API仕様をW3Cに提案、パスワードレス普及へ一歩：ITpro
  http://itpro.nikkeibp.co.jp/atcl/column/14/346926/112300385/

2018 †

• パスワードに依存しない認証「WebAuthn?」をChrome/Firefox/Edgeが実装開始、
  W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ － Publickey
  http://www.publickey1.jp/blog/18/webauthnchromefirefoxedgew3cweb.html

• 「パスワード不要」な未来が、もうすぐやってくる｜WIRED.jp
  https://wired.jp/2018/05/18/webauthn-in-browsers/

---

Tags: :IT国際標準, :認証基盤, :FIDO

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.044 sec.