「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>FIDO]]

* 目次 [#z398faa8]
#contents

*概要 [#z1770eba]
2015年11月19日、WWW技術の標準化団体であるW3Cに FIDO 2.0 のWeb API仕様を提案

-FIDO 2.0は、[[FIDO 1.0>FIDO1]]の拡張ではなく、
--[[UAFとU2F>FIDO1]]を統合し、OSやブラウザといったプラットフォームのサポートに最適化する、~

--[[UAFとU2F>FIDO1]]を統合(補完し置換する)し、~
OSやブラウザといったプラットフォームのサポートに最適化する、~
プラットフォーム(ブラウザやOS)によるネイティブサポートのための仕様。

--OSやブラウザのAPIへの定義され、FIDO Clientといった中継のためのレイヤが無くなったため、~
RPアプリケーションから直接リクエストができる、見かけ上U2Fに近いシンプルな構成になった。

-また、あるサービスに登録済みの認証デバイスによるFIDO認証を通じて、~
未登録の新たな端末からサービスにログインできる機能が使えるようになる。

--(例)PC上のアプリケーション利用時の認証を、スマホで行う。
---PC-スマホ間のデバイス連携機能で、スマホを認証器として用い
---これにより、スマホに認証機能を集約させることができる。

-以下の2つの仕様からなる。
**以下の2つの仕様からなる。 [#w7d24bd2]

**Webプラットフォーム API仕様 [#aef70118]
***Webプラットフォーム API仕様(WebAuthn) [#aef70118]
-Web API(抽象的なAPIを通じたメッセージの通信)仕様
--ブラウザでの普及を想定し、標準化団体W3Cへ、本仕様を提案
--秘密鍵を使用してクライアントや認証器などのコンテキストに関する情報に署名。

-以下の3つの仕様から成る。
--[[WebAPI for Accessing Credential API>#yed618c1]]
--[[Key Attestation Format>#ad9f61cb]]
--[[Signature Format>#be72a8b1]]

**デバイス間連携仕様 [#g0465d1e]
***デバイス間連携仕様(CTAP: Client To Authenticator Protocol) [#g0465d1e]
-デバイス組込みではない[[認証器>FIDO#lf855e22]]に対応するための通信プロトコルの規定。

-EAP (External Authenticator Protocol)~
-EAP: External Authenticator Protocol~
USB/Bluetooth/NFCトランスポートバインディングを規定
--プラットフォームと外部[[認証器>FIDO#lf855e22]]間の通信プロトコルを規定。
--具体的な通信路(USB/Bluetooth/NFCなど)の適用が可能。

**U2Fセキュリティキーの使用 [#xeffb25a]
U2Fセキュリティキーを使用している場合、
-FIDO2は後方互換性を提供するため、WebAuthnにも使用できる。
-FIDO2では、UAFの機能を実行できるが、プロトコルは異なる。

*詳細 [#y031e0f2]

**処理シーケンス [#xa549daa]
|>|様々な外部[[認証器>#lf855e22]]||通信(FIDO2標準プロトコル・メッセージ)        |API|クライアント(FIDO2 Client)|WebAPI|通信(FIDO2標準プロトコル・メッセージ)|サーバ( FIDO2 Server)|h
|・|>|生体認証|<--->&br;EAP (External Authenticator Protocol)|JS、NativeのAPI&br;以下は同じものを指している?&br; - [[Web Authentication API]]&br; - Web API for accessing FIDO 2.0 credentials&br;(WebAPIと言っているが所謂、WebAPIではない...。)|各種ブラウザ、各種OS|各種HttpClient|<--->&br;ここの仕様は存在しない?|サービス&br;or&br;IdP/STS|
|&nbsp;|・|指紋|~|~|~|~|~|~|
|&nbsp;|・|静脈|~|~|~|~|~|~|
|&nbsp;|・|虹彩|~|~|~|~|~|~|
|&nbsp;|・|顔|~|~|~|~|~|~|
|・|>|その他の認証方法|~|~|~|~|~|~|
|&nbsp;|・|PINコード|~|~|~|~|~|~|
|&nbsp;|・|ジェスチャー|~|~|~|~|~|~|
|>|様々なFIDO Authenticator([[認証器>FIDO#lf855e22]])||NativeのAPI|クライアント(FIDO2 Client)|JavaScriptのAPI|WWWブラウザ|WebAPI|通信(FIDO2標準プロトコル・メッセージ)|サーバ( FIDO2 Server)|h
|・|>|生体認証|<--->&br;・CTAP: Client To Authenticator Protocol&br;・EAP: External Authenticator Protocol|各種OS|以下は同じものを指している?&br; - [[Web Authentication API]](別名 WebAuthn)&br; - Web API for accessing FIDO 2.0 credentials&br;(WebAPIと言っているが所謂、WebAPIではない...。)|各種ブラウザ|各種HttpClient|<--->&br;ここの仕様は存在しない?|サービス&br;or&br;IdP/STS|
|&nbsp;|・|指紋|~|~|~|~|~|~|~|
|&nbsp;|・|静脈|~|~|~|~|~|~|~|
|&nbsp;|・|虹彩|~|~|~|~|~|~|~|
|&nbsp;|・|顔  |~|~|~|~|~|~|~|
|・|>|その他の認証方法|~|~|~|~|~|~|~|
|&nbsp;|・|PINコード|~|~|~|~|~|~|~|
|&nbsp;|・|ジェスチャー|~|~|~|~|~|~|~|

***登録 [#e7f048cc]
認証器で鍵を生成・登録するAPIを使用して処理を行う。

***登録(Attestation) [#e7f048cc]
-認証器で鍵を生成・登録するAPIを使用して処理を行う。
>
+サービス要求(RP Client ---> RP Server---> FIDO2 Server)~
+認証要求(FIDO2 Client <--- FIDO2 Server)
+クレデンシャル生成要求(FIDO2 Client ---> [[認証器>FIDO#lf855e22]])
+クレデンシャル生成
「この機器([[認証器>FIDO#lf855e22]])をサーバに登録しますか?」
--ユーザーによる明示的な操作(ジェスチャー)
--秘密鍵・公開鍵のペアを生成することを承認(確認)
+クレデンシャル情報の応答(FIDO2 Client ---> FIDO2 Server)~
公開鍵、鍵情報 (署名つき) をサーバに伝達して登録。

***認証 [#dacdf419]
登録済みの鍵を使って認証用の署名を生成するAPIを使用して処理を行う。
-色々なオプションが指定できる。~
https://www.w3.org/TR/webauthn/#dictdef-publickeycredentialcreationoptions
--Attestation Conveyance Preference enumeration~
基本的に、登録(Attestation)プロセスは、クライアントによって使用される認証器が、~
FIDO2 Server([[RP Server>FIDO#ra24f089]])で信頼可能か検証するための多くのステップを費やす。

---"none"(既定値)~
ユーザー名/パスワードをFIDO2に切り替える場合。~
(FIDO2はパスワードよりも優れていると考える場合)

---"indirect"~
スマートカードまたはUAFから移行する場合、~
認証器の信頼性をattestation statement から確認する必要がある。~
クライアントがattestation statement を取得する方法を決定できる。

---"direct"~
スマートカードまたはUAFから移行する場合、~
認証器の信頼性をattestation statement から確認する必要がある。~
サーバーがattestation statement を必要とすることを示す。

***認証(Assertion) [#dacdf419]
-登録済みの鍵を使って認証用の署名を生成するAPIを使用して処理を行う。
>
+サービス要求(RP Application ---> RP Server---> FIDO2 Server)~
+認証要求(FIDO2 Client <--- FIDO2 Server)
+FIDO2認証要求(FIDO2 Client ---> [[認証器>FIDO#lf855e22]])
+クレデンシャルの検索~
「この機器([[認証器>FIDO#lf855e22]])を用いて認証しますか?」
--ユーザーによる明示的な操作(ジェスチャー)
--既存のクレデンシャルを利用することを承認(確認)
+[[認証器>FIDO#lf855e22]]による認証
--デバイス側の[[認証器>FIDO#lf855e22]]で認証を完了させ、
--認証結果を端末側が持つ秘密鍵を使って署名する。
+アサーション応答(FIDO2 Client ---> FIDO2 Server)~
署名されたアサーション(署名つきchallenge + その他データ)を~
サーバに伝達し、署名検証することでログインできる。

-色々なオプションが指定できる。~
https://www.w3.org/TR/webauthn/#dictdef-publickeycredentialcreationoptions

**クライアント・サーバ [#i438a778]
指紋認証USBデバイス、虹彩認証対応スマホなどの、~
[[認証器>FIDO#lf855e22]]から、[[登録(Attestation)>#e7f048cc]]、[[認証(Assertion)>#dacdf419]]の結果を、~
標準化されたAPIで受け取ることができる。

***クライアント:WWW Browser [#ad1c979d]
FIDO 2.0のWeb API仕様に対応したWWW Browserは、
-指紋認証USBデバイス
-虹彩認証対応スマホ
***WWW Browser [#ad1c979d]
JavaScriptのAPIを使用する。

などの、[[認証器>FIDO#lf855e22]]によるユーザー認証の結果を、~
標準化されたAPIで受け取ってWebサービスに通知することができる。
***FIDO2 Client [#h78e664b]
NativeのAPIを使用する。

***サーバ:[[RP Server>FIDO#ra24f089]] [#nff1b46f]
[[クレームベース認証]]などを使用して連携する。
***FIDO2 Server([[RP Server>FIDO#ra24f089]]) [#nff1b46f]
-[[登録(Attestation)>#e7f048cc]]、[[認証(Assertion)>#dacdf419]]の結果を、~
クライアント([[WWW Browser>#ad1c979d]]や[[FIDO2 Client>#h78e664b]])から受け取る。
-また、[[クレームベース認証]]などを使用してIdP/STSと連携する。

**各仕様 [#g0ff9ca3]
FIDOサーバ側のWebAPIのインターフェイス定義は発見できず(未定義?)。

***[[WebAPI for Accessing Credential API>Web Authentication API]] [#yed618c1]
どうも、[[Web Authentication API]]と同じものを指している模様。~
# WebAPI for Accessing Credential APIが、[[Web Authentication API]]に準拠?
どうも、[[Web Authentication API]](別名 WebAuthn)と同じものを指している模様。~
# WebAPI for Accessing Credential APIが、[[Web Authentication API]](別名 WebAuthn)に準拠?

-RPアプリケーションから利用されるAPI

-Webブラウザ用と、OSネイティブ用のAPIがある。
--Webブラウザ用 : [[Web Authentication API]]
--Webブラウザ用 : [[Web Authentication API]](別名 WebAuthn)
--OSネイティブ用
---Windows : [[Windows.Security.Credentials]]
---Linux
---iOS
---Android

-登録シーケンスと、認証シーケンスに使用するAPIを定義している。
--認証器で鍵を生成する登録するAPI
--登録済みの鍵を使って認証用の署名をつくるAPI

***Key Attestation Format [#ad9f61cb]
クライアントや認証器などのコンテキストを表現するための~
アサーションや、クレデンシャルのフォーマットを定義している。
-認証器の信頼性、秘密鍵管理の信頼性を証明するための情報のデータ構造を定義
-具体的な個別の環境(TPMやAndroidなど)を利用する場合を規定(プロファイル)。

***Signature Format [#be72a8b1]
FIDO 2.0準拠クレデンシャル用の署名フォーマット(上記のアサーションに署名を行う)

*参考 [#i23e8cdd]

**FIDO Alliance [#f2ecfccb]
-FIDO Alliance FIDO2 Project - FIDO Alliance~
https://fidoalliance.org/fido2/
-Client To Authenticator Protocol~
https://fidoalliance.org/specs/fido-v2.0-ps-20170927/fido-client-to-authenticator-protocol-v2.0-ps-20170927.html

**W3C [#r189df98]

***FIDO 2.0 [#qb73b166]
-Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0~
https://www.w3.org/Submission/2015/02/

--FIDO 2.0: Web API for accessing FIDO 2.0 credentials
---https://www.w3.org/Submission/fido-web-api/
---https://www.w3.org/Submission/2015/SUBM-fido-web-api-20151120/

--FIDO 2.0: Key Attestation Format
---https://www.w3.org/Submission/fido-key-attestation/
---https://www.w3.org/Submission/2015/SUBM-fido-key-attestation-20151120/

--FIDO 2.0: Signature format
---https://www.w3.org/Submission/fido-signature-format/
---https://www.w3.org/Submission/2015/SUBM-fido-signature-format-20151120/

**ニュース [#d7b23633]

***2015 [#u3f2249c]
-パスワードに代わる強固なウェブ認証実現に向けた~
W3Cの「Web Authentication」 - ZDNet Japan~
https://japan.zdnet.com/article/35084511/

***2016 [#i1031e0d]
-News & Trend - 認証標準化団体が「FIDO 2.0」の~
Web API仕様をW3Cに提案、パスワードレス普及へ一歩:ITpro~
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/112300385/

***2018 [#t632b76e]
-パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、~
W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ - Publickey~
http://www.publickey1.jp/blog/18/webauthnchromefirefoxedgew3cweb.html

-「パスワード不要」な未来が、もうすぐやってくる|WIRED.jp~
https://wired.jp/2018/05/18/webauthn-in-browsers/

----
Tags: [[:認証基盤]], [[:FIDO]]
トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS