Web Authentication API のバックアップ(No.21)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- FIDO2
- Microsoft Passport

目次 †

目次
概要
API
- ドラフト実装(makeCredential & getAssertion)
- navigator.credentials.create() & get()メソッド
  - navigator.credentials.create()メソッド
  - navigator.credentials.get()メソッド
仕様を読む
参考
参考（旧）
FIDO2.0対応 - Open 棟梁 Wiki

↑

概要 †

Web Authentication API は

FIDO2 の Web Application用 JavaScript Library。
公開鍵暗号を用た認証を行う Credential Management API の拡張機能
パスワードを用いない認証に加え、SMS を用いない二要素認証を実現する。

↑

API †

昔のサンプルは、ドラフト実装(makeCredential & getAssertion)だったが、
最近のサンプルは、Credential Management API (navigator.credentials.create & get)に、変わっている。

以下のような状況（？）らしい。
「Progressive Web App Checklist には記載されていないですが、
Web Authentication API の仕様では PWA の API の 1 つである
Credential Management API との連携について言及されています。」

↑

ドラフト実装(makeCredential & getAssertion) †

使用する (主な) 関数は 2 つ。
- makeCredential()メソッド
- getAssertion()メソッド

↑

仕様 †

ドラフト
- 現在はドラフト仕様に基づく ms-prefix実装であるため、
  現在 (2016/05 時点) の Edge の実装では、明示的に下記を使用。
  - window.msCredentials.makeCredential
  - window.msCredentials.getAssertion

Polyfill
webauthn.jsというPolyfillを使用すると良い。

Promise
Promiseで実装されている。

↑

メソッド †

makeCredential()メソッド
初回の key pair の作成
- private key の (Device への) 登録
- public key の取得 (JWK format)

getAssertion()メソッド
private key を用いた challenge data のデジタル署名

↑

補足 †

（現時点で）以下に値が入ってこない。
- result.algorithm
- result.attestation

PKIのキーペアは、CredentialIDを使用して、紐付けを行う模様。

このキーペアは、AIK（認証IDキー）だと思われる。

従って、CredentialIDには、認証器が生成した値を使用する必要がある。

なので、実装に注意が必要（あるサンプルコードは失敗する）。
https://github.com/OpenTouryoProject/MultiPurposeAuthSite/issues/50#issuecomment-336858649

なお、CredentialIDを使用すれば、複数のデバイスの登録が可能。
しかし、デバイスを特定する方法が無いので、登録が重複してしまう。

↑

navigator.credentials.create() & get()メソッド †

W3C で定義されている使用する (主な) API の名前は、
- navigator.credentials.create()メソッド
- navigator.credentials.get()メソッド

セキュアコンテキスト (https or localhost)であることを必要とし、
ブラウザがセキュアコンテキストで動作していない場合は利用できない。

↑

navigator.credentials.create()メソッド †

登録（Attestation）

publicKeyオプションと併用する。
- PublicKeyCredentialCreationOptions?: 登録リクエスト作成のオプションを記述する。
- PublicKeyCredential?: 作成された登録リクエストを格納する。

↑

navigator.credentials.get()メソッド †

認証（Assertion）

publicKeyオプションと併用する。

↑

仕様を読む †

↑

引数：PublicKeyCredentialCreationOptions? †

主要な引数
- Challenge
  - ランダムな情報の大きなバッファー（例えば100バイト以上）が絶対に重要。
  - 登録過程のセキュリティを確保するためにサーバ上で生成する必要がある。

色々なオプションが指定できる。

Attestation Conveyance Preference enumeration
基本的に、登録（Attestation）プロセスは、クライアントによって使用される認証器が、
FIDO2 Server（RP Server）で信頼可能か検証するための多くのステップを費やす。

"none"(既定値)
ユーザー名/パスワードをFIDO2に切り替える場合。
（FIDO2はパスワードよりも優れていると考える場合）

"indirect"
スマートカードまたはUAFから移行する場合、
認証器の信頼性をattestation statement から確認する必要がある。
クライアントがattestation statement を取得する方法を決定できる。

"direct"
スマートカードまたはUAFから移行する場合、
認証器の信頼性をattestation statement から確認する必要がある。
サーバーがattestation statement を必要とすることを示す。

↑

戻り値：PublicKeyCredential? †

厳密には、AuthenticatorAttestationResponse? を含む PublicKeyCredential? に解決する Promiseを返す。

id(rawId) : GlobalにUniqueなPublicKeyCredential?のID
type : public-key（このUseCase?では固定）

AuthenticatorAttestationResponse?のプロパティ

clientDataJSON
認証器のauthenticatorMakeCredential?()メソッドの戻り値
- type
- challenge
- origin
- tokenBindingId?
- clientExtensions
- authenticatorExtensions

attestationObject
id(rawId)に対応した、公開鍵と他の認証データ

authenticatorData

fmt：アテステーションステートメントの形式を示すテキスト文字列
（"packed"、 "tpm"、 "android-key"、 "android-safetynet"、 "fido-u2f"、"none"）

attStmt："fmt"で定義された形式のアテステーションステートメント

↑

認証（Assertion）: navigator.credentials.get()メソッド †

↑

参考 †

fido2-net-lib https://github.com/abergs/fido2-net-lib を分析している。
https://gist.github.com/daisukenishino2/d50bfcfa415902abfdee0e27ed48a715

↑

w3c †

Web Authentication Working Group
https://www.w3.org/Webauthn/

Credential Management Level 1
https://www.w3.org/TR/credential-management-1/

Web Authentication: An API for accessing Public Key Credentials Level 1
https://www.w3.org/TR/webauthn/

↑

webauthn.org †

WebAuthn? demo
https://webauthn.org
- apowers313/fido2-server-demo: A set of FIDO2 / WebAuthn? demo servers
  https://github.com/apowers313/fido2-server-demo/

↑

fido2-net-lib †

abergs/fido2-net-lib: A proof of Concept implementation library
https://github.com/abergs/fido2-net-lib

＋ demo for fido2 and WebAuthn? using .NET (Work in progress)
https://github.com/abergs/fido2-net-lib/tree/master/Fido2Demo

WebAuthn?.io
https://fido2.azurewebsites.net/

FIDO2 - Things I learned by building a FIDO2 server – Ideas Of Anders Åberg
http://ideasof.andersaberg.com/development/fido2-net-library

↑

MDN - Web APIs †

↑

Credential Management API †

Credential Management API
https://developer.mozilla.org/ja/docs/Web/API/Credential_Management_API

Credential
https://developer.mozilla.org/ja/docs/Web/API/Credential
- PublicKeyCredential?
  https://developer.mozilla.org/ja/docs/Web/API/PublicKeyCredential
- PasswordCredential?
  https://developer.mozilla.org/ja/docs/Web/API/PasswordCredential
- FederatedCredential?
  https://developer.mozilla.org/ja/docs/Web/API/FederatedCredential

↑

Web Authentication API †

Credential Management API中のPublicKeyCredential?を拡張したもの。

Web Authentication API
https://developer.mozilla.org/ja/docs/Web/API/Web_Authentication_API

PublicKeyCredential?
https://developer.mozilla.org/ja/docs/Web/API/PublicKeyCredential
- PublicKeyCredentialCreationOptions?
  https://developer.mozilla.org/ja/docs/Web/API/PublicKeyCredentialCreationOptions
- AuthenticatorAttestationResponse?
  https://developer.mozilla.org/ja/docs/Web/API/AuthenticatorAttestationResponse
  - clientDataJSON
    https://developer.mozilla.org/en-US/docs/Web/API/AuthenticatorResponse/clientDataJSON
  - attestationObject
    https://developer.mozilla.org/en-US/docs/Web/API/AuthenticatorAttestationResponse/attestationObject

↑

Yubico †

Yubico WebAuthn? demo
https://demo.yubico.com/webauthn/

Developer Program
https://www.yubico.com/why-yubico/for-developers/developer-program/

New NIST Authentication Guidelines for Public Safety and First Responders
https://www.yubico.com/2018/05/new-nist-authentication-guidelines-for-public-safety-and-first-responders/

↑

blog.jxck.io †

Web Authentication API で FIDO U2F(YubiKey?) 認証 |
https://blog.jxck.io/entries/2018-05-15/webauthentication-api.html
- Web Authentication API (FIDO-U2F) DEMO
  https://labs.jxck.io/webauthentication/fido-u2f/

↑

enjoy struggling †

Edge が WebAuthN をサポートしたらしいので色々試してみた(Insider Preview)
https://blog.haniyama.com/2018/06/17/edge-support-webauthn/
- HWataru/webauthn-demo: WebAuthn? Demo
  https://github.com/HWataru/webauthn-demo
- fido-alliance/webauthn-demo: WebAuthn? Demo
  https://github.com/fido-alliance/webauthn-demo

↑

（株）ソフト技研 †

ワンタイムパスワードトークンYubiKey?
http://yubikey.yubion.com
- ブログ
  http://yubikey.yubion.com/blog.html

↑

Qiita †

もうすぐ来る? Web Authentication APIについて調べてみた
https://qiita.com/syoichi/items/62e6aa66938692a3c0b6

↑

参考（旧） †

ドラフト実装(makeCredential & getAssertion)の頃の参考情報。

↑

しばやん雑記 †

Windows Hello を Web で使うための Web Authentication API (FIDO 2.0) について調べた
http://blog.shibayan.jp/entry/20170129/1485665985

ASP.NET Core Identity に Windows Hello を使ったログイン機能を追加する
http://blog.shibayan.jp/entry/20170131/1485844075
- shibayan/webauthn-aspnet-demo: Demo Application for Windows Hello (Web Authn API)
  https://github.com/shibayan/webauthn-aspnet-demo

↑