![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>FIDO]] * 目次 [#ia48adaf] #contents *概要 [#b04494de] FIDO準拠のデバイスやソフトウエアは、= Authenticatorとも言う。 *構成 [#i682ade5] -スマートフォンやPCであれば、[[セキュア環境>TPM(Trusted Platform Module)]]で動作する(プラットフォーム認証器)。 -スマートフォンやPCであれば、[[セキュア環境(TPM)>TPM(Trusted Platform Module)]]で動作する(プラットフォーム認証器)。 -外部接続であれば、以下のような接続インタフェースを使用する(ローミング認証器) --USB --NFC --Bluetooth Low Energy *アテステーション (Attestation) [#v032ee05] FIDO認証器では、⾃⼰の正統性を認証サーバに表明できる~ 各種のアテステーション(Attestation、端末/認証器の証明)機能が仕様化されている。 **Metadata Service [#j68a5e5d] -脆弱性の発覚などで信用性が低下したデバイスに関する情報を公開する。 --脆弱性の発覚などで信用性が低下した認証器やデバイスの情報を提供。 --この情報を元に、どの認証器・デバイスからの認証を受け入れるかは、サービス事業者の自己判断となる。 -データは[[JWT]]形式で提供されている。~ 以下を使用して[[JWT]]の中を確認できる。 --JSON Web Tokens - jwt.io~ https://jwt.io/ >ES256の[[JWT]]であるもよう。 -詳しくは、[[FIDO Alliance MetaData Service>#d6659b25]]を参照。 **Attestation秘密鍵 [#qb179b40] -工場出荷時に埋め込まれるSecure Storage にて安全に保管される。 -登録フェーズにおいて以下の様に利用する。 --KRDに対して Authenticator の Attestation 秘密鍵でデジタル署名する。 --FIDO Alliance における認定取得製品であることをサーバ側で確認できる~ (認定取得製品でなければ Attestation 秘密鍵を所有していないため)。 **Attestation公開鍵 [#ad0e2a6f] -Metadata サービスと呼ばれる方法で~ FIDO Alliance から各 FIDO Server に配信される。 *存在 vs 認証 [#z4607634] **存在確認 [#s34337d3] -認証器をタッチするなどして存在を確認する。 -その際、認証情報は読み取られない。 **認証ジェスチャ(Authorization Gesture) [#g701954e] -認証器と共にユーザによって実行される物理的な対話 -Human Palatability: ・・・。 ***PINコード [#g2e37dbb] TPM + PIN [[TPM>TPM(Trusted Platform Module)]] + PIN ***タッチ・ジェスチャー [#j455e618] -認証器にタッチするだけ(存在確認) -多分、ジェスチャーアンロックとかも。 ***生体認証 [#i10d226c] -指紋 -静脈 -虹彩 -顔 ***その他 [#zb3d88fa] -・・・ *デバイス [#w65786b4] **Microsoft [#y0b8efd6] ***[[Windows Hello]] [#v74c5cae] -Windows 10ではFIDOに準拠した「[[Windows Hello]]」を搭載 -2016年7月のWindows 10 Anniversary Updateでは、~ ブラウザーのMicrosoft EdgeからFIDO対応サービスへの~ ログイン方法に生体認証が利用できるようになった。 **Apple [#q2701270] ***Touch ID [#n9df4498] iPhoneシリーズのTouch IDの指紋認証は、FIDO対応ではないもよう。~ しかし、FIDOクライアント側で、Touch IDを利用可能にしている模様。 -ドコモ、iPhone/iPadの「Touch ID」を使った生体オンライン認証に対応 - ITmedia Mobile~ http://www.itmedia.co.jp/mobile/articles/1603/07/news076.html -Touch IDによるオンライン認証の概要~ https://www.nttdocomo.co.jp/binary/pdf/info/notice/pages/160307_00.pdf **yubico [#m256a1af] ***yubico.com [#jbc494f1] -FIDO2 | Yubico~ https://www.yubico.com/solutions/fido2/ -Yubico Blog Archives | Yubico~ https://www.yubico.com/category/blog/ --Yubico and Microsoft Introduce Passwordless Login | Yubico~ https://www.yubico.com/2018/04/yubico-and-microsoft-introduce-passwordless-login/ ***yubion.com [#pbb3b859] -YubiOn~ https://www.yubion.com -Yubico社が、FIDO2対応のパスワードレスログインを実現する新セキュリティキーを発表 | YubiOn~ https://www.yubion.com/trend/yubico-blog/528/ **NEXX [#p84e40ab] *その他 [#ma061fa6] **PINの送信をサポートする? [#d4cab452] https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-client-to-authenticator-protocol-v2.0-rd-20180702.html#client-pin-support *参考 [#jbb965e1] -FIDO2 対応の Security Key ファーストインプレッション - enjoy struggling~ https://blog.haniyama.com/2018/04/26/fido2-security-key/ -まだパスワードで消耗してるの? TouchIDとFIDO2.0でパスワードレス認証を実装してみた(Keycloak編)~ https://qiita.com/rkato/items/3607e6870c71fbd3ec06 **FIDO Alliance MetaData Service [#d6659b25] FIDO Alliance Metadata Service - FIDO Alliance~ https://fidoalliance.org/mds/ -The digitally signed metadata TOC document is published in Javascript Web Token (JWT) form at~ https://mds.fidoalliance.org/ -メタデータ規約 --提出(認証器ベンダー対象)~ https://mymds2.fidoalliance.org/eula --利用(RPまたはSP対象)~ https://mds2.fidoalliance.org/tokens/legalese ---- Tags: [[:IT国際標準]], [[:認証基盤]], [[:FIDO]]
