Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Idcon gomi-052715-pub

4,822 views

Published on

FIDO overview (in Japanese) presented at idcon vol.20 (2015/5/27)

Published in: Technology
  • Be the first to comment

Idcon gomi-052715-pub

  1. 1. 1 Yahoo! JAPANの FIDOへの取り組み ヤフー株式会社 Yahoo! JAPAN 研究所 上席研究員 五味 秀仁 #idcon vol.20 ∼またの名を #fidcon (FIDO特集)(2015年5月27日)
  2. 2. 2 パスワードの課題
  3. 3. 3 パスワードの課題 n  再利用可能(bearer tokenだから) → 漏えいすると使われてしまう n 長いパスワードは覚えられない、入力が不便 → 人の記憶に頼るのは難しい 上記課題に対する解決策の1つが FIDO である
  4. 4. 4 FIDO概要
  5. 5. 5 FIDO Allianceの概要 n  FIDO (Fast IDentity Online): •  オンライン認証時のセキュアな通信仕様の策定や推進を目的とした非営利団体。 n  設立経緯: •  2012年7月:Nok Nok Labs、PayPalらの6社で設立。 •  2014年4月:Yahoo! JAPAN 加盟 •  2015年5月現在:約200団体加盟中 n  役割 •  技術仕様の策定 → 標準化団体への提出、(正式な) 標準化へ -  アライアンス自体は製品は出さない。メンバー企業ごとに実装。 •  適合性テストの実施 → 各社製品に対して認定 (FIDO-Certified/FIDO-Ready) -  商標ライセンスの登録、認定ロゴの配布 •  オピニオンリーダー、エコシステムの構築牽引
  6. 6. 6 メンバー企業 以下のページをご参照ください。 https://fidoalliance.org/membership/members/
  7. 7. 7 FIDOと認証手段 n 記憶 (Something you know): 本人のみが記憶するデータによる •  (例)パスワード、パスフレーズ、PIN など。 n 所持 (Something you have): 本人のみが所持している物による •  (例)ICカード、ワンタイムパスワードのトークンなど。 n 生体情報 (Something you are): 本人の特徴を表すデータによる •  (例)指紋、音声、虹彩、顔など。 (出典) オンライン本人認証方式の実態調査報告書 (IPA) http://www.ipa.go.jp/files/000040778.pdf FIDOの主な対象 認証の3要素 FIDOでは、記憶に頼る認証に代わり、 所持や生体情報による認証を採用。
  8. 8. 8 FIDOの技術仕様 n パスワード置き換え型: UAF (Universal Authentication Framework) -  パスワードなしで、生体・所持認証 -  採用企業: PayPal, Samsungなど n パスワード補完型: U2F (Universal 2nd Factor) - パスワード入力後、追加的に、生体・所持認証 - 採用企業: Google, Microsoft, Lenovoなど
  9. 9. 9 FIDO による認証の手順(イメージ) デバイス上の認証 認証成功オンラインでの認証要求 パスワード置き換え型 (UAF 仕様) パスワード補完型 (U2F 仕様) 生体情報の入力取引の詳細 完了 ID・パスワード入力 ドングル挿入、ボタン押下 完了
  10. 10. 10 技術仕様の状態 FIDO 仕様 1.0 (U2F & UAF) 公開 (2014/12/09) (参考) https://fidoalliance.org/specifications
  11. 11. 11 FIDO Certified/Ready FIDO仕様を実装した各社製品どうしで適合性・相互接続性検証テストを実施。 合格した製品に対して「FIDO-Certified/Ready」を認定し、ロゴの使用を許可。 (参考) https://fidoalliance.org/certification/fido-certified/ Yahoo! JAPAN の認定証
  12. 12. 12 FIDOエコシステムとメリット 認証業者 ユーザー ・使い勝手の向上 ・セキュリティ・プライバシー 認証器ベンダー ・機器への搭載・採用 セキュリティベンダー アプリベンダー ・セキュリティの向上 ・ 開発コストの低減 コンピュータ 携帯端末 ベンダー ・強固なセキュリティの組み込み ・付加価値の向上
  13. 13. 13 FIDO Architecture
  14. 14. 14 UAF Architecture Authenticator (認証器) ブラウザ/アプリ FIDO Client ユーザー端末 Webアプリケーション Relying Party FIDO Server UAF Protocol Attestation Key (登録用秘密 ) 登録検証用 公開 Registration Authentication Confirmation Deregistration : FIDO-enabled Software, Services & Components Authentication Key (認証用秘密 ) Metadata Service 認証検証用 公開
  15. 15. 15 FIDOの概念 (1) Pluggable authentication
  16. 16. 16 従来の認証 認証手段 指紋 SIM カード ? 認証サーバー サービス2サービス1 新サービスサービス3 1234 パスワード ハードウェア トークン サービスごとに認証手段が必要、コスト大、柔軟性低 サイロ構造: サービスごとに 認証手段を設定
  17. 17. 17 FIDOの認証: プラグイン可能 認証手段 認証サーバー サービス2サービス1 新サービスサービス3 プロトコルを標準化 指紋 音声 虹彩 USBキー SIMカード ? その他 認証手段をプラグイン的に追加、多要素認証、認証の強化を実現 クライアント(端末)
  18. 18. 18 認証機能の分解 認証 サーバー ユーザー 従来の認証 識別 検証 認証要求 ID・クレデンシャル (パスワードや生体情報) FIDOの認証 ユーザー 識別 検証 ID・検証結果認証要求 ユーザーの検証をローカルで実施、認証プロトコルから分離。 ネットワーク上に生体情報などの漏洩リスク減。 ID? 誰? クレデンシャルは 正しい? 認証 サーバー
  19. 19. 19 FIDOの概念 (2) Trust model
  20. 20. 20 トラスト(信頼性)の課題 認証サーバーは、クライアントからの認証結果情報を受け入れてよいか? 認証サーバー ユーザー 識別 検証 クライアント端末 認証結果情報
  21. 21. 21 Authenticator Registration 認証サーバー ユーザー 識別 検証 クライアント端末 FIDO Server Authenticator 登録用 秘密 登録用 公開 登録時に認証器の情報 の署名を検証 認証器のベンダーが生成・配布 Authenticatorが正規に認定されたものであることを保証
  22. 22. 22 Authentication using FIDO authenticator 認証サーバー ユーザー 識別 検証 ユーザー端末 FIDO Server Authenticator 認証用 秘密 認証用 公開 署名を検証 改ざんがないことを 確認して認証したと みなす 認証結果情報を送付 登録されたAuthenticatorの秘密 を使った署名を対応する公開 で検証 SecureElementなどで 安全に保管する必要あり
  23. 23. 23 Channel Binding 認証サーバー ユーザー クライアント端末 FIDO Server Authenticator Server-Client間のChannelに強く紐付けられた認証結果情報を作成 → MITMなどの攻撃に対する耐性 Client Challenge Challenge, Channel情報 認証後、Challenge, Channel情報 含む認証結果情報、署名作成 認証結果情報、署名 認証結果情報、署名
  24. 24. 24 FIDOの概念 (3) プライバシー
  25. 25. 25 プライバシー保護 n  生体情報をサーバー上に保管しない n  サービス間のリンク付けはない n  アカウント間でのリンク付けはない 認証サーバー ユーザー クライアント端末 FIDO Server Authenticator 秘密 公開 公開 は、万が一漏えい しても、サーバー側で廃棄 という対応が可能。
  26. 26. 26 FIDOとID連携の関係
  27. 27. 27 認証 (Authentication) ID管理における機能の階層構造 登録 (プロビジョニング) ID連携 (Federation) シングルサインオン 個人属性共有 近年の標準化の 主要な対象 (SAML、OpenID、 OpenID Connect など) 認証 (Authentication) FIDOの対象 FIDO: 課題のピース (認証) の部分を埋める取り組み *ID: アイデンティティ。本人性。
  28. 28. 28 (従来) 分散型ID管理アーキテクチャでのID連携 既存のID連携仕様 (SAML/OpenID/OpenID Connectなど) アサーション (認証結果・個人属性) ユーザー アサーション発行機能 SP (Service Provider) トラスト (信頼) 認証 IdP (Identity Provider) 認証機能 サービス利用
  29. 29. 29 FIDOアーキテクチャとID連携 FIDO Server FIDOの対象 IdP SP FIDOは、従来のID連携とは補完関係、ID連携を強化 トラスト アサーション発行機能 Authenticator ユーザー トラスト アサーション (認証結果・個人属性) FIDO Client * Authenticator: 認証器
  30. 30. 30 FIDOの技術仕様 U2F (Universal 2nd Factor)
  31. 31. 31 FIDOの技術仕様 UAF (Universal Authentication Framework)
  32. 32. 32 登録 (Registration) ユーザーが Authenticatorを FIDO Serverに登録する処理 FIDO ServerFIDO ClientAuthenticator (1) 登録要求を促す要求 User (2) Legacy認証要求 (3) Legacy認証応答(ログイン) (4) 登録要求 (AppID, Policy, Challenge, Username) (5) 登録要求 (AppID, Challenge, Username) (6) Authenticator固有の 方法で認証要求 (7) 認証応答 (8) KRD (Key Registration Data)  Attestation Keyで署名 Attestation Key (登録用秘密 ) (9) KRD 転送 Authentication Keyペア生成 KRD検証, Authentication Key 公開 登録
  33. 33. 33 認証要求メッセージ(例) { "header”: { "op":"Reg", "appID":"https://uaf.yahoo.co.jp:8443/SampleApp/", "upv":{"major":1,"minor":0}, "serverData":"75579B4564CB8C33E1B2189052DB8E89” }, "challenge":"3fcea9181e258d928fb81525d77b68671aa97bb3", "username":”gomi", "policy":{ "accepted":[[{ "attestationTypes":[15879], "authenticationAlgorithms":[1], "assertionSchemes":["UAFV1TLV"]}]], "disallowed”:[{ "aaid":"1234#5678"}] } }
  34. 34. 34 Key Registration Data (KRD) 情報 n Hash (Challenge) n AAID (Authenticator Attestation ID) n Public Key n KeyID n Registration Counter n Signature Counter n Signature (Attestation Key)
  35. 35. 35 認証 (Authentication) ユーザーが Authenticatorを用いて認証する処理 FIDO ServerFIDO ClientAuthenticator (1) 認証要求を促す要求 User (2) 認証要求 (AppID, Policy, Challenge) (3) 認証要求 (AppID, Challenge) (4) Authenticator固有の 方法で認証要求 (5) 認証応答 (6) Signed Data 生成, Authentication Keyで署名 Authentication Key (認証用秘密 ) (7) Signed Data 転送 Signed Data検証
  36. 36. 36 まとめ n  FIDO:次世代認証に関する非営利団体 •  認証にフォーカス、パスワードの課題を解決を目指す •  ユーザー・端末・チップベンダー・サービスを含むエコシステムの構 築を目指す •  FIDO-Certified認定による普及促進 n  FIDOの概念:認証機能の部品化 •  多要素認証に対応、認証強度の向上を見込む •  ローカルな検証とユーザーの識別の分離 •  認証結果情報の通知を共通プロトコル化 •  FIDOとID連携は補完関係 n  FIDO技術:公開 暗号方式が基礎 •  Authenticatorの検証を含んだ認証用 登録処理 •  Authenticatorを用いた認証手段による(パスワードなしの)認証処理
  37. 37. 37 ご清聴ありがとうございました コンタクト先: hgomi@yahoo-corp.jp

×