Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
ID界隈で”いま”
興味を持っているコト
~FIDO編~
2015/07/23
勝原達也
FIDO
Windows Azure AD Join
Windows Hello
デバイス認証
TLSセッションステートでMITM防御
Json Web Token Suite
特定個人情報
通信の秘密
JPEG再圧縮問題
Cloud Iden...
FIDO
Windows Azure AD Join
Windows Hello
デバイス認証
Json Web Token Suite
特定個人情報
通信の秘密
JPEG再圧縮問題
Cloud Identity Summit
マイナンバー
ミ...
FIDO
バズってます。
Bye Byeパスワード宣言
タレント使って記者会見とかしちゃうぐらいバズってます。
http://weekly.ascii.jp/elem/000/000/304/304523/
FIDOなにするものぞ
ユーザ管理
フェデレーション
シングルサインオン
デジタル
アイデンティティ化
パスワード、OTP、リスクベース、FIDO
OpenID Connect、SAML、WS-Federation
リバプロ、MobileApp...
Before
サイトA サイトB サイトC サイトD
After
サイトA サイトB サイトC サイトD
FIDO
Protocol
Board Member
https://fidoalliance.org/membership/members/
FIDO(Fast IDentity Online)
Paypal
Yubico , Google…
FIDO Alliance
(FIDO 1.0)
U2F Spec.
ARM, Qualcom, Docomo,
Intel, Samsung...
Universal
Authentication
Framework
for Native Application
Universal
2
Factor
for Web Browser
FIDO 1.0 specifications
Universal
Authentication
Framework
PW認証を廃止すること目
的としたUXを実現。
トランザクション署名を仕
様に含む。
Universal
2
Factor
W...
FIDOこれだけ理解してけば大丈夫
用途が異なる鍵を2ペア使う
• Attestation Key (Pair):「デバイス認証」
• 公開鍵:FIDOサーバ側にデバイスのメタデータとしてインストール。
• 秘密鍵:出荷時にデバイスのSecur...
Authenticator
Private Key
UAF:Architecture
User Agent Mobile Apps
FIDO UAF Client
Authentication Abstraction Module
(ASM)
...
UAF:Registration
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
M...
UAF:Registration
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
M...
UAF:Registration
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
M...
UAF:Authentication
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server...
UAF:Authentication
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server...
UAF:Authentication
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server...
U2F:Architecture
Web Browser
User Side Relying Party
Web Application
FIDO U2F Server
Meta data service
U2F Token
Connector...
FIDO Wars?
• UAFと、U2Fは似ているようで似ていない。
• U2FはGoogleが主導(Chrome+Google Account対応済)
• UAFは既存のテクニックと組み合わせてU2FのUXを実現
U2Fへの継続投資をやめる...
認証強度はアルゴリズム+HWの合せ技へ
暗号レイヤ
UXレイヤ
入力/表示
FIDO
暗号レイヤ
UXレイヤ
入力/表示
FIDO
暗号レイヤ
UXレイヤ
入力/表示
FIDO
ソフトウェアのみ
HW暗号+
セキュアストレージ
セキュア
実行環...
docomo IDプラットフォーム w/FIDO
• UAF対応
• docomo IDアプリにFIDOクライアント機能を実装。
• 日本製端末は、Qualcom “Sense ID”(センサーSDK)と
Nok Nok Labs.のFIDO ...
LE meets FIDO U2F
http://www.bluetooth.com/Pages/Press-Releases-Detail.aspx?ItemID=233
One more thing…
FIDO 2.0
Azure + Windows10 → FIDO 2.0
• Microsoft Passport復権
• フルスタックのIDaaS。
• OIDC、Azure AD、特権ID管理、リスクベース、多要素認証 etc…
• FIDO2.0「ベース...
すんなりFIDO 2.0になるとは思えない
• というのも・・・
• 今のところ、FIDOの様な事前デプロイ型のAttestation Key
の概念はない。
• したがって「信頼できるRegistrationプロセス」が必要。
• デバイスR...
おしまい
Upcoming SlideShare
Loading in …5
×

20150723 最近の興味動向 fido編

FIDOをちょっとだけまとめた話(2015/07/23)

  • Login to see the comments

20150723 最近の興味動向 fido編

  1. 1. ID界隈で”いま” 興味を持っているコト ~FIDO編~ 2015/07/23 勝原達也
  2. 2. FIDO Windows Azure AD Join Windows Hello デバイス認証 TLSセッションステートでMITM防御 Json Web Token Suite 特定個人情報 通信の秘密 JPEG再圧縮問題 Cloud Identity Summit マイナンバー ミスコンとプライバシー 事業者間の動的認証リスク共有標準 IoT SSN漏洩 UMA
  3. 3. FIDO Windows Azure AD Join Windows Hello デバイス認証 Json Web Token Suite 特定個人情報 通信の秘密 JPEG再圧縮問題 Cloud Identity Summit マイナンバー ミスコンとプライバシー 事業者間の動的認証リスク共有標準 IoT SSN漏洩 UMA TLSセッションステートでMITM防御
  4. 4. FIDO バズってます。
  5. 5. Bye Byeパスワード宣言 タレント使って記者会見とかしちゃうぐらいバズってます。 http://weekly.ascii.jp/elem/000/000/304/304523/
  6. 6. FIDOなにするものぞ ユーザ管理 フェデレーション シングルサインオン デジタル アイデンティティ化 パスワード、OTP、リスクベース、FIDO OpenID Connect、SAML、WS-Federation リバプロ、MobileAppSSO、EnterpriseSSO LDAP、RBAC、特権管理、SCIM 認証
  7. 7. Before サイトA サイトB サイトC サイトD
  8. 8. After サイトA サイトB サイトC サイトD FIDO Protocol
  9. 9. Board Member https://fidoalliance.org/membership/members/
  10. 10. FIDO(Fast IDentity Online) Paypal Yubico , Google… FIDO Alliance (FIDO 1.0) U2F Spec. ARM, Qualcom, Docomo, Intel, Samsung, US Gov… 2007 2013 2014、 2015 Join! Join! 2007 PayPalの二要素認証への取り組み 2014 日本ではDDS社が代理店になる 2015 docomo、intel、samsungのjoinで 一気に勢いづく 政府系(NSTIC/NISTなど)もjoin 2013 YubicoがJoin(仕様が2系統になる) 2012 FIDOアライアンス設立(Paypal, NNLs他) 2011 Nok Nok Labs設立(PGP, Paypalなどの人材) UAF Spec. Nok Nok Labs.
  11. 11. Universal Authentication Framework for Native Application
  12. 12. Universal 2 Factor for Web Browser
  13. 13. FIDO 1.0 specifications Universal Authentication Framework PW認証を廃止すること目 的としたUXを実現。 トランザクション署名を仕 様に含む。 Universal 2 Factor Web認証の2要素目として 物理デバイスを利用して、 強度を高めるUXを実現。
  14. 14. FIDOこれだけ理解してけば大丈夫 用途が異なる鍵を2ペア使う • Attestation Key (Pair):「デバイス認証」 • 公開鍵:FIDOサーバ側にデバイスのメタデータとしてインストール。 • 秘密鍵:出荷時にデバイスのSecure Element(SE) 領域にデプロイ。 • Authentication Key (Pair):「ユーザ認証」 • 公開鍵:Attestation Keyにより保護して、FIDOサーバ側に登録。 • 秘密鍵:生成時にデバイス側のSecure Element(SE) 領域にデプロイ。
  15. 15. Authenticator Private Key UAF:Architecture User Agent Mobile Apps FIDO UAF Client Authentication Abstraction Module (ASM) AuthenticatorAuthenticator End User Device Relying Party Web Application FIDO UAF Server Meta data service Public Key AuthN Key (ユーザ所有デバイス上の鍵に対応) Attestation Key (Serverが許容できるデバイスの鍵) Private KeyPrivate Key Attestation Key (事前デプロイ) AuthN Key (登録時生成)
  16. 16. UAF:Registration Mobile Apps FIDO UAF Client Authenticator End User Device Relying Party Web Application FIDO UAF Server Meta data service Public Key Attestation Key (Serverが許容できるデバイスの鍵) Private Key Attestation Key ①登録開始要求 ②登録要求
  17. 17. UAF:Registration Mobile Apps FIDO UAF Client Authenticator End User Device Relying Party Web Application FIDO UAF Server Meta data service Public Key Attestation Key (Serverが許容できるデバイスの鍵) Private Key Attestation Key ②登録要求 ③Authenticator で認証 ④認証鍵ペア生成 AuthN Key ①登録開始要求
  18. 18. UAF:Registration Mobile Apps FIDO UAF Client Authenticator End User Device Relying Party Web Application FIDO UAF Server Meta data service Public Key Attestation Key (Serverが許容できるデバイスの鍵) Private Key Attestation Key AuthN Key ⑤Attestation Keyで 署名した鍵データを送信 ⑥登録応答 AuthN Key ⑦Attestation Keyで 署名した鍵データの検証 ⑧鍵データの登録
  19. 19. UAF:Authentication Mobile Apps FIDO UAF Client Authenticator End User Device Relying Party Web Application FIDO UAF Server Meta data service Public Key Attestation Key (Serverが許容できるデバイスの鍵) Private Key Attestation Key ①認証開始要求 ②認証要求 (チャレンジ) AuthN Key AuthN Key
  20. 20. UAF:Authentication Mobile Apps FIDO UAF Client Authenticator End User Device Relying Party Web Application FIDO UAF Server Meta data service Public Key Attestation Key (Serverが許容できるデバイスの鍵) Private Key Attestation Key ②認証要求 (チャレンジ) ③Authenticator で認証 AuthN Key ①認証開始要求
  21. 21. UAF:Authentication Mobile Apps FIDO UAF Client Authenticator End User Device Relying Party Web Application FIDO UAF Server Meta data service Public Key Attestation Key (Serverが許容できるデバイスの鍵) Private Key Attestation Key AuthN Key ⑤AuthN Keyで 署名したチャレンジを送信 ⑥認証応答 AuthN Key ⑦AuthN Keyで署名検証
  22. 22. U2F:Architecture Web Browser User Side Relying Party Web Application FIDO U2F Server Meta data service U2F Token Connector USB NFC Bluetooth Secure Element AuthN Key Attestation Key U2F JavaScript API U2F APDU (Application Protocol Data Unit) USB API NFC API Bluetooth API Public Key AuthN Key (ユーザ所有デバイス上の鍵に対応) Attestation Key (Serverが許容できるデバイスの鍵)
  23. 23. FIDO Wars? • UAFと、U2Fは似ているようで似ていない。 • U2FはGoogleが主導(Chrome+Google Account対応済) • UAFは既存のテクニックと組み合わせてU2FのUXを実現 U2Fへの継続投資をやめる会社も • いわゆる ”Out of bound” テクニック • ブラウザでWebサイト訪問して、PW認証。 • Webサイトから登録済みNativeAppにPush通知投げる。 • NativeAppで認証するとWebサイトのログインが継続する。
  24. 24. 認証強度はアルゴリズム+HWの合せ技へ 暗号レイヤ UXレイヤ 入力/表示 FIDO 暗号レイヤ UXレイヤ 入力/表示 FIDO 暗号レイヤ UXレイヤ 入力/表示 FIDO ソフトウェアのみ HW暗号+ セキュアストレージ セキュア 実行環境 ソフトウェア ハードウェア Strong Stronger Strongest
  25. 25. docomo IDプラットフォーム w/FIDO • UAF対応 • docomo IDアプリにFIDOクライアント機能を実装。 • 日本製端末は、Qualcom “Sense ID”(センサーSDK)と Nok Nok Labs.のFIDO SDKを採用。 • さすがのSamsung、全部自前。 https://www.nttdocomo.co.jp/info/news_release/2015/05/26_00.html
  26. 26. LE meets FIDO U2F http://www.bluetooth.com/Pages/Press-Releases-Detail.aspx?ItemID=233
  27. 27. One more thing…
  28. 28. FIDO 2.0
  29. 29. Azure + Windows10 → FIDO 2.0 • Microsoft Passport復権 • フルスタックのIDaaS。 • OIDC、Azure AD、特権ID管理、リスクベース、多要素認証 etc… • FIDO2.0「ベース」らしいAzure AD Domain Join • Windows10とAzure AD Domain Joinでデバイス/ヒト認証 • Internet of Things • IoT向けWindows 10 Coreも無償公開。 • デバイス/ヒト認証の範囲を拡大する下心?
  30. 30. すんなりFIDO 2.0になるとは思えない • というのも・・・ • 今のところ、FIDOの様な事前デプロイ型のAttestation Key の概念はない。 • したがって「信頼できるRegistrationプロセス」が必要。 • デバイスRegistration(FIDO1.0と違って、動的なAttestation Keyの作成) • ヒトRegistration • EnterpriseなPerimeter Securityとの組み合わせ?TPM? • 参考 • http://www.slideshare.net/naohiro.fujie/jpsps-wap-ngc20150314 • http://www.slideshare.net/naohiro.fujie/fido-in-windows10
  31. 31. おしまい

×