FIDOをちょっとだけまとめた話(2015/07/23)

1. ID界隈で”いま”
興味を持っているコト
～FIDO編～
2015/07/23
勝原達也

2. FIDO
Windows Azure AD Join
Windows Hello
デバイス認証
TLSセッションステートでMITM防御
Json Web Token Suite
特定個人情報
通信の秘密
JPEG再圧縮問題
Cloud Identity Summit
マイナンバー
ミスコンとプライバシー
事業者間の動的認証リスク共有標準
IoT
SSN漏洩
UMA

3. FIDO
Windows Azure AD Join
Windows Hello
デバイス認証
Json Web Token Suite
特定個人情報
通信の秘密
JPEG再圧縮問題
Cloud Identity Summit
マイナンバー
ミスコンとプライバシー
事業者間の動的認証リスク共有標準
IoT
SSN漏洩
UMA
TLSセッションステートでMITM防御

4. FIDO
バズってます。

5. Bye Byeパスワード宣言
タレント使って記者会見とかしちゃうぐらいバズってます。
http://weekly.ascii.jp/elem/000/000/304/304523/

6. FIDOなにするものぞ
ユーザ管理
フェデレーション
シングルサインオン
デジタル
アイデンティティ化
パスワード、OTP、リスクベース、FIDO
OpenID Connect、SAML、WS-Federation
リバプロ、MobileAppSSO、EnterpriseSSO
LDAP、RBAC、特権管理、SCIM
認証

7. Before
サイトA サイトB サイトC サイトD

8. After
サイトA サイトB サイトC サイトD
FIDO
Protocol

9. Board Member
https://fidoalliance.org/membership/members/

10. FIDO（Fast IDentity Online）
Paypal
Yubico , Google…
FIDO Alliance
（FIDO 1.0）
U2F Spec.
ARM, Qualcom, Docomo,
Intel, Samsung, US Gov…
２００７
２０１３
２０１４、
２０１５
Join!
Join!
2007 PayPalの二要素認証への取り組み
2014 日本ではDDS社が代理店になる
2015 docomo、intel、samsungのjoinで
一気に勢いづく
政府系（NSTIC/NISTなど）もjoin
2013 YubicoがJoin（仕様が2系統になる）
2012 FIDOアライアンス設立（Paypal, NNLs他）
2011 Nok Nok Labs設立（PGP, Paypalなどの人材）
UAF Spec.
Nok Nok Labs.

11. Universal
Authentication
Framework
for Native Application

12. Universal
2
Factor
for Web Browser

13. FIDO 1.0 specifications
Universal
Authentication
Framework
PW認証を廃止すること目
的としたUXを実現。
トランザクション署名を仕
様に含む。
Universal
2
Factor
Web認証の2要素目として
物理デバイスを利用して、
強度を高めるUXを実現。

14. FIDOこれだけ理解してけば大丈夫
用途が異なる鍵を2ペア使う
• Attestation Key (Pair)：「デバイス認証」
• 公開鍵：FIDOサーバ側にデバイスのメタデータとしてインストール。
• 秘密鍵：出荷時にデバイスのSecure Element(SE) 領域にデプロイ。
• Authentication Key (Pair)：「ユーザ認証」
• 公開鍵：Attestation Keyにより保護して、FIDOサーバ側に登録。
• 秘密鍵：生成時にデバイス側のSecure Element(SE) 領域にデプロイ。

15. Authenticator
Private Key
UAF:Architecture
User Agent Mobile Apps
FIDO UAF Client
Authentication Abstraction Module
（ASM）
AuthenticatorAuthenticator
End User Device Relying Party
Web Application
FIDO UAF Server
Meta data service
Public Key
AuthN Key
（ユーザ所有デバイス上の鍵に対応）
Attestation Key
(Serverが許容できるデバイスの鍵)
Private KeyPrivate Key
Attestation Key
(事前デプロイ)
AuthN Key
（登録時生成）

16. UAF:Registration
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
Meta data service
Public Key
Attestation Key
(Serverが許容できるデバイスの鍵)
Private Key
Attestation Key
①登録開始要求
②登録要求

17. UAF:Registration
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
Meta data service
Public Key
Attestation Key
(Serverが許容できるデバイスの鍵)
Private Key
Attestation Key
②登録要求
③Authenticator
で認証
④認証鍵ペア生成
AuthN Key
①登録開始要求

18. UAF:Registration
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
Meta data service
Public Key
Attestation Key
(Serverが許容できるデバイスの鍵)
Private Key
Attestation Key AuthN Key
⑤Attestation Keyで
署名した鍵データを送信
⑥登録応答
AuthN Key
⑦Attestation Keyで
署名した鍵データの検証
⑧鍵データの登録

19. UAF:Authentication
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
Meta data service
Public Key
Attestation Key
(Serverが許容できるデバイスの鍵)
Private Key
Attestation Key
①認証開始要求
②認証要求
（チャレンジ）
AuthN Key
AuthN Key

20. UAF:Authentication
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
Meta data service
Public Key
Attestation Key
(Serverが許容できるデバイスの鍵)
Private Key
Attestation Key
②認証要求
（チャレンジ）
③Authenticator
で認証
AuthN Key
①認証開始要求

21. UAF:Authentication
Mobile Apps
FIDO UAF Client
Authenticator
End User Device Relying Party
Web Application
FIDO UAF Server
Meta data service
Public Key
Attestation Key
(Serverが許容できるデバイスの鍵)
Private Key
Attestation Key AuthN Key
⑤AuthN Keyで
署名したチャレンジを送信
⑥認証応答
AuthN Key
⑦AuthN Keyで署名検証

22. U2F:Architecture
Web Browser
User Side Relying Party
Web Application
FIDO U2F Server
Meta data service
U2F Token
Connector
USB
NFC
Bluetooth
Secure Element
AuthN Key
Attestation Key
U2F
JavaScript API
U2F APDU
（Application
Protocol Data
Unit）
USB API
NFC API
Bluetooth API
Public Key
AuthN Key
（ユーザ所有デバイス上の鍵に対応）
Attestation Key
(Serverが許容できるデバイスの鍵)

23. FIDO Wars?
• UAFと、U2Fは似ているようで似ていない。
• U2FはGoogleが主導（Chrome＋Google Account対応済）
• UAFは既存のテクニックと組み合わせてU2FのUXを実現
U2Fへの継続投資をやめる会社も
• いわゆる ”Out of bound” テクニック
• ブラウザでWebサイト訪問して、PW認証。
• Webサイトから登録済みNativeAppにPush通知投げる。
• NativeAppで認証するとWebサイトのログインが継続する。

24. 認証強度はアルゴリズム＋HWの合せ技へ
暗号レイヤ
UXレイヤ
入力/表示
FIDO
暗号レイヤ
UXレイヤ
入力/表示
FIDO
暗号レイヤ
UXレイヤ
入力/表示
FIDO
ソフトウェアのみ
HW暗号+
セキュアストレージ
セキュア
実行環境
ソフトウェア
ハードウェア
Strong Stronger Strongest

25. docomo IDプラットフォーム w/FIDO
• UAF対応
• docomo IDアプリにFIDOクライアント機能を実装。
• 日本製端末は、Qualcom “Sense ID”（センサーSDK）と
Nok Nok Labs.のFIDO SDKを採用。
• さすがのSamsung、全部自前。
https://www.nttdocomo.co.jp/info/news_release/2015/05/26_00.html

26. LE meets FIDO U2F
http://www.bluetooth.com/Pages/Press-Releases-Detail.aspx?ItemID=233

27. One more thing…

28. FIDO 2.0

29. Azure ＋ Windows10 → FIDO 2.0
• Microsoft Passport復権
• フルスタックのIDaaS。
• OIDC、Azure AD、特権ID管理、リスクベース、多要素認証 etc…
• FIDO2.0「ベース」らしいAzure AD Domain Join
• Windows10とAzure AD Domain Joinでデバイス／ヒト認証
• Internet of Things
• IoT向けWindows 10 Coreも無償公開。
• デバイス／ヒト認証の範囲を拡大する下心？

30. すんなりFIDO 2.0になるとは思えない
• というのも・・・
• 今のところ、FIDOの様な事前デプロイ型のAttestation Key
の概念はない。
• したがって「信頼できるRegistrationプロセス」が必要。
• デバイスRegistration（FIDO1.0と違って、動的なAttestation Keyの作成）
• ヒトRegistration
• EnterpriseなPerimeter Securityとの組み合わせ？TPM？
• 参考
• http://www.slideshare.net/naohiro.fujie/jpsps-wap-ngc20150314
• http://www.slideshare.net/naohiro.fujie/fido-in-windows10

31. おしまい