More Related Content
What's hot
What's hot (20)
Similar to Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Similar to Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会) (20)
Recently uploaded
Recently uploaded (10)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
- 3. 3 パスキー認証とは 認証器による所持をベースとしたパスワードを利用しない認証方式。 フィッシング攻撃等に耐性がある&パスワードの特徴である、覚えられない、パスリセ運用が大変と いった課題を解決。 クライアント サーバー RPクライアントアプリ Webブラウザ RPサーバーアプリ 認証器 公開鍵 WebAuthn CTAP WHAT IS A PASSKEY? Any passwordless FIDO credential is a passkey. https://fidoalliance.org/passkeys/
- 4. 4 パスキー認証の3つの特徴 1. 公開鍵暗号方式 受信側で「公開鍵」と「秘密鍵」という2種類の鍵ペアを生成し、「公開鍵」だけを送信側 に送信。「公開鍵」で暗号化したデータを受信側の「秘密鍵」で復号。 2. チャレンジレスポンス クライアントからの認証要求に対しサーバー側でランダムな文字列(チャレンジ)を生成 し、クライアント側でそのチャレンジを元にレスポンスを生成。サーバー側でレスポンスの 内容を検証し認証が成立。 3. 認証器がRPサーバーの識別子に対して署名 RP サーバーの識別子を含むチャレンジに対して 秘密鍵で署名し,RP サーバーはその署名を 公開鍵で検証する。 RPサーバーと異なるドメイン(例:中間者攻撃による偽のRPサーバー)では認証が成立し ない。
- 5. 5 NIST SP 800-63Bへの補足 NIST(米国国立標準技術研究所)のガイドラインへの補足文書が2024年4月に公開 されている。 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63Bsup 1.pdf なんでNIST SP 800-63BのRevision.4を待たずに補足文書出した? 今までのRevision3だと以下のとおり、秘密鍵のクローンは禁止されていた。 Multi-factor cryptographic software authenticators SHOULD discourage and SHALL NOT facilitate the cloning of the secret key onto multiple devices. クローン前提のSynced Passkeysの急速な普及によりガイドラインと実態に矛盾が生じて きた。
- 6. 6 NIST SP 800-63Bへの補足 以下のようなことが書かれている • パスキー(特にSynced Passkeys)を、AAL2で適正に構成するためのキーの生成、保 存、アクセス制御などに関する要件、実装上の考慮事項 • パスキー(特にSynced Passkeys)の潜在的な脅威と課題 • 失効の難しさ、クラウドプロバイダの侵害など
- 7. 7 AWS公式ハンズオン Amazon CognitoでのハンズオンはAWS公式から出ているものがある。 Implement Passwordless authentication with Amazon Cognito and WebAuthn https://catalog.workshops.aws/cognito-webauthn-passwordless/en-US#wh at-you'll-learn-in-this-workshop コードもGitHubで公開されている。 amazon-cognito-passwordless-auth https://github.com/aws-samples/amazon-cognito-passwordless-auth
- 8. 8 構成の概要
- 9. 9 使用するLamda関数 Cognitoでパスキー認証を利用するためには「カスタム認証フロー」を定義する必 要がある。 以下の3つのトリガーで独自処理を呼び出して認証処理をカスタマイズする。 関数名 説明 Define auth Challenge Amazon Cognito はこのトリガーを呼び出してカスタム認証フローを開始 Create auth Challenge Amazon Cognito は、認証チャレンジの定義後に このトリガーを呼び出してカスタム チャレンジを作成 Verify auth Challenge Amazon Cognito はこのトリガーを呼び出して、カスタムチャレンジに対するエ ンドユーザーからの応答が有効かどうかを検証 https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-challenge.html
- 10. 10 作成した Lambda 関数はユーザープールの Lambda トリガーとして指定されている。 UIイメージ
- 12. 12 手順 サンプルコードを使う場合、非常に簡単にデプロイ可能。(1−2時間かからな い) 1. GitをCloneする 2. 環境設定ファイルを自環境用に微修正 3. Node.jsをインストール <バックエンド> 1. MagicLinkを送るためAmazon SESで検証済みのEメールアドレスを用意 2. AWS CDKでデプロイ 3. Cognito ユーザープールができているのでテストユーザーを作成 <フロントエンド> 1. バックエンドをフックするReactアプリを実行 2. WebアプリをS3にデプロイ
- 13. 13 デモ
- 18. 18 AWSで実現する場合の一例(ハンズオンのケース) 認証器 (スマホ等) ユーザー ブラウザ Define auth Challenge (1)認証要求 (2)-1 InitialAuth (3)-1 チャレンジの生成依頼 (4)チャレンジ等のレスポンス (5)秘密鍵利用要求 (6)ユーザー検証 (7)認証情報 (8)秘密鍵での復号化 (9)-2 レスポンス検証要求 (11)認証後ページ Create auth Challenge Verify auth Challenge (2)-2 認証開始 (2)-3 フロー内容等 (3)-2 チャレンジの生成と保管 (3)-3 クレデンシャルIDのレスポンス (9)-1 RespondToAuth Challenge (10)-2 レスポンス検証結果 (10)-1 レスポンス検証 (10)-3 認証完了 (10)-4 確認結果
- 19. 19 DynamoDBの中身 DynamoDBの中にはCredentialID(クレデンシャルの識別子)をキーとして様々 な情報が保管されている。 aaguid(Binary) パスキープロバイダーのID createdAt クレデンシャルが生成された日付 jwk 公開鍵の情報(JSON Web Token) flagBackupEligibility SyncedPasskeysかどうか 0:SyncedPasskeysじゃない 1:SyncedPasskeys flagBackupState クラウド上にPasskeysがバックアップされているかどうか 0:バックアップされてない 1:バックアップされている <中身の一部>