FIDOとSelf-issuedについてiddanceで発表したもの

1. FIDOとSelf-issued
@super_reader

2. 自己紹介
• 名前：@supre_reader
• 所属：紀尾井町近辺のWeb会社のエンジニア
• お仕事：セキュリティや認証認可関連
• Web+DB PressにWebAuthnに寄稿
• FIDO2サーバーに関してBlog書いたり
https://techblog.yahoo.co.jp/advent-calendar-2018/webauthn/

3. 今回のきっかけ

4. 今回のきっかけ

5. 中身

6. 今回は

7. FIDO
認証サーバ
秘密 公開
署名
署名を検証
本人確認
ユーザー

8. Self-issued
https://openid.net/specs/openid-connect-core-1_0.html

9. Self-issued
https://openid.net/specs/openid-connect-core-1_0.html#SelfIssued

10. Self-issued
1. OpenID Provider の認証機能をローカルデバイス
の中に持っていき、認証を行う
2. ユニークな ペアを作成して安全に管理する
3. ローカルデバイスに保存された秘密 で署名され
た Id Token の検証を行うことで 認証とする
4. Issuer は https://self-issued.me が使用される

11. Self-issued(実例:リクルート)
• 端末側で ペアを生成
• 公開 をサーバー上で管理
• PKCE(Proof Key for Code Exchange by OAuth Public Clients) を
使ってチャレンジレスポンス形式を実現

12. FIDOとSelf-issued
• 技術的な観点では似たような枠組み
に見える？？

13. FIDOとSelf-issuedの違いって？
• FIDO
• 認証レイヤー
• 本人確認を行う認証器に関しての規定も細かい
• Attestationなどの検証も細かく指定されている
• 認証に特化したエコシステムやフレームワークを厳密に決めている
• Self-issued
• 認証を行っているがあくまでID連携のレイヤー拡張機能
• ID Tokenを検証に使用(主だったやり取りは全部トークンに内包)
• トークンのやり取りの規定が細かい

14. (個人的な)結論
• FIDOは認証すること自体が目的だけれどもSelf-
issuedはID連携することが目的
手段(技術)は似ているが
そもそもの目的が違う！

15. FIDOとSelf-issuedの棲み分け
• 技術的な優位性で棲み分けを考えるよりも標準
仕様におけるエコシステム、関係企業の導入度
合い、既存システムへの導入難易度、ユーザー
(この場合はサードパーティも含む)インパクトな
どを考えたほうが良いと思います。

16. ここまでは僕の解釈でした
• 一応まとめてはみたのですが、本当にそうなの
か . . .
• 来場してくださっている皆さんのご意見も聞き
たいです！！