FIDO overview (in Japanese) presented at idcon vol.20 (2015/5/27)

1. 1
Yahoo! JAPANの
FIDOへの取り組み
ヤフー株式会社
Yahoo! JAPAN 研究所 上席研究員
五味 秀仁
#idcon vol.20 ∼またの名を #fidcon (FIDO特集)（2015年5月27日）

2. 2
パスワードの課題

3. 3
パスワードの課題
n 再利用可能（bearer tokenだから）
→ 漏えいすると使われてしまう
n 長いパスワードは覚えられない、入力が不便
→ 人の記憶に頼るのは難しい
上記課題に対する解決策の1つが
FIDO である

4. 4
FIDO概要

5. 5
FIDO Allianceの概要
n FIDO (Fast IDentity Online):
• オンライン認証時のセキュアな通信仕様の策定や推進を目的とした非営利団体。
n 設立経緯：
• 2012年7月：Nok Nok Labs、PayPalらの6社で設立。
• 2014年4月：Yahoo! JAPAN 加盟
• 2015年5月現在：約200団体加盟中
n 役割
• 技術仕様の策定 → 標準化団体への提出、(正式な) 標準化へ
- アライアンス自体は製品は出さない。メンバー企業ごとに実装。
• 適合性テストの実施 → 各社製品に対して認定 (FIDO-Certified/FIDO-Ready)
- 商標ライセンスの登録、認定ロゴの配布
• オピニオンリーダー、エコシステムの構築牽引

6. 6
メンバー企業
以下のページをご参照ください。
https://fidoalliance.org/membership/members/

7. 7
FIDOと認証手段
n 記憶 (Something you know): 本人のみが記憶するデータによる
• （例）パスワード、パスフレーズ、PIN など。
n 所持 (Something you have): 本人のみが所持している物による
• （例）ICカード、ワンタイムパスワードのトークンなど。
n 生体情報 (Something you are): 本人の特徴を表すデータによる
• （例）指紋、音声、虹彩、顔など。
(出典) オンライン本人認証方式の実態調査報告書 (IPA)
http://www.ipa.go.jp/files/000040778.pdf
FIDOの主な対象
認証の3要素
FIDOでは、記憶に頼る認証に代わり、
所持や生体情報による認証を採用。

8. 8
FIDOの技術仕様
n パスワード置き換え型: UAF (Universal Authentication Framework)
- パスワードなしで、生体・所持認証
- 採用企業: PayPal, Samsungなど
n パスワード補完型: U2F (Universal 2nd Factor)
- パスワード入力後、追加的に、生体・所持認証
- 採用企業: Google, Microsoft, Lenovoなど

9. 9
FIDO による認証の手順（イメージ）
デバイス上の認証 認証成功オンラインでの認証要求
パスワード置き換え型 (UAF 仕様)
パスワード補完型 (U2F 仕様)
生体情報の入力取引の詳細 完了
ID・パスワード入力 ドングル挿入、ボタン押下 完了

10. 10
技術仕様の状態
FIDO 仕様 1.0 (U2F & UAF) 公開 (2014/12/09)
(参考) https://fidoalliance.org/specifications

11. 11
FIDO Certified/Ready
FIDO仕様を実装した各社製品どうしで適合性・相互接続性検証テストを実施。
合格した製品に対して「FIDO-Certified/Ready」を認定し、ロゴの使用を許可。
(参考) https://fidoalliance.org/certification/fido-certified/
Yahoo! JAPAN の認定証

12. 12
FIDOエコシステムとメリット
認証業者
ユーザー
・使い勝手の向上
・セキュリティ・プライバシー
認証器ベンダー
・機器への搭載・採用
セキュリティベンダー
アプリベンダー
・セキュリティの向上
・ 開発コストの低減
コンピュータ
携帯端末 ベンダー
・強固なセキュリティの組み込み
・付加価値の向上

13. 13
FIDO Architecture

14. 14
UAF Architecture
Authenticator (認証器)
ブラウザ/アプリ
FIDO Client
ユーザー端末
Webアプリケーション
Relying Party
FIDO Server
UAF Protocol
Attestation Key
(登録用秘密 )
登録検証用
公開
Registration
Authentication
Confirmation
Deregistration
: FIDO-enabled Software,
Services & Components
Authentication Key
(認証用秘密 )
Metadata Service
認証検証用
公開

15. 15
FIDOの概念
(1) Pluggable authentication

16. 16
従来の認証
認証手段
指紋 SIM
カード
?
認証サーバー
サービス2サービス1 新サービスサービス3
1234
パスワード ハードウェア
トークン
サービスごとに認証手段が必要、コスト大、柔軟性低
サイロ構造：
サービスごとに
認証手段を設定

17. 17
FIDOの認証: プラグイン可能
認証手段
認証サーバー
サービス2サービス1 新サービスサービス3
プロトコルを標準化
指紋 音声 虹彩 USBキー SIMカード
?
その他
認証手段をプラグイン的に追加、多要素認証、認証の強化を実現
クライアント（端末）

18. 18
認証機能の分解
認証
サーバー
ユーザー
従来の認証
識別
検証
認証要求 ID・クレデンシャル
(パスワードや生体情報)
FIDOの認証
ユーザー
識別
検証
ID・検証結果認証要求
ユーザーの検証をローカルで実施、認証プロトコルから分離。
ネットワーク上に生体情報などの漏洩リスク減。
ID? 誰？
クレデンシャルは
正しい？
認証
サーバー

19. 19
FIDOの概念
(2) Trust model

20. 20
トラスト（信頼性）の課題
認証サーバーは、クライアントからの認証結果情報を受け入れてよいか？
認証サーバー
ユーザー
識別
検証
クライアント端末
認証結果情報

21. 21
Authenticator Registration
認証サーバー
ユーザー
識別
検証
クライアント端末
FIDO Server
Authenticator 登録用
秘密
登録用
公開 登録時に認証器の情報
の署名を検証
認証器のベンダーが生成・配布
Authenticatorが正規に認定されたものであることを保証

22. 22
Authentication using FIDO authenticator
認証サーバー
ユーザー
識別
検証
ユーザー端末
FIDO Server
Authenticator
認証用
秘密
認証用
公開
署名を検証
改ざんがないことを
確認して認証したと
みなす
認証結果情報を送付
登録されたAuthenticatorの秘密 を使った署名を対応する公開 で検証
SecureElementなどで
安全に保管する必要あり

23. 23
Channel Binding
認証サーバー
ユーザー
クライアント端末
FIDO Server
Authenticator
Server-Client間のChannelに強く紐付けられた認証結果情報を作成
→ MITMなどの攻撃に対する耐性
Client
Challenge
Challenge, Channel情報
認証後、Challenge, Channel情報
含む認証結果情報、署名作成
認証結果情報、署名
認証結果情報、署名

24. 24
FIDOの概念
(3) プライバシー

25. 25
プライバシー保護
n 生体情報をサーバー上に保管しない
n サービス間のリンク付けはない
n アカウント間でのリンク付けはない
認証サーバー
ユーザー
クライアント端末
FIDO Server
Authenticator
秘密
公開
公開 は、万が一漏えい
しても、サーバー側で廃棄
という対応が可能。

26. 26
FIDOとID連携の関係

27. 27
認証 (Authentication)
ID管理における機能の階層構造
登録 (プロビジョニング)
ID連携 (Federation)
シングルサインオン
個人属性共有 近年の標準化の
主要な対象
(SAML、OpenID、
OpenID Connect
など)
認証 (Authentication) FIDOの対象
FIDO: 課題のピース (認証) の部分を埋める取り組み
*ID: アイデンティティ。本人性。

28. 28
(従来) 分散型ID管理アーキテクチャでのID連携
既存のID連携仕様 (SAML/OpenID/OpenID Connectなど)
アサーション
(認証結果・個人属性)
ユーザー
アサーション発行機能 SP
(Service Provider)
トラスト (信頼)
認証
IdP (Identity Provider)
認証機能
サービス利用

29. 29
FIDOアーキテクチャとID連携
FIDO Server
FIDOの対象
IdP
SP
FIDOは、従来のID連携とは補完関係、ID連携を強化
トラスト
アサーション発行機能
Authenticator
ユーザー
トラスト
アサーション
(認証結果・個人属性)
FIDO Client
* Authenticator: 認証器

30. 30
FIDOの技術仕様
U2F (Universal 2nd Factor)

31. 31
FIDOの技術仕様
UAF (Universal Authentication Framework)

32. 32
登録 (Registration)
ユーザーが Authenticatorを FIDO Serverに登録する処理
FIDO ServerFIDO ClientAuthenticator
(1) 登録要求を促す要求
User
(2) Legacy認証要求
(3) Legacy認証応答(ログイン)
(4) 登録要求 (AppID, Policy,
Challenge, Username)
(5) 登録要求 (AppID, Challenge,
Username)
(6) Authenticator固有の
方法で認証要求
(7) 認証応答
(8) KRD (Key Registration Data)
Attestation Keyで署名
Attestation Key
(登録用秘密 )
(9) KRD 転送
Authentication Keyペア生成
KRD検証，
Authentication Key
公開 登録

33. 33
認証要求メッセージ（例）
{
"header”: {
"op":"Reg",
"appID":"https://uaf.yahoo.co.jp:8443/SampleApp/",
"upv":{"major":1,"minor":0},
"serverData":"75579B4564CB8C33E1B2189052DB8E89”
},
"challenge":"3fcea9181e258d928fb81525d77b68671aa97bb3",
"username":”gomi",
"policy":{
"accepted":[[{
"attestationTypes":[15879],
"authenticationAlgorithms":[1],
"assertionSchemes":["UAFV1TLV"]}]],
"disallowed”:[{
"aaid":"1234#5678"}]
}
}

34. 34
Key Registration Data (KRD) 情報
n Hash (Challenge)
n AAID (Authenticator Attestation ID)
n Public Key
n KeyID
n Registration Counter
n Signature Counter
n Signature (Attestation Key)

35. 35
認証 (Authentication)
ユーザーが Authenticatorを用いて認証する処理
FIDO ServerFIDO ClientAuthenticator
(1) 認証要求を促す要求
User
(2) 認証要求 (AppID, Policy,
Challenge)
(3) 認証要求 (AppID, Challenge)
(4) Authenticator固有の
方法で認証要求
(5) 認証応答
(6) Signed Data 生成，
Authentication Keyで署名
Authentication Key
(認証用秘密 )
(7) Signed Data 転送
Signed Data検証

36. 36
まとめ
n FIDO：次世代認証に関する非営利団体
• 認証にフォーカス、パスワードの課題を解決を目指す
• ユーザー・端末・チップベンダー・サービスを含むエコシステムの構
築を目指す
• FIDO-Certified認定による普及促進
n FIDOの概念：認証機能の部品化
• 多要素認証に対応、認証強度の向上を見込む
• ローカルな検証とユーザーの識別の分離
• 認証結果情報の通知を共通プロトコル化
• FIDOとID連携は補完関係
n FIDO技術：公開 暗号方式が基礎
• Authenticatorの検証を含んだ認証用 登録処理
• Authenticatorを用いた認証手段による(パスワードなしの)認証処理

37. 37
ご清聴ありがとうございました
コンタクト先: hgomi@yahoo-corp.jp