fido技術のさらなる広がり...スマートtv セットトップボックス など...
TRANSCRIPT
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
FIDO技術のさらなる広がり
FIDOアライアンス東京セミナー(2015年11月20日)
ヤフー株式会社 Yahoo! JAPAN 研究所 上席研究員
五味 秀仁
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
FIDOの目指す認証モデル
2
利便性
(Usability)
安全性
(Security)
ID:
Pwd:
パスワード
PIN
1234
308934
OTP (One-Time Password) 強
弱
良 悪
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
コンセプト: 認証の部品化
3
サービス 2
サービス 1
新規サービス
サービス 3
FIDO標準プロトコル・メッセージ 指紋
顔
虹彩
USBキー
SIMカード
新規認証手段
プラグイン的に認証を追加することで、強固な認証を実現
FIDO Client
(クライアント) Authenticator
(認証器)
FIDO Server
(サーバー)
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
公開鍵暗号方式を用いたオンライン認証
4
ユーザー
ユーザーを検証し、 秘密鍵で署名
FIDO認証は、認証器においてユーザーの秘密鍵が安全に保管されていることを確認(検証)することによって実現。
公開鍵で 署名を検証
公開鍵 秘密鍵
FIDO認証 ユーザー検証
FIDOクライアント FIDOサーバー
認証器
ユーザー アイデンティティ
ユーザー検証結果 + 署名
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
振り返り: FIDO 1.X
5
• FIDO UAF 1.X • 端末備え付けのAuthenticatorで、パスワードなし認証
• FIDO U2F 1.X • 主要ブラウザでの、パスワード認証、および、セキュリティキーによる第2認証(USB、Bluetooth、NFC経由)
FIDO クライアント・認証器 FIDOサーバー
FIDO 1.X は、既に、製品・サービスを含むエコシステムを構築。 「認証のあり方」を変えた。
PayPal
NTT DOCOMO
Bank of America
Dropbox
GitHub
FIDO 1.X を実装した製品・サービス
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
1人複数デバイス・プラットフォーム環境
6
各個人が、多様なデバイス・プラットフォームをコンテキスト(状況)に応じて使い分ける
個人の認証に関する体験(UX)は、認証器に依存し、同じ認証器を用いても、デバイスやプラットフォームごとにばらばらになる可能性あり。
ウェアラブル機器 タブレット
PC
スマートフォン
テレビ
カード セットトップボックス
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
FIDOは プラットフォームの認証を統一します
7
ハードウェアデバイス
スマートフォン PC タブレット カード スマートTV セットトップボックス など
ソフトウェアプラットフォーム
FIDOは、統一化された認証インターフェースを提供し、ユビキタスコンピューティングへのサポートに注力します。
ブラウザー - IE/Edge - Chrome - Firefox - Safari - など
OS
- Windows - Android - MacOS - iOS - など
統一化された認証インターフェース
ユーザー
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
FIDO 2.0 ユビキタス環境における
プラットフォームのための技術
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
FIDO 2.0 のゴール
9
主要なプラットフォーム (ブラウザ、OS)に対するサポート
Chrome IE/Edge Firefox Safari など
ブラウザー
OS Windows Android MacOS iOS など
FIDO 2.0 サーバー FIDO 2.0 クライアント・認証器
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
FIDO 2.0 の新技術仕様
10
• Web API • Key Attestation Format • Signature Format
• EAP (External Authenticator Protocol)
Webプラットフォーム API仕様:
デバイス間連携仕様:
抽象的なAPIを通じたメッセージの通信
クライアントと外部認証器間の通信
*API: Application Programming Interface
ブラウザでの普及を想定し、
標準化団体W3Cへ仕様を提案
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
FIDO 2.0 概観
11
ユーザーデバイス
OS/ブラウザー (FIDOクライアント)
RP サーバー RPアプリケーション
Formats - Signature - Key Attestation
Web API FIDO サーバー
External Authenticator Protocol
サーバー
認証器
認証器
*RP: Relying Party
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
Web API (FIDO 2.0 クレデンシャルの操作)
12
ウェブページがブラウザーのスクリプトから、FIDO 2.0準拠の強固で、暗号を用いて生成されたクレデンシャル(認証情報)にアクセスするためのAPIを提供。
(1) サービス要求
(2) 認証要求
(3) クレデンシャル操作の
要求
FIDO 2.0 クレデンシャル
FIDOが規定する認証に必要とする情報
(秘密鍵、従来なら、パスワードに該当)
認証器
(5) 暗号を用いた証明の
応答
(4) クレデンシャルの取扱い
ブラウザー サーバー
Java スクリプトによる API呼び出し
ユーザー
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
Web API のユースケース (1)
13
(3) クレデンシャル生成
要求
認証器
(5) クレデンシャル情報の応答
(公開鍵、鍵情報 (署名つき) など)
(4) クレデンシャル生成 秘密鍵
公開鍵
認証器の登録
ブラウザー サーバー
「この機器(認証器)をサーバーに登録しますか?」 - ユーザーによる明示的な操作(ジェスチャー)
- 秘密鍵・公開鍵のペアを生成することを承認(確認)
(1) サービス要求
(2) 登録要求 Java スクリプトによる API呼び出し
ユーザー
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 14
Web API のユースケース(2)
(1) サービス要求
(2) 認証要求
認証器
(5) アサーション応答
(署名つきチャレンジ + その他データ)
(4) クレデンシャルの検索 秘密鍵
(保管済み)
登録済み認証器を用いた認証
(3) FIDO認証要求
公開鍵
(登録済み)
サーバー ブラウザー
「この機器(認証器)を用いて認証しますか?」 - ユーザーによる明示的な操作(ジェスチャー)
- 既存のクレデンシャルを利用することを承認(確認)
Java スクリプトによる API呼び出し
ユーザー
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
Key Attestation Format
15
• 認証器の信頼性を証明するための情報のデータ構造を定義。
• 秘密鍵の信頼性、すなわち、どのように鍵が管理されているかに関して、認証器はサーバーに伝える。
• 具体的な個別の環境(TPMやAndroidなど)を利用する場合を規定(プロファイル)。
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
Signature Format
16
• FIDO 2.0準拠クレデンシャル用の署名フォーマット。 • FIDO 2.0準拠クレデンシャルを生成する秘密鍵を保有していること、および、そのクレデンシャルを生成したクライアントや認証器などのコンテキストに関する情報をサーバーに適切に伝える。
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
EAP (External Authenticator Protocol)
17
(3) クレデンシャル操作の
要求
外部認証器
ブラウザー
(4) クレデンシャルの取扱い
秘密鍵
ユーザーのデバイス
ユーザーのデバイスと別デバイス
• 外部認証器とクライアント・プラットフォーム間の通信プロトコルを規定。
• 具体的な通信路(USB/Bluetooth/NFCなど)の適用が可能。
Java スクリプトによる API呼び出し
USB/Bluetooth/NFC トランスポートバインディングを規定
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
EAP のユースケース
18
秘密鍵
Bluetooth
ユーザーは、自らの保有するデバイスを認証器として用い、デバイスをまたがって認証できる。(特定のデバイスに認証機能を集約させることができる。)
(例)PC上のアプリケーション利用時の認証を、スマートフォンで行う。
公開鍵
サーバー
PC (クライアント)
スマートフォン (外部認証器)
FIDO 認証
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
まとめ
• FIDO 認証
• 認証の部品化、公開鍵暗号方式を採用。
• FIDO 1.X の実装は、既にFIDOエコシステムを構築、市場に普及。
• FIDO 2.0: プラットフォーム(ブラウザやOS)によるネイティブサポートのための仕様
• Web プラットフォーム API: W3Cへ提案。
• EAP: クライアントでのアプリケーションを、外部デバイスである認証器を用いて認証。
19
FIDO 2.0 技術を通して、ユビキタスコンピューティングにおける認証をサポートし、エコシステムを拡張していきます。
FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.
ご清聴ありがとうございました