FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

FIDO技術のさらなる広がり

FIDOアライアンス東京セミナー（2015年11月20日）

ヤフー株式会社 Yahoo! JAPAN 研究所 上席研究員

五味 秀仁

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

FIDOの目指す認証モデル

2

利便性

（Usability）

安全性

（Security）

ID:

Pwd:

パスワード

PIN

１２３４

308934

OTP (One-Time Password) 強

弱

良 悪

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

コンセプト： 認証の部品化

3

サービス 2

サービス 1

新規サービス

サービス 3

FIDO標準プロトコル・メッセージ 指紋

顔

虹彩

USBキー

SIMカード

新規認証手段

プラグイン的に認証を追加することで、強固な認証を実現

FIDO Client

（クライアント） Authenticator

（認証器）

FIDO Server

（サーバー）

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

公開鍵暗号方式を用いたオンライン認証

4

ユーザー

ユーザーを検証し、 秘密鍵で署名

FIDO認証は、認証器においてユーザーの秘密鍵が安全に保管されていることを確認（検証）することによって実現。

公開鍵で 署名を検証

公開鍵 秘密鍵

FIDO認証 ユーザー検証

FIDOクライアント FIDOサーバー

認証器

ユーザー アイデンティティ

ユーザー検証結果 + 署名

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

振り返り: FIDO 1.X

5

• FIDO UAF 1.X • 端末備え付けのAuthenticatorで、パスワードなし認証

• FIDO U2F 1.X • 主要ブラウザでの、パスワード認証、および、セキュリティキーによる第2認証（USB、Bluetooth、NFC経由）

FIDO クライアント・認証器 FIDOサーバー

FIDO 1.X は、既に、製品・サービスを含むエコシステムを構築。 「認証のあり方」を変えた。

PayPal

Google

NTT DOCOMO

Bank of America

Dropbox

GitHub

FIDO 1.X を実装した製品・サービス

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

1人複数デバイス・プラットフォーム環境

6

各個人が、多様なデバイス・プラットフォームをコンテキスト(状況)に応じて使い分ける

個人の認証に関する体験(UX)は、認証器に依存し、同じ認証器を用いても、デバイスやプラットフォームごとにばらばらになる可能性あり。

ウェアラブル機器 タブレット

PC

スマートフォン

テレビ

カード セットトップボックス

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

FIDOは プラットフォームの認証を統一します

7

ハードウェアデバイス

スマートフォン PC タブレット カード スマートTV セットトップボックス など

ソフトウェアプラットフォーム

FIDOは、統一化された認証インターフェースを提供し、ユビキタスコンピューティングへのサポートに注力します。

ブラウザー - IE/Edge - Chrome - Firefox - Safari - など

OS

- Windows - Android - MacOS - iOS - など

統一化された認証インターフェース

ユーザー

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

FIDO 2.0 ユビキタス環境における

プラットフォームのための技術

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

FIDO 2.0 のゴール

9

主要なプラットフォーム (ブラウザ、OS)に対するサポート

Chrome IE/Edge Firefox Safari など

ブラウザー

OS Windows Android MacOS iOS など

FIDO 2.0 サーバー FIDO 2.0 クライアント・認証器

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

FIDO 2.0 の新技術仕様

10

• Web API • Key Attestation Format • Signature Format

• EAP (External Authenticator Protocol)

Webプラットフォーム API仕様:

デバイス間連携仕様:

抽象的なAPIを通じたメッセージの通信

クライアントと外部認証器間の通信

*API: Application Programming Interface

ブラウザでの普及を想定し、

標準化団体W3Cへ仕様を提案

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

FIDO 2.0 概観

11

ユーザーデバイス

OS/ブラウザー (FIDOクライアント)

RP サーバー RPアプリケーション

Formats - Signature - Key Attestation

Web API FIDO サーバー

External Authenticator Protocol

サーバー

認証器

認証器

*RP: Relying Party

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

Web API （FIDO 2.0 クレデンシャルの操作）

12

ウェブページがブラウザーのスクリプトから、FIDO 2.0準拠の強固で、暗号を用いて生成されたクレデンシャル（認証情報）にアクセスするためのAPIを提供。

(1) サービス要求

(2) 認証要求

(3) クレデンシャル操作の

要求

FIDO 2.0 クレデンシャル

FIDOが規定する認証に必要とする情報

（秘密鍵、従来なら、パスワードに該当）

認証器

(5) 暗号を用いた証明の

応答

(4) クレデンシャルの取扱い

ブラウザー サーバー

Java スクリプトによる API呼び出し

ユーザー

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

Web API のユースケース (1)

13

(3) クレデンシャル生成

要求

認証器

(5) クレデンシャル情報の応答

(公開鍵、鍵情報 (署名つき) など)

(4) クレデンシャル生成 秘密鍵

公開鍵

認証器の登録

ブラウザー サーバー

「この機器（認証器）をサーバーに登録しますか？」 - ユーザーによる明示的な操作（ジェスチャー）

- 秘密鍵・公開鍵のペアを生成することを承認（確認）

(1) サービス要求

(2) 登録要求 Java スクリプトによる API呼び出し

ユーザー

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 14

Web API のユースケース(2)

(1) サービス要求

(2) 認証要求

認証器

(5) アサーション応答

(署名つきチャレンジ ＋ その他データ)

(4) クレデンシャルの検索 秘密鍵

（保管済み）

登録済み認証器を用いた認証

(3) FIDO認証要求

公開鍵

（登録済み）

サーバー ブラウザー

「この機器（認証器）を用いて認証しますか？」 - ユーザーによる明示的な操作（ジェスチャー）

- 既存のクレデンシャルを利用することを承認（確認）

Java スクリプトによる API呼び出し

ユーザー

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

Key Attestation Format

15

• 認証器の信頼性を証明するための情報のデータ構造を定義。

• 秘密鍵の信頼性、すなわち、どのように鍵が管理されているかに関して、認証器はサーバーに伝える。

• 具体的な個別の環境（TPMやAndroidなど）を利用する場合を規定（プロファイル）。

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

Signature Format

16

• FIDO 2.0準拠クレデンシャル用の署名フォーマット。 • FIDO 2.0準拠クレデンシャルを生成する秘密鍵を保有していること、および、そのクレデンシャルを生成したクライアントや認証器などのコンテキストに関する情報をサーバーに適切に伝える。

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

EAP (External Authenticator Protocol)

17

(3) クレデンシャル操作の

要求

外部認証器

ブラウザー

(4) クレデンシャルの取扱い

秘密鍵

ユーザーのデバイス

ユーザーのデバイスと別デバイス

• 外部認証器とクライアント・プラットフォーム間の通信プロトコルを規定。

• 具体的な通信路（USB/Bluetooth/NFCなど）の適用が可能。

Java スクリプトによる API呼び出し

USB/Bluetooth/NFC トランスポートバインディングを規定

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

EAP のユースケース

18

秘密鍵

Bluetooth

ユーザーは、自らの保有するデバイスを認証器として用い、デバイスをまたがって認証できる。（特定のデバイスに認証機能を集約させることができる。）

（例）PC上のアプリケーション利用時の認証を、スマートフォンで行う。

公開鍵

サーバー

PC (クライアント)

スマートフォン (外部認証器)

FIDO 認証

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

まとめ

• FIDO 認証

• 認証の部品化、公開鍵暗号方式を採用。

• FIDO 1.X の実装は、既にFIDOエコシステムを構築、市場に普及。

• FIDO 2.0: プラットフォーム（ブラウザやOS）によるネイティブサポートのための仕様

• Web プラットフォーム API: W3Cへ提案。

• EAP: クライアントでのアプリケーションを、外部デバイスである認証器を用いて認証。

19

FIDO 2.0 技術を通して、ユビキタスコンピューティングにおける認証をサポートし、エコシステムを拡張していきます。

FIDO Seminar in Tokyo 11/20/2015 Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved.

ご清聴ありがとうございました