FIDO技術のさらなる広がり

(1)

FIDO技術のさらなる広がり

FIDOアライアンス東京セミナー（2015年11月20日）

ヤフー株式会社

Yahoo! JAPAN 研究所上席研究員

五味秀仁

(2)

FIDOの目指す認証モデル

2 利便性

（Usability）

安全性

（Security）

ID:

Pwd:

パスワード

PIN

１２３４

308934

OTP (One-Time Password)

強

弱

良

悪

(3)

コンセプト：認証の部品化

サービス 2

サービス 1

新規サービス

サービス 3

FIDO標準プロトコル・メッセージ

指紋

顔

虹彩

USBキー

SIMカード

新規認証手段

プラグイン的に認証を追加することで、強固な認証を実現

FIDO Client

（クライアント）

Authenticator

（認証器）

FIDO Server

（サーバー）

(4)

公開鍵暗号方式を用いたオンライン認証

4 ユーザー

ユーザーを検証し、

秘密鍵で署名

FIDO認証は、認証器においてユーザーの秘密鍵が安全に保管

されていることを確認（検証）することによって実現。

公開鍵で

署名を検証

公開鍵

秘密鍵

FIDO認証

ユーザー検証

FIDOクライアント

_{FIDOサーバー}

認証器

ユーザー

アイデン

ティティ

ユーザー検証結果

+ 署名

(5)

振り返り: FIDO 1.X

• FIDO UAF 1.X

• 端末備え付けのAuthenticatorで、パスワードなし認証

• FIDO U2F 1.X

• 主要ブラウザでの、パスワード認証、および、セキュリティキーによる第2認証

（USB、Bluetooth、NFC経由）

FIDO クライアント・認証器

FIDOサーバー

FIDO 1.X は、既に、製品・サービスを含むエコシステムを構築。

「認証のあり方」を変えた。

PayPal

Google

NTT DOCOMO

Bank of America

Dropbox

GitHub

FIDO 1.X を実装した製品・サービス

(6)

1人複数デバイス・プラットフォーム環境

6 各個人が、多様なデバイス・プラットフォームをコンテキスト(状況)に応じて使い分ける

個人の認証に関する体験(UX)は、認証器に依存し、同じ認証器を用い

ても、デバイスやプラットフォームごとにばらばらになる可能性あり。

ウェアラブル機器

タブレット

PC

スマートフォン

テレビ

カード

セットトップボックス

(7)

FIDOはプラットフォームの認証を統一します

ハードウェアデバイス

スマートフォン

PC

タブレット

カード

スマートTV

セットトップボックス

など

ソフトウェアプラットフォーム

FIDOは、統一化された認証インターフェースを提供し、

ユビキタスコンピューティングへのサポートに注力します。

ブラウザー

- IE/Edge

- Chrome

- Firefox

- Safari

- など

OS

- Windows

- Android

- MacOS

- iOS

- など

統一化された認証インターフェース

ユーザー

(8)

FIDO 2.0

ユビキタス環境における

(9)

FIDO 2.0 のゴール

主要なプラットフォーム (ブラウザ、OS)に対するサポート

Chrome

IE/Edge

Firefox

Safari

など

ブラウザー

OS

Windows

Android

MacOS

iOS

など

FIDO 2.0 サーバー

FIDO 2.0 クライアント・認証器

(10)

FIDO 2.0 の新技術仕様

10 • Web API

• Key Attestation Format

• Signature Format

• EAP (External Authenticator Protocol)

Webプラットフォーム API仕様:

デバイス間連携仕様:

抽象的なAPIを通じたメッセージの通信

クライアントと外部認証器間の通信

*API: Application Programming Interface

ブラウザでの普及を想定し、

(11)

FIDO 2.0 概観

ユーザーデバイス

OS/ブラウザー

(FIDOクライアント)

RP サーバー

RPアプリケーション

Formats

- Signature

- Key Attestation

Web API

FIDO サーバー

External Authenticator Protocol

サーバー

認証器

(12)

Web API （FIDO 2.0 クレデンシャルの操作）

12 ウェブページがブラウザーのスクリプトから、FIDO 2.0準拠の強固で、

暗号を用いて生成されたクレデンシャル（認証情報）にアクセスする

ためのAPIを提供。

(1) サービス要求

(2) 認証要求

(3) クレデンシャル操作の

要求

FIDO 2.0 クレデンシャル

FIDOが規定する認証に必要とする情報

（秘密鍵、従来なら、パスワードに該当）

認証器

(5) 暗号を用いた証明の

応答

(4) クレデンシャルの取扱い

ブラウザー

サーバー

Java スクリプトによる

API呼び出し

ユーザー

(13)

Web API のユースケース (1)

(3) クレデンシャル生成

要求

認証器

(5) クレデンシャル情報の応答

(公開鍵、鍵情報 (署名つき) など)

(4) クレデンシャル生成

秘密鍵

公開鍵

認証器の登録

ブラウザー

サーバー

「この機器（認証器）をサーバーに登録しますか？」

- ユーザーによる明示的な操作（ジェスチャー）

- 秘密鍵・公開鍵のペアを生成することを承認（確認）

(1) サービス要求

(2) 登録要求

Java スクリプトによる

API呼び出し

ユーザー

(14)

14 Web API のユースケース(2)

(1) サービス要求

(2) 認証要求

認証器

(5) アサーション応答

(署名つきチャレンジ＋その他データ)

(4) クレデンシャルの検索

秘密鍵

（保管済み）

登録済み認証器を用いた認証

(3) FIDO認証要求

公開鍵

（登録済み）

サーバー

ブラウザー

「この機器（認証器）を用いて認証しますか？」

- ユーザーによる明示的な操作（ジェスチャー）

- 既存のクレデンシャルを利用することを承認（確認）

Java スクリプトによる

API呼び出し

ユーザー

(15)

Key Attestation Format

• 認証器の信頼性を証明するための情報のデータ構造

を定義。

• 秘密鍵の信頼性、すなわち、どのように鍵が管理されて

いるかに関して、認証器はサーバーに伝える。

• 具体的な個別の環境（TPMやAndroidなど）を利用

する場合を規定（プロファイル）。

(16)

Signature Format

16 • FIDO 2.0準拠クレデンシャル用の署名フォーマット。

• FIDO 2.0準拠クレデンシャルを生成する秘密鍵を保有し

ていること、および、そのクレデンシャルを生成したク

ライアントや認証器などのコンテキストに関する情報を

サーバーに適切に伝える。

(17)

EAP (External Authenticator Protocol)

(3) クレデンシャル操作の

要求

外部認証器

ブラウザー

(4) クレデンシャルの取扱い

秘密鍵

ユーザーのデバイス

ユーザーのデバイスと別デバイス

• 外部認証器とクライアント・プラットフォーム間の通信プロトコルを規定。

• 具体的な通信路（USB/Bluetooth/NFCなど）の適用が可能。

Java スクリプトによる

API呼び出し

USB/Bluetooth/NFC トランスポートバインディングを規定

(18)

EAP のユースケース

18 秘密鍵

Bluetooth

ユーザーは、自らの保有するデバイスを認証器として用い、デバイスをまたがって認証できる。

（特定のデバイスに認証機能を集約させることができる。）

（例）PC上のアプリケーション利用時の認証を、スマートフォンで行う。

公開鍵

サーバー

PC (クライアント)

スマートフォン

(外部認証器)

FIDO 認証

(19)

まとめ

• FIDO 認証

• 認証の部品化、公開鍵暗号方式を採用。

• FIDO 1.X の実装は、既にFIDOエコシステムを構築、市場に普及。

• FIDO 2.0: プラットフォーム（ブラウザやOS）によるネイティブサポートのための仕様

• Web プラットフォーム API: W3Cへ提案。

• EAP: クライアントでのアプリケーションを、外部デバイスである認証器を用いて認証。

FIDO 2.0 技術を通して、ユビキタスコンピューティングにおける

認証をサポートし、エコシステムを拡張していきます。

(20)

FIDO技術のさらなる広がり

FIDO技術のさらなる広がり

FIDOアライアンス東京セミナー（2015年11月20日）

ヤフー株式会社

Yahoo! JAPAN 研究所 上席研究員

五味 秀仁

FIDOの目指す認証モデル

2

利便性

（Usability）

安全性

（Security）

ID:

Pwd:

パスワード

PIN

１２３４

308934

OTP (One-Time Password)

強

弱

良

悪

コンセプト： 認証の部品化

サービス 2

サービス 1

新規サービス

サービス 3

FIDO標準プロトコル・メッセージ

指紋

顔

虹彩

USBキー

SIMカード

新規認証手段

プラグイン的に認証を追加することで、強固な認証を実現

FIDO Client

（クライアント）

Authenticator

（認証器）

FIDO Server

（サーバー）

公開鍵暗号方式を用いたオンライン認証

4

ユーザー

ユーザーを検証し、

秘密鍵で署名

FIDO認証は、認証器においてユーザーの秘密鍵が安全に保管

されていることを確認（検証）することによって実現。

公開鍵で

署名を検証

公開鍵

秘密鍵

FIDO認証

ユーザー検証

FIDOクライアント

FIDOサーバー

認証器

ユーザー

アイデン

ティティ

ユーザー検証結果

+ 署名

振り返り: FIDO 1.X

• FIDO UAF 1.X

• 端末備え付けのAuthenticatorで、パスワードなし認証

• FIDO U2F 1.X

• 主要ブラウザでの、パスワード認証、および、セキュリティキーによる第2認証

（USB、Bluetooth、NFC経由）

FIDO クライアント・認証器

FIDOサーバー

FIDO 1.X は、既に、製品・サービスを含むエコシステムを構築。

「認証のあり方」を変えた。

PayPal

Google

NTT DOCOMO

Bank of America

Dropbox

GitHub

FIDO 1.X を実装した製品・サービス

Yahoo! JAPAN 研究所上席研究員

五味秀仁

コンセプト：認証の部品化

_{FIDOサーバー}

FIDOはプラットフォームの認証を統一します