目次 1. 既存ワンタイムパスワード方式の課題 2.IOTP の特徴 3.IOTP の仕様 4. 安全性 可用性評価 5. 実施例 6. 知的所有権情報 7. まとめ 1 All Rights Reserved,Copyright 日本ユニシス株式会社

無限ワンタイムパスワード認証方式

Infinite OneTime Password：IOTP

平成22年 2月 1日

日本ユニシス株式会社

八津川 直伸

CRYPTREC提出資料８ 説明会発表資料

目次

１．既存ワンタイムパスワード方式の課題

２．IOTPの特徴

３．IOTPの仕様

４．安全性、可用性評価

５．実施例

６．知的所有権情報

７．まとめ

１．既存ワンタイムパスワード方式の課題

(1) 共有シークレットの漏洩

第三者または悪意の内部者による「なりすまし」が可能。

(2) オフライン鍵検索攻撃の脅威

第三者が盗聴等で入手したパスワードから共有シークレットを推測可能。

(3) 許容ウィンドウ管理が必要

カウンタ同期方式、時刻同期方式は、カウンタ、時刻の許容ウィンドウ管理が必要。

(4) 許容ウィンドウ逸脱時の機能不全（致命的同期はずれ）

許容ウィンドウを逸脱すると認証処理が不能となる。

(5) その他

時刻同期方式のSecurIDは仕組みが非公開なので安全性不明。上記の課題は同様 にあると推察される。なお、RFC3552にオフライン鍵検索攻撃に対して脆弱性である との記述あり。 既存のチャレンジ＆レスポンス方式、カウンタ同期方式、時刻同期方式にはいずれも 以下の課題がある。

１．既存方式の課題（チャレンジ＆レスポンス方式：CHAP）

クライアント サーバ 認証要求 チャレンジ（乱数） レスポンス 認証結果 チ ャ レ ン ジ と 共 有シークレットを ハッシュ処理 チ ャ レン ジ と共 有 シークレットをハッ シュ処理し、レスポ ンスと比較 ・乱数生成関数 ・ハッシュ関数 ・共有シークレット ・ハッシュ関数 ・共有シークレット 共有シークレットの漏洩 サーバ上に共有シークレットが保存されているので、第三者がなんらかの方法でサーバ に侵入し、あるいはサーバ管理者が悪意でこの情報を得ることができれば、チャレンジに 対する正しいレスポンスが生成できるので、クライアントになりすますことができる。

１．既存方式の課題（カウンタ同期方式：HOTP）

クライアント サーバ パスワード送信 認証結果 共有シークレット とカウンタをハッ シュ処理 ・ハッシュ関数 ・共有シークレット ・カウンタ ・ハッシュ関数 ・共有シークレット ・カウンタ 共有シークレットと カウンタをハッシュ 処 理 し 、 受 信 し た パスワードと比較 (a)クライアントの利用者は、カウンタを任意に進めることが可能なので、サーバはカウンタの 先取り同期ウィンドウ（the look-ahead synchronization window）を管理する必要がある。 (b)先取り同期ウィンドウを逸脱すると致命的な同期はずれとなり、以降認証処理が不能とな

る。

１．既存方式の課題（時刻同期方式：TOTP）

クライアント サーバ パスワード送信 認証結果 共有シークレット と 時 刻を ハッ シ ュ処理 ・ハッシュ関数 ・共有シークレット ・時刻生成器 ・ハッシュ関数 ・共有シークレット ・時刻生成器 共有シークレットと 時 刻 をハ ッ シュ 処 理し、受信したパス ワードと比較 (a)クロック精度の違いによりクライアントとサーバ間で時刻が前後にずれるので、前方お よび後方の許容時間ステップウィンドウ（the forward and backwards time-step

window）を管理する必要がある。 (b)時刻のずれがこのウィンドウ値を超えると致命的な同期はずれとなり、以降認証処理 が不能となる。 (c)たとえクライアントとサーバ間で時刻が正確に同期していたとしても、時間ステップ切 り替わり直前に生成されたパスワードがサーバに到達したとき、ネットワークの伝送遅 延等によって次の時間ステップに切り替わっていると認証が失敗する。 (d)サーバ上に共有シークレットが保存されているので、CHAPと同様の課題がある。

２．IOTPの特徴



公開鍵暗号を利用したワンタイムパスワード認証方式。



盗聴などによって得たパスワードを再利用できない。



認証サーバに秘密の情報がないので、パスワードクラックが不可能。



悪意の内部者による内部犯罪をも防止。



パスワードに対しオフライン鍵検索攻撃が現実的に不可能。



パスワードの計算量的安全性が保証されている。



IOTP認証方式の仕組み自体は未来永劫陳腐化することがない。



一回限り有効なパスワードを無限に生成できる。



簡単な認証処理シーケンス



再同期化が確実

に行える。（既存方式のような致命的同期はずれが無い） 

様々なプラットフォームに適用可能

３．IOTPの仕様（基本認証処理）

… … 比較結果が＝ なら種を更新 … … 種（Seed） サーバ （認証者） クライアント （被認証者） 認証情報（1回目） 認証結果：成功 S1

Repeat for ever

種（Seed） 認証結果：成功 Sn S0 Ks Se S0 比較 − S0 Old Current Sd Kp S1 比較 S0 S1 Old Current Sd Kp S1 _Ks Se 認 証 結 果 が 成 功なら種を更新 Sn-1 Ks Se 認証結果：成功 S2 … … Kp Sn-1 比較 Sn-2 Sn-1 Old Current Sd 比較結果が＝ なら種を更新 認 証 結 果 が 成 功なら種を更新 … … …… …_… 認証情報（2回目） 認証情報（n回目） ① ② _③ ④ ⑤ ⑥ ⑦ ⑧ … … 比較結果が＝ なら種を更新 比較結果が＝ なら種を更新 … … 種（Seed） サーバ （認証者） クライアント （被認証者） 認証情報（1回目） 認証結果：成功 S1 認証結果：成功 認証結果：成功 S1 S1

Repeat for ever

種（Seed） 認証結果：成功 Sn 認証結果：成功 認証結果：成功 Sn S0 Ks Se Ks Ks Se Se S0 比較 − S0 Old Current Sd _S0 比較 − S0 Old Current S0 比較 S0 比較 − S0 − S0 Old Current Old Current Sd Sd Sd Kp S1 比較 S0 S1 Old Current Sd Kp Kp S1 比較 S0 S1 Old Current Sd _S1 比較 S0 S1 Old Current S1 比較 S1 比較 S0 S1 S0 S1 Old Current Old Current Sd Sd Sd Kp Kp S1 _Ks Se Ks Ks Se Se 認 証 結 果 が 成 功なら種を更新 認 証 結 果 が 成 功なら種を更新 Sn-1 Ks Se Ks Ks Se Se 認証結果：成功 S2 認証結果：成功 認証結果：成功 S2 … … Kp Sn-1 比較 Sn-2 Sn-1 Old Current Sd Kp Kp Sn-1 比較 Sn-2 Sn-1 Sn-2 Sn-1 Old Current Old Current Sd Sd Sd 比較結果が＝ なら種を更新 比較結果が＝ なら種を更新 認 証 結 果 が 成 功なら種を更新 認 証 結 果 が 成 功なら種を更新 … … …… …_… 認証情報（2回目） 認証情報（n回目） ① ② _③ ④ ⑤ ⑥ ⑦ ⑧ ここで、各記号の意味は次のとおりである。 Ks： クライアントの秘密鍵 Kp： クライアントの公開鍵 Fe： 公開鍵暗号アルゴリズムの暗号化関数 Fd： 公開鍵暗号アルゴリズムの復号関数 Sn： ｎ回目の認証時においてクライアントがサーバに送信する認証情報 Sn-1： ｎ回目の認証時においてクライアントとサーバが共有する種 （注） S0：初期登録値 Sn：Sn-1 を Ks で暗号化したもの（但し，∞＞ｎ＞１）である。

３．IOTPの仕様（再同期化処理）

… … 認証結果が失敗でも再同期化 要求付きの場合は種を更新 S2→S3 タイムアウト等によるリトライ … … 種（Seed） サーバ （認証者） クライアント （被認証者） 認証結果：失敗 (再同期化要求付き) 認証情報（3回目） 種（Seed） S2 _Ks Se 認証結果の紛失 S3 Kp S2 比較 S1 S2 Old Current Sd S3 Kp S2 比較 S2 S3 Old Current Sd 比較結果＝ なら種を更新 Currentとの比較が≠ ならOldと比較し、それ がOKなら、同期回復 要求付きの認証結果 を返す。この場合、種 を更新しない。 認証結果：成功 S4 Kp S3 比較 S2 S3 Old Current Sd S3 _Ks Se … … 比較結果＝ なら種を更新 認証情報（3回目）再送 認証情報（4回目） 認 証 結 果 が 成 功なら種を更新 ★再同期化完了 ① _② ③ ④ ⑤

４．安全性、可用性評価（１／２）



安全性

(1) 盗聴した認証情報の再利用が不可能

盗聴などによって得たパスワードを再利用できない。

(2) サーバ情報の奪取による「なりすまし」が不可能

認証サーバにはパスワードを生成するための情報がないので、パスワード解析アタックが不可能。

(3) 認証者側の内部犯罪防止

認証サーバに存在する全ての情報を得ても、次回のパスワードを生成することができないの で、悪意の内部者による内部犯罪も防止できる。

(4) オフライン鍵検索攻撃が通用しない

パスワード生成に用いる種はランダムなビット列なので、辞書攻撃を併用したオフライン鍵検索攻撃 が通用しない。

(5) 計算量的安全性の保証

IOTP方式で生成したパスワードを偽造するには、生成に使用する公開鍵暗号の秘密鍵を推 測するしか方法がない。

４．安全性、可用性評価（２／２）



可用性

(1) 毎回異なる一回限り有効な認証情報を無限に生成可能 クライアントは無限に一回限り有効な認証情報を生成できる。 (2) 簡単な認証処理シーケンス 認証処理は一往復で完結。チャレンジ＆レスポンス方式のような複数の対話シーケンスを 持たない。また、カウンタ同期方式における先取りウィンドウ（the look-ahead synchronization window）管理や、時刻同期方式における前方および後方の許容時間ス テップウィンドウ（the forward and backwards time-step window）管理が不要である。 (3) 再同期化が確実で容易 カウンタ同期方式や時刻同期方式における致命的同期はずれが無く、確実な再同期化が 可能。 (4) 様々なプラットフォームで利用できる。 IOTPの認証APIをアプリケーションに提供することにより、様々なプラットフォーム上で IOTP認証方式が利用可能。 (5) IOTP認証方式の仕組み自体は未来永劫陳腐化しない。

５． 実施例

WebAP Webサーバ API IOTP 処 理 プ ロ グ ラムなど USBトークン 認証情報 認証結果（成功または失敗） （認証情報送信） （認証結果はhidden フィールドに格納） IOTP認証サーバ Web ブ ラ ウ ザ 監 視 プ ロ グラム Webブラウザ ウィンドウ HTML クライアントPC HTTPレスポンス HTTPリクエスト 認証情報検証 認証結果 公開鍵、種 認証情報 認証結果 秘密鍵、種 USBトークンには、秘密鍵、種、公開鍵暗号プログラム、IOTP処理プログラム、Webブラウザ監視プ ログラムなどを格納。 認証サーバには利用者毎に公開鍵と種が登録されており、認証サーバ（認証者）∼USBトークン （被認証者）間で認証処理を行う。

６．知的所有権情報



特許権に関する事項

１．日本国特許：第3595109号（2004年9月10日登録）

２．米国特許 ：第6148404号（2000年11月14日登録）



ライセンス方針

上記特許に関しては、本件応募技術（無限ワンタイムパスワード認証方

式）を使用するものに対して、相互主義の下、非排他的に、公益を考慮した

妥当な条件にて実施許諾する方針です。

７．まとめ

(1)既存方式の課題を全て解決し、高い安全性と可用性を備えたワンタ

イムパスワード認証方式。

(2)使用する暗号アルゴリズムの強度に等しい計算量的安全性が保障

されたワンタイムパスワードを生成。

(3)毎回異なる一回限り有効なワンタイムパスワードを無限に生成可能。

(4)認証者側には各利用者固有の秘密情報が不要。

→ 外部の第三者のみならず認証サーバ側の内部悪意者による

不正行為をも防御可能

(5)処理シーケンスが簡単であるため、様々なプラットフォームにおいて

利用可能。

(6)IOTP認証方式の仕組み自体は未来永劫、陳腐化しない。