FIDOの仕組み

FIDO（Fast IDentity Online）Allianceは、インターネット上で強力な認証デバイスをサポートするという問題を解決し、ユーザー名とパスワードの作成と記憶を余儀なくされるユーザーの生活を簡素化するために2012年7月に設立されました。 FIDO Allianceは、パスワードの依存関係に取って代わり、インターネットサービスのユーザーの安全な認証を保証するメカニズムのセットを定義する仕様を開発することにより、認証により現在の状況を変える予定です。 ブラウザのデバイスおよびプラグインセキュリティの新しい標準により、任意のWebサイトまたはクラウドベースのアプリケーションが、既存の有望なデバイスの広い範囲と対話して、安全なユーザー認証を保証できます。



ユーザーの安全な操作を確保するために、FIDOプロジェクトはハードウェア、ソフトウェア、およびインターネットサービスを組み合わせています。







誰かがFIDOに慣れていない場合、サイト「How FIDO Works」のセクションの翻訳は以下のとおりです。 そして今、少しコメントを。



私たちのチームは、 Webリソースでのハードウェア認証のためのソリューションを開発しました。 このソリューションは非常に成功し、ワークフローシステムとSaaSライセンスメカニズムで使用されました。 FIDOプロジェクトの技術的な部分は開発と非常によく似ており、非常に実行可能です。 ただし、FIDO Webサイトの説明から、彼らが何をどのようにすればよいのか明確に理解していないことが明らかになります。 そして、コンセプト自体は多くの疑問を提起します。



安全性



FIDO Allianceは、次の認証デバイス配布メカニズムを想定しています。 生産段階で、デバイスは識別番号とシークレットを受け取ります。 この情報は、製造業者によってFIDOリポジトリに配置されます。 新しいユーザーを登録するとき、サービスはデバイス識別番号を要求し、この番号からFIDOリポジトリから認証中にユーザーを確認するために必要なデータを受け取ります。 このデータは、検証キャッシュWebサービスによってキャッシュされ、FIDOリポジトリの負荷が軽減されます。



残念ながら、使用されている暗号化アルゴリズムとプロトコルについては何も言われていません。 ただし、間接的な指示によって（テキストでOTPという用語が使用され、リポジトリのスキームに従って）、対称アルゴリズムの使用が計画されていると想定できます。 私にとって、このソリューションは少し時代遅れのようです。 リポジトリが明らかにしているはずの対称キーの安全な配布は疑わしいようです。 物事の論理によると、各デバイスは、新しいインターネットサービスに登録するときに、新しいキーを独自に生成する必要があります。 つまり、サービスごとに独自のキーがあり、グローバル識別番号はありません。 さらに、秘密キーをサーバーに保存しないために、非対称アルゴリズムを使用するのが妥当と思われます。



FIDOでは、認証に2つの主要なタイプのデバイスを使用します。 これらの用語では、これらは識別トークンと認証トークンです。 最初のオプションでは、所有者認証は必要ありません。 つまり、デバイスが接続されている間、認証はユーザーに対して透過的です。 間違いなく便利です。 ただし、このメカニズムは、デバイスにアクセスできる人なら誰でも使用できます。たとえば、妻は夫の通信を読むことができます。 2番目の要因を拒否することは不可能だと思います。



プライバシー



悲しいことに、グローバル識別子を使用すると、デバイス番号によって異なるアカウント間の接続を構築することもできますが、誰もがそれを気に入るとは限りません。 現在、インターネットのプライバシーには深刻な問題があり、このアプローチはこの問題を悪化させます。 グローバル識別子は存在すべきではないように見えますが、一般的には必要ありません。



アクセス回復



この概念は、ハードウェアデバイスが失われた場合の相互作用のメカニズムについては何も述べていません。 この問題に対する便利で安全な解決策は、テクニカルサポートの負荷を大幅に増加させる可能性があるため、非常に重要です。



PR



このソリューションは、インターネット上で商業活動を行う一部のユーザーから明らかに需要があります。 ただし、強力な認証が広く普及しているためには、セキュリティを確保するだけでなく、便利でファッショナブルなソリューションを提供する必要があります。 開発したソリューションの普及は、このプロジェクトの最も高価な部分の1つになる可能性があります。 この点で、このアライアンスへの参加は開発者だけでなく、PayPalやGoogleなどのサービスへの参加も非常に勇気づけられます。



そして、これが翻訳です。

FIDOはどのように機能しますか？

FIDO認証システム



ユーザーは、FIDOオーセンティケーターまたはトークン（ FIDOメカニズムをサポートするハードウェア認証デバイス-トランスレーターコメント ）を持ち、それらを選択したか、サービスを使用するためにユーザーに発行されます。 たとえば、バイオメトリックスキャナーやパスワードアクセスを備えたUSBメディアなどのデバイス。 ユーザーは、要件に最適なFIDO認証システムのタイプを選択できます。



FIDO認証システムは、2つの主なオプションで発行されます。



識別トークンには一意のIDがあり、識別子はユーザーのインターネットアカウントにリンクされます。 アカウントにバインドした後、ユーザー側でのアクションを必要とせずに、識別子としてサーバーで使用できるようになります。 したがって、1つの認証要素のみが提供されます。

認証トークンでは、ユーザーがトークンの正当な所有者であることを証明するために何らかのアクションを実行する必要があります。 これらのアクションには、パスワードの入力、PINの入力、または生体認証データの提供が含まれます。 これらのオーセンティケーターは、「あなたが持っているもの」と「あなたが知っていること」の原則、または「あなたが誰であるか」という生体認証要素を使用した二要素ユーザー認証を提供します。



ユーザーがFIDOオーセンティケーターをWebリソースアカウントに接続すると、オーセンティケーター、証明書利用者、および検証キャッシュ間に接続が確立されます。 接続の作成後、ワンタイムパスワード（OTP）を使用して、サブスクライバーを確認します。 OTPパスワードは1回しか使用されないため、誰かがシステムへの侵入を伴うセッションをキャプチャしたり、インターネットトラフィックをリッスンしたりすると、再生攻撃に使用できません。

各認証システムには、そのIDを一意に識別して検証できる組み込みのIDと初期値があります。 暗号化操作はオーセンティケーターで実行されます。 したがって、マシンがマルウェアに感染している場合でも、FIDO認証システムは信頼できます。



FIDOプラグイン



ユーザーのブラウザーには、FIDOプラグインがあります。 プラグインは、ユーザーのシステムに接続されている利用可能なFIDO認証システムを認識することができます。 組み込みの認証システムとUSB経由のプラグインを含みます。



ユーザーがWebサイトに接続すると、ブラウザーはブラウザー情報の一部として利用可能なFIDO認証システムについてサーバーに通知します。 FIDOテクノロジーをサポートするサイトは、オーセンティケーターを認識し、それに応じて応答することができます。 受信した情報に基づいて、証明書利用者（Webサイト）は認証メカニズムを開始します。



FIDOプラグインは、次のようなさまざまなチャネルを介して配布できます。



ブラウザーアドオン - ブラウザー開発者は、ユーザーがダウンロードしてブラウザーに接続できるプラグインをアドオンとして使用できます。

FIDOオーセンティケーター -ユーザーが組み込みのUSBドライブを備えたFIDOオーセンティケーターを購入する場合、プラグインをその上に配置できます。

ベンダー -ベンダーは、新しいマシンでプラグインを配布したり、既存のマシンのソフトウェアアップデートにプラグインを含めることができます。 これらの更新により、適切なハードウェア機能を備えた既存のマシンでFIDO認証が有効になります。



デバイス固有のモジュール



特別なデバイスモジュール（DSM）は、ブラウザープラグインと対話し、ハードウェアFIDOトークンと対話します。 DSMは、プラグインコマンドを各タイプのトークンに固有のコマンドに変換します。 FIDOソフトウェアをプラグインとDSMに分割すると、幅広いハードウェアデバイスをサポートするユニバーサルブラウザープラグインを作成できます。 さらに、これにより、ハードウェアソリューションプロバイダーは、デバイスをサポートするために必要なソフトウェアの一部の開発のみに集中でき、ソフトウェアスタック全体の実装は不要になります。



証明書利用者/ウェブサイト



名前が示すように、証明書利用者は認証にトークンチェックを使用します。

Webサイトは、FIDOトークンの存在を認識し、それがアカウントに関連付けられているかどうかを判断し、関連付けられていない場合は、ユーザーに新しいトークンを自分のアカウントにバインドする機会を提供します。

たとえば、トークンがアカウントに関連付けられていると判断した場合、Webサイトは「FIDOでログイン」というメッセージをログインページに追加します。 トークンが指紋スキャナーとして識別されている場合、メッセージは「FIDOで入力するためにスワイプ」である場合があります。



サーバーポリシー、ユーザー設定、およびアカウント履歴に応じて、識別トークンはログインを大幅に簡素化できます。 Webサイトは既存のユーザーを識別し、FIDOトークンからの情報のみに基づいて、ログインウィンドウの代わりに「Welcome back Debbie！」と表示することができます。



検証キャッシュ



検証キャッシュは、トークンの信頼性を確認するために、トークンから受信した暗号化された情報とワンタイムパスワードをチェックします。 証明書利用者は検証キャッシュを使用して、各トークンから受信した情報を検証します。

依存パーティのサイトに検証キャッシュが存在すると、応答の遅延を回避するために、応答をより速く受信できるようになることに注意してください。 検証キャッシュは、トークンプロバイダーによって作成された新しいデバイスに関する更新をFIDOリポジトリから定期的に受信します。



FIDOリポジトリ



FIDOリポジトリは、トークン情報交換センターです。 トークン作成者は、リポジトリで生成された各FIDOトークンを報告します。 リポジトリに保存された情報は、トークンによって生成されたOTPを確認するために使用されます。 リポジトリは、FIDOを使用するすべてのサイトで検証キャッシュを定期的に更新します。 リポジトリは多数のサイトをサポートし、サービスが中断されないようにするための複製メカニズムを備えています。 Webサイトは複数のリポジトリを使用できます。



FIDOリポジトリは、開発者と協力して、トークンデータベースの関連性と可用性を確保します。 FIDOリポジトリを使用すると、Webサイトが各トークンプロバイダーと連絡を取ることができなくなります。 FIDOリポジトリに接続すると、既存のすべてのトークンに関する情報がWebサービスで利用可能になります。



使用例



ユーザー接続



新しいトークンを持つユーザーがFIDOテクノロジーをサポートするサイトに最初にアクセスすると、サイトはユーザーにFIDOトークンを自分のアカウントに添付して将来のセキュリティを強化することを提案します。 ユーザーのブラウザーに関する情報は、ユーザーにFIDOトークンがあることをサイトに通知し、サイトにトークンのタイプも通知します。 サイトがFIDOをサポートしている場合、バックグラウンドでトークンプラグインをポーリングします。 ポリシーに応じて、サイトはユーザーにFIDOトークンをアカウントに接続することを提案します。

手順はユーザー認証システムのタイプによって異なる場合がありますが、すべてのタイプは同じプラグインでサポートされます。

指紋スキャナー ：ユーザーはセンサー上で指をスワイプします。 オーセンティケーターは暗号化操作を実行し、データはDSMに送られ、次にブラウザープラグインに送られます。

パスワードで保護されたトークン ：ユーザーはトークンの正しいパスワードを入力します。

一意のデバイス識別子 ：これは認証トークンではないため、ユーザーは識別子を接続するために[OK]をクリックするだけです。



ユーザーがトークンの接続に同意し、必要に応じて認証すると、グローバルトークンIDとユーザーIDが暗号化され、サイトに返送されます。 サイトは検証キャッシュを使用してトークンを検証します。 トークンを確認した後、サイトは将来使用するために一意のトークンIDをユーザーアカウントに関連付けます。



ユーザー認証



ユーザーは、アカウントにトークンを添付した後、アカウントのログインとパスワードの代わりにトークンを使用できます。 以下に3つの例を示しますが、将来、FIDOはより広範なFIDOトークンをサポートする予定です。



指紋リーダー



ユーザーはWebサイトにアクセスし、アカウントは指紋リーダーでトークンに関連付けられています。

ブラウザは、ユーザーが認証用の指紋リーダーを備えたFIDOトークンを持っていることをサイトに通知し、WebサイトはFIDOをサポートする認証ページオプションをユーザーに提示します。 Webサイトに「指をスキャンしてFIDOでサインイン」というメッセージが表示される場合があります。ユーザーは指紋をスキャンします。 FIDOトークンはユーザーを認識します。 ユーザーの生体認証データは決して読者から離れません。 グローバルIDおよび認証データは暗号化され、DSMおよびプラグインを介してサイトに送り返されます。

サイトは、検証キャッシュを介して受信データをチェックします。 Webサイトは、グローバルに一意の識別子とユーザー識別子に基づいてユーザーを識別します。 したがって、ユーザーによるリーダー付きトークンの存在が最初の要因であり、生体認証の通過が2番目の要因であるため、2要素認証が提供されます。

ユーザーが複数のアカウントを持つ指紋リーダーでトークンを使用した場合、サイトはユーザーにアクセスしたいアカウントの名前を尋ねます。



パスワードで保護されたトークン



ユーザーはWebサイトにアクセスし、アカウントはパスワードで保護されたトークンに関連付けられています。 USBトークンまたはマザーボード（TPM）にインストールされたモジュールを使用できます。 ブラウザーは、ユーザーにパスワード付きのFIDOトークンがあることをサイトに通知し、WebサイトはFIDOテクノロジーを使用して認証ページを構成します。 Webサイトは、「FIDOを使用した安全なログインのためにここをクリック」メッセージをユーザーに表示する場合があります。

ユーザーが[FIDOログイン]ボタンをクリックすると、プラグインはトークンパスワードを入力するためのローカルウィンドウ（ブラウザーウィンドウではありません）を表示します。 このパスワードは、FIDOトークンでのローカル認証用です。 このパスワードはWebブラウザーからはアクセスできず、トークンでのみ送信する必要があります。

FIDOトークンはユーザーを認証します。 グローバルIDおよび認証データは暗号化され、DSMおよびプラグインを介してサイトに送り返されます。

サイトは、検証キャッシュを介して受信データをチェックします。 Webサイトは、グローバルに一意の識別子とユーザー識別子に基づいてユーザーを識別します。 したがって、2要素認証が提供されます。これは、トークンの可用性がユーザーの最初の要素であり、トークンからのパスワードの知識が2番目の要素であるためです。 ユーザーが複数のアカウントでトークンを使用した場合、サイトはユーザーにアクセスしたいアカウントの名前を尋ねます。



識別子



ユーザーはWebサイトにアクセスし、アカウントは識別トークンに関連付けられています。 これは、識別のみを提供するため、PINコードまたはパスワードの知識を必要としない組み込みハードウェア、追加のソフトウェア、またはハードウェアソリューションにすることができます。 ブラウザは、ユーザーが認証に使用できる識別トークンを持っていることをサイトに伝えます。 Webサイトはプラグインに資格情報を要求します。 サーバーとのデータ交換は、ユーザーの操作なしでバックグラウンドで行われます。 グローバルIDトークンIDは暗号化され、DSMおよびプラグインを介してサイトに送り返されます。

サイトは、検証キャッシュを介して受信データをチェックします。 Webサイトは、グローバルに一意の識別子に基づいてユーザーを識別します。 識別子に関連付けられているアカウントが1つだけの場合、ユーザーはパスワードなしで自分のアカウントにログインします。 このタイプの認証は1つの要素です。認証には識別子のみがあれば十分であるためです。

サイトポリシーで2要素認証が必要な場合、ユーザーはパスワードの入力を求められる場合があります。 2番目の要因として、追加のユーザー操作なしで、識別トークンがチェックされます。



新しいタイプの認証システム



FIDOの目標の1つは、デバイスの範囲を拡大することです。 プラグインのFIDOインターフェイスに一致するすべてのセキュリティデバイスは、コードを変更せずにすべてのWebサイトにアクセスできるようにする必要があります。 これにより、新しいタイプのトークンをシステムに簡単に接続できます。

新しいタイプの認証を追加するには、開発者はデバイス、DSMを作成し、プラグインでテストする必要があります。 次に、開発者は、新しいデバイスのテストに必要なデータをFIDOリポジトリに転送する必要があります。 リポジトリは、すべての検証キャッシュ依存者がデータを利用できるようにします。

新しい認証子が初めてサイトに表示されると、サイトは検証キャッシュを使用して認証子を検証します。 インタラクションはプラグインとDSMを介して行われるため、Webサイトは、これらのアクションの詳細を知らずに、ユーザーを認証するための追加のアクションを実行するようにユーザーに求めることがあります。 ユーザーが必要なアクションを実行すると、資格情報がユーザーアカウントに接続されます。