狠狠撸

狠狠撸Share a Scribd company logo

贵滨顿翱セキュリティ认定の概要と最新状况

FIDO Alliance
FIDO Alliance

TOKYO Seminar 2018 FIDOアライアンス SRWG共同座長、DOCOMO Innovations, Inc. セキュリティスペシャリスト ローレンス?ランドブレード

Software
1 of 15
Downloaded 12 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
All Rights Reserved | FIDO Alliance | Copyright 2018 FIDOのセキュリティ要件と 認証器のセキュリティ認定について 2018年12月 ローレンス?ランドブレード FIDOアライアンス SRWG共同座長 DOCOMO Innovations, Inc. セキュリティスペシャリスト
All Rights Reserved | FIDO Alliance | Copyright 20182 FIDOにおいて認証器のセキュリティ認定は重要 認証器ユーザー検証 FIDO認証 認証器は秘密鍵や 生体情報テンプレートを 格納 FIDOは生体情報、PIN、暗号鍵を守るため 認証器のセキュリティ実装に依存している
All Rights Reserved | FIDO Alliance | Copyright 20183 認定は信頼のエコシステムを構築する 信頼 サービス事業者: 消費者が購入した認証器を信頼可能 評価と認定 サービス 事業者 … Authenticator Authenticator 認証器 … FIDOアライアンス 認証器セキュリティ 認定プログラム
All Rights Reserved | FIDO Alliance | Copyright 2018 認定は消費者が購入する最終製品の認証器が対象 ? 消費者は認証器のセキュリティの設定?運用が不要 ? 消費者は認証器を改造し脆弱化できない 認定は認証器の全機能をカバーする サービス事業者は、認証器のメーカーやモデルが不明でも、 FIDO認定された認証器なら、信頼できる 4 コンシューマー向けデバイスを認定する
All Rights Reserved | FIDO Alliance | Copyright 20185 認証器単体のセキュリティを認定 1. プラットフォーム組み込み 2.TEE内 3. アプリ内 4. セキュリティキー TEE アプリ プラットフォーム 認証器 認証器 プラットフォーム ブラウザ 認証器 プラットフォーム ブラウザ 認証器 アプリ プラットフォーム 認証器はセキュリティのコア ? 鍵と生体情報を守る 認証器は小規模で認定実施が可能 認定されている他のコンポーネント上に構築 可能 ? TEE(Trusted Execution Environment)、Secure Element… プラットフォーム自体のセキュリティは認定対象、 認証器部分のみが対象USB/ BLE/NFC ブラウザ アプリ ブラウザ アプリ CTAP
All Rights Reserved | FIDO Alliance | Copyright 2018 あらゆるユースケースに対応する総合的なセキュリティレベル ハード?ソフトの要求条件の例 防衛の対象 チップへの故障利用攻撃と 侵入型攻撃に対する保護機能等 L3+ 捕捉されたデバイス (チップレベルの攻撃) 基板のポッティング、パッケージ?オン?パッケージ (PoP)、RAM暗号化等 L3 捕捉されたデバイス (基板レベルの攻撃) デバイスは機密動作環境(ROE: TEE、Secure Element等)が必須、 或は、本質的に機密動作環境のデバイス(USB トークン、スマートカード等) L2+ デバイスのOSの危殆化(きたいか) (ROEで防衛) L2 どんなHWやSWでもよい L1+ デバイスのOSの危殆化(きたいか) (ホワイト?ボックス暗号化で防衛) L1 フィッシング、サーバーのクレデンシャル流失、中間者攻撃 (パスワードよりベター) 6
All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 1 例 ? AndroidやiOSアプリ ? プラットフォームのビルトイン認証器 ? レベル2や3が取得可能な認証器でも、 レベル2や3の認定未取得のもの ? パスワードよりベター ? FIDOはフィッシングできない、さらに生体 認証は便利 ? 鍵や生体情報テンプレートは、ブラウ ザやパスワードマネージャに格納した パスワードと同様に守られている ? ホストOS機能を活用 ? L1+ は 、 ホ ス ト OS 危 殆 化 ( き た い か)に対抗するホワイト ?ボックス暗 号化や難読化等を追加 7 L1の認定プロセス L1+(策定中) ベンダー デザインの詳細をドキュメント化 ラボ L1ではラボはなし 侵入テスト FIDO デザインのレビュー 管理 管理
All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 2 L1に加えて ? OS が 危 殆 化 ( き た い か ) さ れ て も セ キ ュ リ テ ィ が 担 保 で き る TEE 等 の 機密動作環境(ROE)必須 ? 外部デバイス(USB、BLE、NFC) は機密動作環境(ROE)と見做す ? 大規模攻撃への防衛を提供する ? L2+は、セキュリティ要件が加わる 例 ? FIDOレベル2の認定Androidスマホ上 アプリ(まだ認定を受けたものはない) ? USB、BLE、NFCのセキュリティキー ? レ ベ ル 3 可 能 な 認 証 器 だ が レ ベ ル 3 は 未取得のもの(レベル2は取得済み) 8 L2の認定プロセス L2+(策定中) ベンダー デザイン詳細をド キュメント化 ソースコード提出 ラボ デザインのレビュー 侵入テスト、 攻撃能力の計算 FIDO 管理 管理
All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 3 L2に加えて ? 物 理 的 に 捕 捉 さ れ た 認 証 器 へ の 防衛機能 ? 分 解 、 プ ロ ー ブ 解 析 、 グ リ ッ チ 攻 撃 などの物理的攻撃への防衛機能 ? L3+は、チップレベルの物理的攻撃 への防衛機能が追加される。例えば、 チップのモールド開封(decapping) やプローブ解析等への防衛機能 例 ? Secure Elementやその他のハードウェア 攻撃を防衛する手段を用いるセキュリティ キー(USB、BLE、NFC) ? スマホやプラットフォームの認証器もL3を取 得できなくはないが、難しい 9 L3とL3+の認定プロセス ベンダー デザイン詳細をドキュメント化 ソースコード提出 ラボ デザインのレビュー、侵入テスト、 攻撃能力の計算 FIDO 管理
All Rights Reserved | FIDO Alliance | Copyright 2018 コンパニオン?プログラム コモンクライテリア等、他のプログラムを可能な限り再利用する ? 認証器ベンダーの認定取得時間?労力?コストの削減。大きな削減が 可能となる場合もあり コンパニオン?プログラムが全FIDOの要求条件をカバーしている わけではない。認証器のために策定されたものではないため。 ? 先端的なコンパニオン?プログラムであっても、ベンダーはFIDOアライアンス で追加部の認定取得が必要となる コンパニオン?プログラム FIDOセキュリティレベル 現状 Common Criteria AVA_VAN 3 L3 運用中 Common Criteria AVA_VAN 4 L3+ 運用中 FIPS L2+, L3 策定中 Global Platform TEE Protection Profile L2+ 策定中 10 認証固有部 コンパニオン?プログラム 全FIDOセキュリティ要求条件 デバイス構造部 暗号化アルゴリズ ム FIDO固有部
All Rights Reserved | FIDO Alliance | Copyright 201811 バイオメトリクス部品認定 第三者機関によって、生体認証部品を実証的に 検 証 し 、 正 し く ユ ー ザ を 識 別 す る こ と を 確 認 す る 業界初の認定プログラム 生体認証のモダリティに関係なく、全てのFIDOの 実装形態に対応
All Rights Reserved | FIDO Alliance | Copyright 201812 FIDO認証ラボ FIDO認定を実施するラボはFIDOアライアンスの認証をパスしなければならない 2018年12月現在 L2 L2, L3, L3+バイオメトリクス 部品認定
All Rights Reserved | FIDO Alliance | Copyright 2018 認定の有効期限、派生認定、差分認定 差分認定 (Delta Certification) ? FIDO機能に変更があった場合 ? 新しい要求条件での再認定取得の場合 ? 脆弱性解決の修正を実施した場合 ? セキュリティの再評価が必要となったとき Phone Model1 32GB 認証器 v1 Phone Model1 64GB 認証器 v1 Phone Model2 32GB 認証器 v1 Phone Model3 32GB 認証器 v2 セキュリティ要求条件1.2 セキュリティ要求条件1.3 Phone Model1 64GB 認証器 v1 派生認定 (Derivative certification) ? FIDO機能への変更がないこと ? それ以外の周辺機能への変更は可能 ? 製品のパッケージや製品名の変更は可能 ? セキュリティの再評価は不要 認定は失効しない ? ある製品に与えられた認定は失効することがない ? 新しい要求条件で再認定取得するかはオプション 派生認定 差分認定 派生認定 差分認定 Phone Model1 64GB 認証器 v1.1 (修正版) 差分認定 13
All Rights Reserved | FIDO Alliance | Copyright 2018 要求条件策定とガバナンス 要求条件はセキュリティ要件 WG(作業部会)の 2/3 の 投 票 で 決 定 さ れ る 。 こ の WG は 広 範 な 会 社 から構成されている ? 認証器やテクノロジーのベンダー ? サービス事業者 ? 認定ラボ ? 業界団体、政府機関 FIDOアライアンスメンバー企業は本WGに参加可能 関連仕様は公開されておりオープン ? Security Requirements(セキュリティ要求条件仕様書) ? Allowed Cryptography(許可される暗号方式仕様書) ? Allowed Restricted Operating Environments (許可される機密動作環境仕様書) ? Metadata Requirements(メタデータ要求条件仕様書) Others… 14
All Rights Reserved | FIDO Alliance | Copyright 201815 Connect with FIDO fidoalliance.org

More Related Content

What's hot (20)

PPTX
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
junichi anno
?
PDF
認証の課題とID連携の実装 ?ハンズオン?
Masaru Kurahayashi
?
PDF
[Japan Tech summit 2017] SEC 004
Microsoft Tech Summit 2017
?
PDF
贵滨顿翱认証によるパスワードレスログイン実装入门
驰补丑辞辞!デベロッパーネットワーク
?
PPTX
AD FS deep dive - claim rule set
junichi anno
?
PDF
滨顿ガバナンス&补尘辫;管理の基础
Hitachi, Ltd. OSS Solution Center.
?
PDF
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
Amazon Web Services Japan
?
PDF
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Genki WATANABE
?
PDF
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ふ? --
Jun Kurihara
?
PDF
OpenID Connect 入門 ?コンシューマーにおけるID連携のトレンド?
Masaru Kurahayashi
?
PDF
Azure ADとIdentity管理
Naohiro Fujie
?
PDF
プロトコルから见る滨顿连携
Naohiro Fujie
?
PDF
滨顿管理/认証システム导入の理想と现実
Naohiro Fujie
?
PDF
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
?
PPTX
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
?
PPTX
AWS WAF のマネージドルールって結局どれを選べばいいの?
YOJI WATANABE
?
PPTX
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
Naohiro Fujie
?
PDF
分散型滨顿と検証可能なアイデンティティ技术概要
Naohiro Fujie
?
PDF
富士通の生体认証ソリューションと提案
FIDO Alliance
?
PDF
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Yusuke Kodama
?
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
junichi anno
?
認証の課題とID連携の実装 ?ハンズオン?
Masaru Kurahayashi
?
[Japan Tech summit 2017] SEC 004
Microsoft Tech Summit 2017
?
贵滨顿翱认証によるパスワードレスログイン実装入门
驰补丑辞辞!デベロッパーネットワーク
?
AD FS deep dive - claim rule set
junichi anno
?
滨顿ガバナンス&补尘辫;管理の基础
Hitachi, Ltd. OSS Solution Center.
?
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
Amazon Web Services Japan
?
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Genki WATANABE
?
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ふ? --
Jun Kurihara
?
OpenID Connect 入門 ?コンシューマーにおけるID連携のトレンド?
Masaru Kurahayashi
?
Azure ADとIdentity管理
Naohiro Fujie
?
プロトコルから见る滨顿连携
Naohiro Fujie
?
滨顿管理/认証システム导入の理想と现実
Naohiro Fujie
?
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
?
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
?
AWS WAF のマネージドルールって結局どれを選べばいいの?
YOJI WATANABE
?
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
Naohiro Fujie
?
分散型滨顿と検証可能なアイデンティティ技术概要
Naohiro Fujie
?
富士通の生体认証ソリューションと提案
FIDO Alliance
?
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Yusuke Kodama
?

Similar to 贵滨顿翱セキュリティ认定の概要と最新状况 (20)

PDF
Nii open forum_053019_dr.gomi
FIDO Alliance
?
PDF
20190704 パスワードに代わる新たなオンライン認証を推進するFIDO(ファイド)アライアンスの記者説明会
FIDO Alliance
?
PDF
20200303 ISR プライベートセミナー:パスワードのいらない世界へ
FIDO Alliance
?
PDF
Iddance2 fido
HiroshiUeno15
?
PDF
2019 FIDO Tokyo Seminar - パスワードレス認証の実現に向けた 日本におけるFIDO展開の最新状況
FIDO Alliance
?
PDF
指纹认証と「贵滨顿翱」について
Device WebAPI Consortium
?
PDF
2020 0218 - パスワードのいらない世界へ:FIDOアライアンスとFIDO認証の最新状況
FIDO Alliance
?
PDF
2019 FIDO Tokyo Seminar - FIDO認定と国内で初めて開催したFIDO相互接続性試験について
FIDO Alliance
?
PDF
Advancement of FIDO Technology
FIDO Alliance
?
PPTX
YJTC18 D-1 安心安全な次世代認証を目指して ?社会に溶け込む認証技術?
驰补丑辞辞!デベロッパーネットワーク
?
PDF
Idcon gomi-052715-pub
Hidehito Gomi
?
PPTX
20150723 最近の興味動向 fido編
Tatsuya (達也) Katsuhara (勝原)
?
PDF
パスワードのいらない世界へ
Keiko Itakura
?
PDF
Tokyo press 2019 slides presentations
FIDO Alliance
?
PDF
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説
FIDO Alliance
?
PDF
驰耻产颈翱苍が目指す未来
FIDO Alliance
?
PDF
贵滨顿翱2によるハ?スワート?レス认証か?导く新しい认証の世界
Kazuhito Shibata
?
PDF
贵滨顿翱认証て?「あんしんをもっと便利に」
LINE Corporation
?
PDF
富士通による贵滨顿翱ソリューションの展开について
FIDO Alliance
?
PPTX
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
?
Nii open forum_053019_dr.gomi
FIDO Alliance
?
20190704 パスワードに代わる新たなオンライン認証を推進するFIDO(ファイド)アライアンスの記者説明会
FIDO Alliance
?
20200303 ISR プライベートセミナー:パスワードのいらない世界へ
FIDO Alliance
?
Iddance2 fido
HiroshiUeno15
?
2019 FIDO Tokyo Seminar - パスワードレス認証の実現に向けた 日本におけるFIDO展開の最新状況
FIDO Alliance
?
指纹认証と「贵滨顿翱」について
Device WebAPI Consortium
?
2020 0218 - パスワードのいらない世界へ:FIDOアライアンスとFIDO認証の最新状況
FIDO Alliance
?
2019 FIDO Tokyo Seminar - FIDO認定と国内で初めて開催したFIDO相互接続性試験について
FIDO Alliance
?
Advancement of FIDO Technology
FIDO Alliance
?
YJTC18 D-1 安心安全な次世代認証を目指して ?社会に溶け込む認証技術?
驰补丑辞辞!デベロッパーネットワーク
?
Idcon gomi-052715-pub
Hidehito Gomi
?
20150723 最近の興味動向 fido編
Tatsuya (達也) Katsuhara (勝原)
?
パスワードのいらない世界へ
Keiko Itakura
?
Tokyo press 2019 slides presentations
FIDO Alliance
?
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説
FIDO Alliance
?
驰耻产颈翱苍が目指す未来
FIDO Alliance
?
贵滨顿翱2によるハ?スワート?レス认証か?导く新しい认証の世界
Kazuhito Shibata
?
贵滨顿翱认証て?「あんしんをもっと便利に」
LINE Corporation
?
富士通による贵滨顿翱ソリューションの展开について
FIDO Alliance
?
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
?
Ad

More from FIDO Alliance (20)

PPTX
Securing Account Lifecycles in the Age of Deepfakes.pptx
FIDO Alliance
?
PPTX
FIDO Seminar: Perspectives on Passkeys & Consumer Adoption.pptx
FIDO Alliance
?
PPTX
FIDO Seminar: Evolving Landscape of Post-Quantum Cryptography.pptx
FIDO Alliance
?
PPTX
FIDO Seminar: Targeting Trust: The Future of Identity in the Workforce.pptx
FIDO Alliance
?
PPTX
FIDO Seminar: New Data: Passkey Adoption in the Workforce.pptx
FIDO Alliance
?
PPTX
FIDO Seminar: Authentication for a Billion Consumers - Amazon.pptx
FIDO Alliance
?
PPTX
FIDO Alliance Seminar State of Passkeys.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar: FIDO Tech Principles.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar: Securing Smart Car.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar: Strong Workforce Authn Push & Pull Factors.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar: Biometrics and Passkeys for In-Vehicle Apps.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar Workforce Authentication Case Study.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar In-Vehicle Payment Trends.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar FIDO Automotive Apps.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar Blueprint for In-Vehicle Payment Standard.pptx
FIDO Alliance
?
PPTX
FIDO Munich Seminar Introduction to FIDO.pptx
FIDO Alliance
?
PPTX
UX Webinar Series: Essentials for Adopting Passkeys as the Foundation of your...
FIDO Alliance
?
PPTX
UX Webinar Series: Drive Revenue and Decrease Costs with Passkeys for Consume...
FIDO Alliance
?
PPTX
UX Webinar Series: Aligning Authentication Experiences with Business Goals
FIDO Alliance
?
PDF
FIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdf
FIDO Alliance
?
Securing Account Lifecycles in the Age of Deepfakes.pptx
FIDO Alliance
?
FIDO Seminar: Perspectives on Passkeys & Consumer Adoption.pptx
FIDO Alliance
?
FIDO Seminar: Evolving Landscape of Post-Quantum Cryptography.pptx
FIDO Alliance
?
FIDO Seminar: Targeting Trust: The Future of Identity in the Workforce.pptx
FIDO Alliance
?
FIDO Seminar: New Data: Passkey Adoption in the Workforce.pptx
FIDO Alliance
?
FIDO Seminar: Authentication for a Billion Consumers - Amazon.pptx
FIDO Alliance
?
FIDO Alliance Seminar State of Passkeys.pptx
FIDO Alliance
?
FIDO Munich Seminar: FIDO Tech Principles.pptx
FIDO Alliance
?
FIDO Munich Seminar: Securing Smart Car.pptx
FIDO Alliance
?
FIDO Munich Seminar: Strong Workforce Authn Push & Pull Factors.pptx
FIDO Alliance
?
FIDO Munich Seminar: Biometrics and Passkeys for In-Vehicle Apps.pptx
FIDO Alliance
?
FIDO Munich Seminar Workforce Authentication Case Study.pptx
FIDO Alliance
?
FIDO Munich Seminar In-Vehicle Payment Trends.pptx
FIDO Alliance
?
FIDO Munich Seminar FIDO Automotive Apps.pptx
FIDO Alliance
?
FIDO Munich Seminar Blueprint for In-Vehicle Payment Standard.pptx
FIDO Alliance
?
FIDO Munich Seminar Introduction to FIDO.pptx
FIDO Alliance
?
UX Webinar Series: Essentials for Adopting Passkeys as the Foundation of your...
FIDO Alliance
?
UX Webinar Series: Drive Revenue and Decrease Costs with Passkeys for Consume...
FIDO Alliance
?
UX Webinar Series: Aligning Authentication Experiences with Business Goals
FIDO Alliance
?
FIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdf
FIDO Alliance
?
Ad

贵滨顿翱セキュリティ认定の概要と最新状况

  • 1. All Rights Reserved | FIDO Alliance | Copyright 2018 FIDOのセキュリティ要件と 認証器のセキュリティ認定について 2018年12月 ローレンス?ランドブレード FIDOアライアンス SRWG共同座長 DOCOMO Innovations, Inc. セキュリティスペシャリスト
  • 2. All Rights Reserved | FIDO Alliance | Copyright 20182 FIDOにおいて認証器のセキュリティ認定は重要 認証器ユーザー検証 FIDO認証 認証器は秘密鍵や 生体情報テンプレートを 格納 FIDOは生体情報、PIN、暗号鍵を守るため 認証器のセキュリティ実装に依存している
  • 3. All Rights Reserved | FIDO Alliance | Copyright 20183 認定は信頼のエコシステムを構築する 信頼 サービス事業者: 消費者が購入した認証器を信頼可能 評価と認定 サービス 事業者 … Authenticator Authenticator 認証器 … FIDOアライアンス 認証器セキュリティ 認定プログラム
  • 4. All Rights Reserved | FIDO Alliance | Copyright 2018 認定は消費者が購入する最終製品の認証器が対象 ? 消費者は認証器のセキュリティの設定?運用が不要 ? 消費者は認証器を改造し脆弱化できない 認定は認証器の全機能をカバーする サービス事業者は、認証器のメーカーやモデルが不明でも、 FIDO認定された認証器なら、信頼できる 4 コンシューマー向けデバイスを認定する
  • 5. All Rights Reserved | FIDO Alliance | Copyright 20185 認証器単体のセキュリティを認定 1. プラットフォーム組み込み 2.TEE内 3. アプリ内 4. セキュリティキー TEE アプリ プラットフォーム 認証器 認証器 プラットフォーム ブラウザ 認証器 プラットフォーム ブラウザ 認証器 アプリ プラットフォーム 認証器はセキュリティのコア ? 鍵と生体情報を守る 認証器は小規模で認定実施が可能 認定されている他のコンポーネント上に構築 可能 ? TEE(Trusted Execution Environment)、Secure Element… プラットフォーム自体のセキュリティは認定対象、 認証器部分のみが対象USB/ BLE/NFC ブラウザ アプリ ブラウザ アプリ CTAP
  • 6. All Rights Reserved | FIDO Alliance | Copyright 2018 あらゆるユースケースに対応する総合的なセキュリティレベル ハード?ソフトの要求条件の例 防衛の対象 チップへの故障利用攻撃と 侵入型攻撃に対する保護機能等 L3+ 捕捉されたデバイス (チップレベルの攻撃) 基板のポッティング、パッケージ?オン?パッケージ (PoP)、RAM暗号化等 L3 捕捉されたデバイス (基板レベルの攻撃) デバイスは機密動作環境(ROE: TEE、Secure Element等)が必須、 或は、本質的に機密動作環境のデバイス(USB トークン、スマートカード等) L2+ デバイスのOSの危殆化(きたいか) (ROEで防衛) L2 どんなHWやSWでもよい L1+ デバイスのOSの危殆化(きたいか) (ホワイト?ボックス暗号化で防衛) L1 フィッシング、サーバーのクレデンシャル流失、中間者攻撃 (パスワードよりベター) 6
  • 7. All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 1 例 ? AndroidやiOSアプリ ? プラットフォームのビルトイン認証器 ? レベル2や3が取得可能な認証器でも、 レベル2や3の認定未取得のもの ? パスワードよりベター ? FIDOはフィッシングできない、さらに生体 認証は便利 ? 鍵や生体情報テンプレートは、ブラウ ザやパスワードマネージャに格納した パスワードと同様に守られている ? ホストOS機能を活用 ? L1+ は 、 ホ ス ト OS 危 殆 化 ( き た い か)に対抗するホワイト ?ボックス暗 号化や難読化等を追加 7 L1の認定プロセス L1+(策定中) ベンダー デザインの詳細をドキュメント化 ラボ L1ではラボはなし 侵入テスト FIDO デザインのレビュー 管理 管理
  • 8. All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 2 L1に加えて ? OS が 危 殆 化 ( き た い か ) さ れ て も セ キ ュ リ テ ィ が 担 保 で き る TEE 等 の 機密動作環境(ROE)必須 ? 外部デバイス(USB、BLE、NFC) は機密動作環境(ROE)と見做す ? 大規模攻撃への防衛を提供する ? L2+は、セキュリティ要件が加わる 例 ? FIDOレベル2の認定Androidスマホ上 アプリ(まだ認定を受けたものはない) ? USB、BLE、NFCのセキュリティキー ? レ ベ ル 3 可 能 な 認 証 器 だ が レ ベ ル 3 は 未取得のもの(レベル2は取得済み) 8 L2の認定プロセス L2+(策定中) ベンダー デザイン詳細をド キュメント化 ソースコード提出 ラボ デザインのレビュー 侵入テスト、 攻撃能力の計算 FIDO 管理 管理
  • 9. All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 3 L2に加えて ? 物 理 的 に 捕 捉 さ れ た 認 証 器 へ の 防衛機能 ? 分 解 、 プ ロ ー ブ 解 析 、 グ リ ッ チ 攻 撃 などの物理的攻撃への防衛機能 ? L3+は、チップレベルの物理的攻撃 への防衛機能が追加される。例えば、 チップのモールド開封(decapping) やプローブ解析等への防衛機能 例 ? Secure Elementやその他のハードウェア 攻撃を防衛する手段を用いるセキュリティ キー(USB、BLE、NFC) ? スマホやプラットフォームの認証器もL3を取 得できなくはないが、難しい 9 L3とL3+の認定プロセス ベンダー デザイン詳細をドキュメント化 ソースコード提出 ラボ デザインのレビュー、侵入テスト、 攻撃能力の計算 FIDO 管理
  • 10. All Rights Reserved | FIDO Alliance | Copyright 2018 コンパニオン?プログラム コモンクライテリア等、他のプログラムを可能な限り再利用する ? 認証器ベンダーの認定取得時間?労力?コストの削減。大きな削減が 可能となる場合もあり コンパニオン?プログラムが全FIDOの要求条件をカバーしている わけではない。認証器のために策定されたものではないため。 ? 先端的なコンパニオン?プログラムであっても、ベンダーはFIDOアライアンス で追加部の認定取得が必要となる コンパニオン?プログラム FIDOセキュリティレベル 現状 Common Criteria AVA_VAN 3 L3 運用中 Common Criteria AVA_VAN 4 L3+ 運用中 FIPS L2+, L3 策定中 Global Platform TEE Protection Profile L2+ 策定中 10 認証固有部 コンパニオン?プログラム 全FIDOセキュリティ要求条件 デバイス構造部 暗号化アルゴリズ ム FIDO固有部
  • 11. All Rights Reserved | FIDO Alliance | Copyright 201811 バイオメトリクス部品認定 第三者機関によって、生体認証部品を実証的に 検 証 し 、 正 し く ユ ー ザ を 識 別 す る こ と を 確 認 す る 業界初の認定プログラム 生体認証のモダリティに関係なく、全てのFIDOの 実装形態に対応
  • 12. All Rights Reserved | FIDO Alliance | Copyright 201812 FIDO認証ラボ FIDO認定を実施するラボはFIDOアライアンスの認証をパスしなければならない 2018年12月現在 L2 L2, L3, L3+バイオメトリクス 部品認定
  • 13. All Rights Reserved | FIDO Alliance | Copyright 2018 認定の有効期限、派生認定、差分認定 差分認定 (Delta Certification) ? FIDO機能に変更があった場合 ? 新しい要求条件での再認定取得の場合 ? 脆弱性解決の修正を実施した場合 ? セキュリティの再評価が必要となったとき Phone Model1 32GB 認証器 v1 Phone Model1 64GB 認証器 v1 Phone Model2 32GB 認証器 v1 Phone Model3 32GB 認証器 v2 セキュリティ要求条件1.2 セキュリティ要求条件1.3 Phone Model1 64GB 認証器 v1 派生認定 (Derivative certification) ? FIDO機能への変更がないこと ? それ以外の周辺機能への変更は可能 ? 製品のパッケージや製品名の変更は可能 ? セキュリティの再評価は不要 認定は失効しない ? ある製品に与えられた認定は失効することがない ? 新しい要求条件で再認定取得するかはオプション 派生認定 差分認定 派生認定 差分認定 Phone Model1 64GB 認証器 v1.1 (修正版) 差分認定 13
  • 14. All Rights Reserved | FIDO Alliance | Copyright 2018 要求条件策定とガバナンス 要求条件はセキュリティ要件 WG(作業部会)の 2/3 の 投 票 で 決 定 さ れ る 。 こ の WG は 広 範 な 会 社 から構成されている ? 認証器やテクノロジーのベンダー ? サービス事業者 ? 認定ラボ ? 業界団体、政府機関 FIDOアライアンスメンバー企業は本WGに参加可能 関連仕様は公開されておりオープン ? Security Requirements(セキュリティ要求条件仕様書) ? Allowed Cryptography(許可される暗号方式仕様書) ? Allowed Restricted Operating Environments (許可される機密動作環境仕様書) ? Metadata Requirements(メタデータ要求条件仕様書) Others… 14
  • 15. All Rights Reserved | FIDO Alliance | Copyright 201815 Connect with FIDO fidoalliance.org
About
? 2025 狠狠撸