How FIDO Works
- 1. All Rights Reserved | FIDO Alliance | Copyright 2020 How FIDO Works
- 2. All Rights Reserved | FIDO Alliance | Copyright 20202 HOW FIDO WORKS ? FIDO Leverage PKC for Authentication – NO SHARED SECRETS
- 3. 3 FIDO2 Architecture overview Client(PC,mobile) Relying Party External Metadata Service Server-Side App User Store FIDO2 Server Browser or Native App Internal Authentic ator External Authenticator CTAP2 WebAuthn
- 4. 4 開発のステップ 1. FIDO2認証サーバーを?前で構築する?法 2. ライセンスを購?し?社でインストールする?法 3.サービスとして提供されている 外部のFIDO2認証サーバーを利?する ?法
- 5. 5 WebAuthn WebAuthn enables online services to use FIDO Authentication through a standard web API that can be built into browsers and related web platform infrastructure. It is a collaborative effort based on specifications initially submitted by FIDO Alliance to the W3C and then iterated and finalized by the broader FIDO and W3C communities. WebAuthn was designated an official web standard in March 2019. It is currently supported in Windows 10 and Android platforms, and Google Chrome, Mozilla Firefox, Microsoft Edge and Apple Safari web browsers.
- 6. 6 公開鍵暗号?式を?いた2つの機能 Web Authentication API は登録とログインの2つの基本的な機能を持つ。 登録?署名と公開鍵情報を送信 認証?署名を送信 *登録解除については本?は割愛
- 7. 7 Registration Flow *W3C : http://www.w3.org/TR/webauthn
- 8. 8 RP側の準備 登録ステップでは、RPサーバがRegister, AttestationResponseの2つの エンドポイントを提供する必要がある。 1.ユーザーIDに紐づいたチャレンジレスポンスを発?するAPI (POST /attestation/options) 2.ブラウザのAuthenticatorが発?した公開鍵を検証しデータベースに保 存するAPI(POST /attestation/result) *Server Requirements and Transport Binding Profile https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-server- v2.0-rd-20180702.html * Sample https://github.com/webauthn-open-source/fido2-lib
- 10. 10 (Request Sample) ? URL: /attestation/options ? Method: POST ? URL Params: None ? Body: application/json formatted ServerPublicKeyCredentialCreati onOptionsRequest
- 12. 12 ⒈ チャレンジを?成しレスポンス RPのチャレンジ発?APIはチャレン ジ(ランダムな値)を発?し、 RelyingPartyの情報など次のステッ プに必要な情報と合わせレスポンス データを返す
- 13. 13 (Success Response) ? HTTP Status Code: 200 OK ? Body: application/json formatted ServerPublicKeyCredentialCreati onOptionsResponse
- 14. 14
- 15. 15 (Error Response Sample) ? HTTP Status Code: 4xx or 5xx ? Body: application/json formatted ServerResponse
- 16. 16 2.navigator.credentials.create() 実? navigator.credentials.create()を 実?することでAuthenticatorをRP 上のユーザーに紐づけ *実際は鍵ペアの作成と公開鍵要求 リクエストの仕様はW3Cの 5.4. Options for Credential Creationに 記載されている https://www.w3.org/TR/webaut hn/#dictionary- makecredentialoptions
- 17. 17 Sample * Enabling Strong Authentication with WebAuthn https://developers.google.com/web/updates/2018/05/webauthn
- 18. 18 パラメータ(?部) パラメータ 説明 rp.id Relying Party ID rp.name Relying Party Name user.id User ID user.name User Name user.displayName User Name (Display Name) challenge サーバーで?成した乱数 pubKeyCredParams.type Credentialのタイプ pubKeyCredParams.alg Attestationに?る公開鍵の暗号化アルゴリズム
- 20. 20 What is Attestation? ? Attestationは、主に公開鍵をサーバが保存するときに、その公開鍵は攻 撃者が置き換えたものではなく、ユーザが所持するAuthenticatorから ?成されたものであることを保証するための仕組み。 ? 現在、W3Cが定義しているAttestation Formatは以下の6種類 ー FIDO U2F ー Packed ー TPM ー Android Key ー Android SafetyNet ー None
- 23. 23 (Request Sample) ? URL: /attestation/result ? Method: POST ? URL Params: None ? Body: application/json formatted ServerPublicKeyCredential with response field set to ServerAuthenticatorAttestationResponse
- 24. 24 (Sample Call)
- 25. 25 6.RPは認証情報を検証し、登録完了 ? 認証サーバは受信した認証情報を 検証する ? 検証成功後、適切な成功レスポン スを返し、認証時に利?するため に、公開鍵をDBに保存する。 ? これでユーザ/Authenticatorの登 録が完了になる。
- 26. 26 (Success Response) ? HTTP Status Code: 200 OK ? Body: application/json formatted ServerResponse
- 27. 27 (Error Response Sample) ? HTTP Status Code: 4xx or 5xx ? Body: application/json formatted ServerResponse
- 28. 28 Authentication Flow *W3C : http://www.w3.org/TR/webauthn
- 29. 29 RP側の準備 認証ステップでは、RPサーバがLogin, AssertionResponseの2つのエン ドポイントを提供する必要がある。 1. 認証チェック時、ユーザ ID に紐付いたチャレンジレスポンスを発? する API (POST /assertion/options) 2. ブラウザの認証器が発?した署名をサーバに保存した公開鍵で検証し てセッションを発?する API(POST /assertion/result) *Server Requirements and Transport Binding Profile https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-server- v2.0-rd-20180702.html * Sample https://github.com/webauthn-open-source/fido2-lib
- 31. 31 (Request Sample) ? URL: /attestation/options ? Method: POST ? URL Params: None ? Body: application/json encoded ServerPublicKeyCredentialGetO ptionsRequest
- 32. 32 (Sample Call)
- 34. 34 (Success Response) ? HTTP Status Code: 200 OK ? Body: applicaiton/json encoded ServerPublicKeyCredentialGetOpti onsResponse
- 35. 35 (Error Response Sample) ? HTTP Status Code: 4xx or 5xx ? Body: applicaiton/json encoded ServerResponse
- 37. 37 Sample * Enabling Strong Authentication with WebAuthn https://developers.google.com/web/updates/2018/05/webauthn
- 38. 38 パラメータ(?部) パラメータ 説明 challenge サーバーで?成した乱数 allowCredentials.type public key allowCredentials.id create()のときに取得したCredentialID
- 40. 40 What is Assertion? RPが?意するchallengeを含んだ情報をAuthenticatorの秘密鍵に署名 RPが登録されている公開鍵を使ってその署名(assertion signature)の有 効性を検証することで、Authenticatorの有効性を検証する仕組み
- 42. 42 5. 認証情報などをRPに送信 登録時と同様に、Javascriptは Authenticatorから受信したパラ メータに加え、rawId、id、type, clienetDataJSON などのパラメー タを含め、AssertionResponse エ ンドポイントに送信する。
- 43. 43 (Request Sample) ? URL: /assertion/result ? Method: POST ? URL Params: None ? Body: application/json encoded ServerPublicKeyCredential with r esponse field set to ServerAuthenticatorAssertionResponse
- 44. 44 (Sample Call)
- 46. 46 (Success Response) ? HTTP Status Code: 200 OK ? Body: application/json encoded ServerResponse
- 47. 47 (Error Response Sample) ? HTTP Status Code: 4xx or 5xx ? Body: application/json encoded ServerResponse
- 48. 48 Demo Site ? Microsoft: https://webauthntest.azurewebsites.net ? FIDO: https://webauthn.org/ ? APPSPOT: https://webauthndemo.appspot.com/
- 49. 49 References ? FIDO Authentication: https://fidoalliance.org/fido-authentication/ ? FIDO2 Spec: https://fidoalliance.org/fido2/ ? How to FIDO https://github.com/fido-alliance/how-to-fido