fbpx

FIDOとMPC

FIDOが企業を獲得した方法

IAM業界は、新旧のさまざまな方法論が世界中の企業の予算と注目を競い合う中で、パラダイムシフトを経験しています。ユーザー認証は、共有シークレット、集中型パスワード、OTPトークンの時代から、分散型認証、生体認証、PKIを利用したパスワード不要のセキュリティの時代へと移行しています。

「パスワードの問題」を解決するには、さまざまなアプローチがありました。このホワイトペーパーでは、このような2つのプロトコル(FIDO認証とマルチパーティ計算)に焦点を当てています。これらは、しばしば比較され、IAMランドスケープ全体で広く評価されています。これは、次世代のユーザー認証への適切なアプローチであることを証明するために互いに競い合った2つの非常に異なるプロトコルの珍しいユニークな競争です。

大規模に展開されたFIDO標準は、企業の採用、適用性、相互運用性、およびエコシステムの点で勝っているようです。MPCは、さまざまなユースケースでずっと長く使用されてきましたが、パスワードなしの認証が成功することはまだ証明されていません。FIDOはどのようにして企業の心を勝ち取りましたか?このホワイトペーパーでは、2つの違いを探り、FIDOとMPCを評価する企業が、前者がパスワードなしの強力な認証のゴールドスタンダードになった理由を理解できるようにすることを目的としています。

FIDO VS MPC

FIDO認証

FIDO(Fast Identity Online)は、強力なパスワードなしの認証のためのオープンソース仕様です。FIDOアーキテクチャは、サービスプロバイダーがパスワードを公開キー暗号化技術(PKI)に置き換えることができるように設計されました。FIDO標準を採用した支持者は、「パスワードなしのセキュリティ」の状態を実現するために、共有秘密の使用を排除することを目指しています。

マルチパーティ計算

Multiparty Computation(MPC)は、トランザクションの関係者にプライベートデータの漏洩を要求せずに、関係のさまざまな関係者にデータを計算し、相互に望ましい結果を得る機能を提供する概念です。このようシャミールなどの例” の鍵共有アルゴリズムは、ゼロ知識証明を必要とする問題で使用されています。最近では、強力な認証のためにMPCを活用する試みが行われています。

オンラインでの迅速なアイデンティティ:複雑な問題を解決するための簡略化されたアプローチ

Fast Identity Online(FIDO)のアイデアは、2009年後半にさかのぼります。その後、2013年2月にFIDO Allianceが公開されました。2014年12月9日、パスワードなしプロトコル(UAF)のv1.0仕様の完成版が公開されました)に続き、多くの本番環境への展開が続きました。その後の活動には、ソリューションプロバイダーの新たなエコシステム全体でセキュリティ、適合性、相互運用性を確保するための厳密なFIDO®認定テストプログラムの立ち上げが含まれました。

FIDO認証は、消費者向けと従業員向けの両方のアプリケーションに導入されており、ユーザーは、バイオメトリクスやPINなど、ユーザーの個人用デバイスに保存されたままのさまざまな認証システムを利用して、モバイル、Web、およびデスクトップサービスに登録および認証できます。

FIDOプロトコルは、公開鍵暗号を利用して、安全なパスワードなしの認証を可能にします。

オンラインサービスに登録するときに、ユーザーのクライアントデバイスは公開鍵と秘密鍵のペアを生成します。秘密キーはデバイスに保持され、公開キーはオンラインサービスに登録されます。

認証中、ユーザーはクライアントデバイスに保存されている秘密キーを使用してチャレンジに署名します。FIDOアーキテクチャは、秘密鍵が個人のモバイルデバイスまたは二要素トークンに保存され、バイオメトリクスや信頼された実行環境などの追加のレイヤーで保護できることを保証します。

FIDOアーキテクチャエレメント

  • FIDOモバイルクライアント
    • iOS、Android
  • FIDOデスクトップエージェント
    • Windows 7、Windows 10、MacOS
  • FIDO Webプラグイン
    • Edge、Safari、Chrome、FireFox 、Opera W3Cネイティブブラウザサポート
  • FIDO認証サーバー
    • LDAP、SAML、AD、RADIUS Red Hat、Windows Server、AWS、Azure
  • FIDO管理コンソール
    • ポリシー管理とオーケストレーション
  • FIDO ID拡張
    • PingIdentity 、Okta 、ForgeRock、ADFS、Shibboleth、CA、Oracle Access Manager

マルチパーティ計算:複雑な問題の複雑な暗号化

Multi-Party Computationは、複数の当事者がそれらの入力のプライバシーを維持しながら、それらの入力に対して関数を共同で計算できるようにすることを目的とした暗号化の分野を指します。それが十分に簡単に聞こえない場合、それはそうではないからです。MPCは、実際に持つ複雑かつ非自明なフィールドであるsignficant ゼロの信頼の状況を解決するための含意。しかし、それは認証にどのように適用されていますか?

Shamirの秘密共有アルゴリズムなどの一般的な実装を使用して、さまざまな方法(秘密共有など)で信頼のないシステムに関連する問題に適用されている多くの異なるMPC方法論があります。最近では、パスワードなしのユーザー認証にShamirのキー共有を利用して、MPC を新規に適用する独自のソリューションを開発する試みが行われています。

シャミールの鍵共有アルゴリズムは、分散された方法で秘密を保護するために使用されます。ほとんどの場合、他の暗号化鍵を保護するために使用されます。シークレットは、シェアと呼ばれる複数の部分に分かれています。これらの共有は、元のシークレットを再構築し、ユーザーを認証するために使用されます。

基本的に、パスワードは共有シークレットです。MPC認証プロバイダーは、共有シークレットのセキュリティを強化することを目的としています。これらのパスワードまたは「シークレット」は、ユーザーのモバイルデバイスとキー検証サーバーの間で配布または分割され、ユーザーはデバイスの生体認証、PIN、またはPUSHで認証されます。

モバイルアプリケーションは検証サーバーと通信して、安全に集計されると認証を承認する交換を行います。その結果、複雑な暗号化スキームと組み合わされた、パスワードなしのユーザーエクスペリエンスが実現します。ユーザーはもはやパスワードを入力する必要はありませんが、サービスプロバイダーは依然として「共有シークレット」に依存しています。これにより、MPCが本当にパスワード不要であるかどうかについての議論が生まれました。

ウィキペディアによると、シャミアの鍵共有は「秘密の共有の形式であり、秘密は複数の部分に分割され、各参加者に独自の固有の部分を与えます。元の秘密を再構築するには、最小限の数のパーツが必要です。

FIDO-10年の結果

2010年以降、FIDOは、認証標準の開発と採用を加速する業界コンソーシアムに支えられて、テクノロジーとエコシステムとして成熟してきました。FIDOアライアンスは250人以上のメンバーで構成され、世界中の業界リーダーのサポートを誇っています。この標準は、Google、Microsoft、Samsung、バンクオブアメリカ、マスターカードなどの企業によって広く採用され、導入されています。このような大規模なエコシステムからの参加により、プラットフォーム、ブラウザ、インフラストラクチャのサポートがさらに進化しました。2019年の時点で、ベンダーエコシステムは200以上の認定製品で構成されており、すべてがFIDOアライアンスで定められた相互運用性要件に準拠しています。

注目すべきプラットフォーム統合には、Windows 10デバイス、Samsungスマートフォン、さらにはWebブラウザーのネイティブ機能としてのFIDOの追加が含まれます。2018年半ば、FIDO AllianceとW3C Web標準化団体は、新しいWeb認証標準(WebAuthn )がすべての主要なWebブラウザーでサポートされることを発表しました。この主要な開発により、Chrome、Safari、FireFox などのブラウザに強力な認証がもたらされ、大企業がWebエクスペリエンス全体でパスワードなしのセキュリティを標準化できるようになります。

MPC-40年間の研究

今日まで、パスワードなしの認証のために大規模に展開されているマルチパーティ計算テクノロジーの注目すべき例はほとんどありませんでした。

マルチパーティコンピューティングはFIDOのずっと前に始まり、1970年代からフィールドでの作業が続けられており、プロトコルは「信頼できるサードパーティの長期的な課題に対する数学的回答または応答はもはや信頼できない」と見なされています。MPCは学術界で強い支持を得ていますが、マルチパーティ計算の実際の使用例は、主に応用暗号の分野にとどまっています。

MPCの実際の使用例をインターネットで検索すると、鍵の配布、秘密の共有、知識ゼロの証明に関連する問題など、実用的な使用の適用性に関する多数のホワイトペーパー、提案、および議論が生じます。

MPCの注目に値する実際のアプリケーションは、デンマークのテンサイ市場で10年前に発生しました。この例では、農家は競売で契約に入札しましたが、彼らが売りたい価格や経済的地位を明らかにする必要はありません。ニューアメリカンは、次のように述べています。「過去数年で、MPCの使用をより広範囲に行う上で最も重要な進歩が見られました。2015年以降、MPCはボストンでの性別賃金格差の評価、エストニアでの税金詐欺の検出、衛星衝突の防止に使用されています。」

MPCのモバイルセキュリティの課題

FIDOは、開発者がモバイルデバイスの最も信頼できる領域であるTrustZone 内に秘密鍵を格納できるようにすることで、ハードウェアベースのセキュリティの進歩を利用するように設計されました。ほとんどのMPC実装では、エンタープライズの採用に対するMPCの最大のハードルであるこのレベルのセキュリティを実現できません。

モバイルバイオメトリクスと新しい認証モードの登場により、デバイスメーカーはARM TrustZone テクノロジーを採用し、デバイスのセキュリティを強化し、秘密鍵のストレージを保護するようになりました。このようiOSのような技術革新飛び地(SE)とAndroidセキュア” の信頼実行環境(TEE)は、モバイルデバイスの数十億に利用可能になりましたし、秘密鍵とバイオメトリクスデータを保護するための強力なソリューションであることが判明しています。

モバイルトラストゾーンは、FIDO標準で利用されるパスワードなしの認証と非対称暗号化の基盤として機能します。残念ながら、それらは対称共有秘密に基づくほとんどのMPCソリューションでは機能しません。

MPC、鍵共有、対称暗号化に基づいて構築された認証ソリューションは、モバイルTrustZone を利用する認証フローを提供できません。これはセキュリティの大きな一歩であるだけでなく、ベンダーが強力な顧客認証のためのPSD2コンプライアンスを満たせないことを意味します-これは、秘密鍵を隔離されたソフトウェアレイヤーに保存する必要があることを指定します(RTSセクション9.3)。

MPCの実装では、ハードウェアに支えられたこれらの不可欠なレイヤーを活用しないことにより、ユーザーの資格情報をマルウェアやデバイス側の攻撃の影響を受けやすくします。この欠点は、PSD2準拠の認証を展開するセキュリティチームやビジネスリーダーにとってハードルでした。

「FIDO認証は、現在、パスワードの問題を解決するための最良のソリューションです。」(Aetna 、シニアセキュリティアドバイザー、Abbie Barbirより)

FIDOが選ばれた理由

FIDOが共有秘密を排除し、パスワードのない最終状態に到達

真のパスワード不要のセキュリティにより、企業内にユーザー認証キーを保存する必要がなくなります。FIDOのPKIベースのアプローチにより、企業は、パスワードと共有シークレットが存在しない、この望ましい最終状態に到達することができました。悪意のあるハッカーによって盗まれたりフィッシングされたりする可能性のある共有秘密がないと、フィッシング、認証情報の詰め込み、およびパスワードの再利用のリスクが大幅に低下します。これにより、パスワードをなくそうとしている企業にとって、FIDOは魅力的なアプローチとなっています。

MPCはパスワードに基づくセキュリティを強化するために共有シークレットに依存しています

マルチパーティ認証は、複雑で異なる部分に分割される共有シークレットに依存しています。MPCは攻撃の複雑さと難易度を高めますが、依然として共有シークレット(本質的にはパスワード)に依存しています。それは「秘密の共有」という名前の中にあります。共有可能なシークレットは、悪意のある第三者によって盗まれ、再利用される可能性もあります。このアプローチは、クレデンシャルの再利用という根本的な問題を解決できないため、パスワードなしのセキュリティの拡張に効果的であることが証明されていません。

相互運用性

FIDOは10年未満であり、何十億ものユーザーに正常に展開されています。Multi-Party Computationはずっと以前から存在していますが、「パスワードの問題」をまだ解決しておらず、大規模なユーザー認証でのその使用はまだ初期段階にあります。

使いやすさ

FIDO仕様は、最新の認証用に作成されており、モバイルセキュリティにおけるモバイルの進歩を活用するように設計されています。正方形のペグを丸い穴に合わせようとするように、MPCは本来意図されていなかった使用例に適用されています。企業は、認証の概念を機能させるために、秘密分散プロトコルのシューホーン、改造、または再構築に失敗しました。

コミュニティ

FIDOエコシステムは、パスワードなしのテクノロジーの革新を加速しています。MPC認証は、暗号圏内の既存のコミュニティの派生物であり、成長し続ける可能性があります。ただし、非常に多くの研究が行われても、キー共有の概念に基づいて構築された独自のソリューションは、FIDOのような標準ベースのアプローチを中心に進化するコミュニティから恩恵を受けていません。相互運用可能でシンプルかつ安全な認証のビジョンは、コミュニティメンバー間で共有されます-コミュニティメンバー全員が、常に進化する標準に貢献できます。

次は何が来る?

MPCは複雑なユースケースで機能することが証明されており、ゼロトラスト実現の方法を引き続き推進しますが、FIDOは、大規模なユーザー集団で強力な認証をスケーリングするための勝者であることが証明されています。FIDO標準は、長い間作成され、改良されてきましたが、エコシステムのために設計、開発、採用されました。

FIDOは企業に勝ったかもしれませんが、IoTセキュリティの展望におけるMPCベースの認証の役割はありますか?認証のルネサンスには、長い道のりがあります。時間がたてば分かります。

SNSでもご購読できます。

コメントを残す

*