nist sp 800-63a #idcon vol.22
TRANSCRIPT
SP 800-63A Enrollment and Identity Proofing Requirements
#idcon vol.22 @ mixi
2016/11/1 tue.
Sami Maekawa
SAMI MAEKAWA
•前職 : 某社でシステムエンジニア(2007〜2014)
•現職 : フリーランス エンジニア(2015〜) 、他(2016〜)
• ID-WSF / SAML /
• OpenID Authentication, AX /
• OAuth 1.0 / OAuth 2.0 /
• OpenID Connect
• ID、認証、セキュリティ
• Webアプリケーション開発
• その他
2016/11/2 SP 800-63A
2
SP 800-63A
Enrollment and Identity Proofing
登録申請〜登録完了に至るまでのプロセス
Identity Assurance Level (IAL)について定義
2016/11/2 SP 800-63A
3
IDENTITY PROOFING JOURNEY 登録申請〜登録完了に至るまでのプロセス
IDENTITY PROOFING JOURNEY
5
IDENTITY PROOFING JOURNEY
申請者
CSP
6
登録申請
身分証
信頼できる機関
=
Credential
Hello, Alice!
Credential Alice
IALに関係するところ
CSP
7
信頼できる機関
= Alice
申請者
登録申請
身分証
Credential
5
身分証の 検証
アカウント
情報の検証
実在確認
1
6
2
収集する
属性情報
連絡先
3
身分証の種類
IDENTITY ASSURANCE LEVEL (IAL) IAL 1,IAL 2,IAL 3 の要件
各レベルの要件 要件 IAL 1 IAL 2 IAL 3
実在確認 必要
なし 対面あるいはリモートで確認 対面で確認
収集する
属性情報
必要
なし
一意に識別するために必要な最低限の情報のみに限定.
追加でKBVを利用しても良い.
IAL 2と同様.
ただし生体情報必須
身分証の
種類
必要
なし
• STRONG 2つ
• STRONG 1つ + ADEQUATE 2つ
• SUPERIOT 1つ +
STRONG 1つ
• STRONG 2つ +
ADEQUATE 1つ
身分証の
検証
必要
なし 提示された身分証と同じ強度の検証を実施
IAL 2と同じ
アカウント
情報の検証
必要
なし STRONG以上 SUPERIOR以上
連絡先 必要
なし
• 自己申告の連絡先は利用しない
• 身分証から取得した連絡先を利用
• 実在確認をリモートで行う場合は登録コードの送付&確認を本登録前に実施
• 自己申告の連絡先は利用しない
• 身分証から取得した連絡先を利用
9
1
2
3
4
5
6
新しい定義:強度(SCORE)
受入不可 UNACCEPTABLE
弱い WEAK
適切 ADEQUATE
強力 STRONG
上級 SUPERIOR
3 4 5
強度:低い
強度:高い
証明書類の種類
No. 種類の要件 受入不可 UNACCEPTABLE
弱い WEAK
適切 ADEQUATE
強力 STRONG
上級 SUPERIOR
1 発行時の身元確認なし ✔ ✔ - - -
2 発行時、身元確認済 - - ✔ ✔ ✔
3 身元確認は鑑査済み手順書に従っている - - - ✔ ✔
4 視覚的な身元確認を行っている - - - - ✔
5 連絡先確認済 & 識別番号記載あり - ✔ ✔ ✔ ✔
6 KBVで認証可能 - - OR - -
7 写真 or 画像を含む - - OR OR ✔
8 生体情報を含む - - OR OR ✔
9 暗号化あり & 複製困難 & 有効期限内 - - ✔ ✔ ✔
10 実名記載あり - - - ✔ ✔
11
3
2016/11/2 SP 800-63A
証明書類の検証
No. 種類の要件 受入不可 UNACCEPTABLE
弱い WEAK
適切 ADEQUATE
強力 STRONG
上級 SUPERIOR
1 検証失敗 ✔ - - - -
2 信頼機関が発行 or 内容が一致 - ✔ OR ✔ ✔
3 改ざんされていないことを物理的に検証 - - OR OR ✔
4 熟練した職人が確認 - - OR OR ✔
5 暗号機能を検証 - - OR OR ✔
12
2016/11/2 SP 800-63A
4
アカウント情報の検証
No. 種類の要件 受入不可 UNACCEPTABLE
弱い WEAK
適切 ADEQUATE
強力 STRONG
上級 SUPERIOR
1 未検証 or 検証失敗、証明不可 ✔ - - - -
2 対象アカウントのサポートは可能 - ✔ - - -
3 KBVで認証済 - - OR - -
4 物理的に認証済 - - OR OR -
5 生体認証済 - - OR OR ✔
6 SP 800-63B 5.2.3 の要件を満たす - - - ✔ ✔
13
2016/11/2 SP 800-63A
5
SECURITY 存在する脅威や攻撃と、その対処法
存在する脅威
CSP
15
信頼できる機関
= Alice
申請者
登録申請
身分証
Credential
1
3
漏えい
改ざん
偽装
他者の不正利用
登録の否認
不正発行
2
4
Social
Engineering
5
攻撃例と対策 脅威 攻撃例 低減策
登録時の攻撃
偽装 偽造した運転免許証で登録申請
物理的な検証を実施
他者の
不正利用 他人のパスポートで登録申請
信頼機関の情報と突合
生体情報の検証
登録の否認 登録済みユーザが登録していないと主張
署名をもらう
Social
engineering 他者を操作して登録 重複レコードの存在確認
発行時の攻撃
漏えい Authenticatorを盗まれる
発行はCSP自身で行う
密封して確実な住所に物理的に送付
保護されたセッションで電子的に送付
改ざん Authenticator を変更される
密封して確実な住所に物理的に送付
保護されたセッションで電子的に送付
ユーザが発行元検証を行えるようにする
不正発行 / Social
engineering
他者にクレデンシャルを渡してしまう
受取者が申請者と同一であることを確認
複数の独立した人物の介在が必要な複数制御な発行方法にする
16
1
2
3
5
4 5
以上、 何回もある認証時も大事だけど、
1回しかない登録時のことも忘れないでね!
