WebAuthn

WebAuthn †

名称 †

• Web Authentication

概要 †

• FIDO認証を実現するWebブラウザの機能（API）
  • JavaScriptを使ってAPIにアクセスする
• パスワードを使わない認証（パスワードレス）の仕組み
  • 2要素認証（公開鍵暗号方式を使う。SMSを使わない）
• フィッシング攻撃の耐性がある

API（JavaScript） †

• Web Authentication API
  • Credential Management API をベースにしている

• 登録

  navigator.credentials.create()

  • パラメータ

    Attachment
    User Verification
    Require ResidentKey

• 認証

  navigator.credentials.get()

  • パラメータ

    Allow Credentials

登場人物 †

• Authenticator
  • 認証器（FIDO Authenticator）
  • 認証（デバイスのPIN、指紋認証など）
  • 秘密鍵の管理（Webアプリのorigin毎の鍵ペアを生成し、秘密鍵を保持する）
  • 署名の生成（認証時にWebアプリから渡された乱数に署名する）
  • Cross-platform Authenticator :セキュリティキーなど
  • Platform Authenticator :OS提供機能など（Platform API）

• Relying Party
  • Webアプリ
  • 認証器 が生成した公開鍵を保持する
  • 認証要求時に乱数を生成して認証器 に渡す

• Client
  • Webブラウザ
  • 認証器とWebアプリ間を中継する
  • WebアプリのJavaScriptによりWebブラウザのWebAuthn(API)が呼び出される
  • Webアプリのoriginを指定して認証器を呼び出す。その際にWebアプリから受け取った乱数を認証器に渡す

採用を発表している企業・団体 †

• Google
• Mozilla
• Microsoft
  • Edge - 2018年10月対応予定

ブラウザの設定 †

Firefox †

• about:config
  • security.webauth.webauthn
  • security.webauth.webauthn_enable_softtoken
  • security.webauth.webauthn_enable_usbtoken

関連サイト †

• W3C
  • https://www.w3.org/TR/webauthn/
  • https://www.w3.org/Webauthn

• https://developer.mozilla.org/ja/docs/Web/API/Web_Authentication_API　※日本語訳
• https://webauthn.org/　※デモ

関連用語 †

• 認証
• 公開鍵暗号方式
• チャレンジ・レスポンス認証
• セキュリティキー
• Attestation
• FIDO2 -FIDO
• TPM