FIDO

指紋認証システムについて、取り扱っている業者の簡単な販促用資料というのを見せてもらった。
それ自体は特にどうということもないのだけれど、どういう業者かネットで調べると、FIDO(Fast IDentity Online Alliance)という標準化推進団体にも参加しているという。FIDOについては全く知らなかったので、どういうコンセプト、技術なのか調べてみた。

FIDOpresentation.jpg FIDO allianceのページはしっかり作られているようだが、英語の文献を読むのは面倒、探すとITproに解説記事のようなものがあった。
FIDOのアイデアは、本人認証とデバイス認証を分離したと説明されている。
間違っているかもしれないが、バイオ認証による本人認証部分、そして本人を認証したあとそのデバイスがサイト等の認証情報を創出する部分になっているらしい。
前に、本人認証と権限認証の違いについて書いたけれど、同様の構造になっているわけだ。

ということは、本人認証は別にバイオ認証である必要はない。たとえばICカードのようなものを使っても構造は同じ。
重要なことは、アプリケーションが認証するときには公開鍵システムによる本人確認を使うということらしい。つまり認証デバイスは、本人を認証できたら、あらかじめ登録してあるキーでアプリケーションのユーザー認証を受けるようだ。

これがなかなか良いアイデアではないかと思うのは、1つは認証の基礎となるバイオデータが外部には出ないということ。指紋認証そのものが標準化されたとして、もし標準化された指紋のデータが流出してしまったら、もうその指を使って認証を受けられなくなってしまうことになる(普通2本は登録するから、5回流出したらもう使えない)。しかしFIDOならそういう心配は随分小さくなる。また、より優れた認証技術の導入にも障害とならない。

もう1つは、アプリケーション側のユーザー認証が標準化されるだろうということ。そして多くのサイトが行っているだろうパスワード管理の負担が軽減されるだろうということ。そして、仮に登録されている公開鍵が流出したとしても、なにせもともと公開鍵であるからして、何の問題も起きないわけだ。

既にいくつかのサイトがFIDO対応をしているらしいし、タブレットなどのデバイス側の対応製品もあるようだ。Windows10も対応するという。

ふと思ったのだが、例のマイナンバー・カードには「空の」電子証明書が入っていて、マイナ・ポータルの利用時の本人認証に使うことが予定されているわけだが、「公的個人認証の民間利用」で、面白いけれど、使えるかなぁ、と書いた覚えがあるけれど、FIDOのような考え方だと、使えるかもしれない。
というのは、その記事では、個人の公開鍵そのものを相手に渡すのは、それで名寄せされる危険があると疑問を書いたわけだが、FIDOのように、端末側デバイスでカードを認証して、新たにキーペアを生成し、その公開鍵を登録するというやりかたにすれば登録する鍵はすべて違うものにできるのではないだろうか。(カードが識別できる情報であれば良く、電子証明書である必要はないけれど)

世の中にはなかなかの知恵者がいるもんだ。

関連記事
スポンサーサイト

コメントの投稿

非公開コメント

Gallery
検索フォーム

⇒記事一覧

プロフィール

六二郎。六二郎。


定年退職
苦しい家計の足しに再就職
=いつクビになってもええねん
 言うたもん勝ちや!のブログ
リンク
最新記事
最新コメント
最新トラックバック
アーカイブ
カテゴリ
タグ

書評 ITガジェット マイナンバー Audio/Visual 

現在の閲覧者数
聞いたもん