« カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28) | Main | ブラジルの裁判所のシステムがランサムウェアの攻撃を受けて停止中のようですね。 »

2020.11.05

NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

こんにちは、丸山満彦です。

連邦政府職員および委託業者の個人認証について、現在はFIPS 201-2で規定されているわけですが、その改訂に関するドラフトが公開されていますね。

日本政府もDXという前にインフラの整備をきっちりした方が良いかもですね。国ごとの特徴なんてカードの見た目以外はほとんど不要なので、まんまコピーで良いのではないでしょうかね。。。

● NIST- ITL

・2020.11.02 FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors

Publication:[PDF]FIPS 201-3 (Draft)


Abstract

Authentication of an individual’s identity is a fundamental component of physical and logical access control. An access control decision must be made when an individual attempts to access security-sensitive buildings, information systems, and applications. An accurate determination of an individual’s identity supports making sound access control decisions.

This document establishes a standard for a Personal Identity Verification (PIV) system that meets the control and security objectives of Homeland Security Presidential Directive-12 [HSPD-12]. It is based on secure and reliable forms of identity credentials issued by the Federal Government to its employees and contractors. These credentials are used by mechanisms that authenticate individuals who require access to federally controlled facilities, information systems, and applications. This Standard addresses requirements for initial identity proofing, infrastructure to support interoperability of identity credentials, and accreditation of organizations and processes issuing PIV credentials.


Supplemental Material:
[web] Web-based publication
[web] GitHub: review and comment
[xlsx] Comment template
[web] Posted comments
[web] Federal Register Notice

主要な変更点が記述されていますね。。。

# 原文 仮訳
1 Alignment with SP 800-63-3 language and terms. SP 800-63-3 の記述、用語への整合
2 Updated OMB policy guidelines references from rescinded OMB memorandum M-04-04 to new guidelines in OMB memorandum M-19-17. 廃止されたOMB 覚書 M-04-04 から 新ガイドラインのOMB 覚書 M-19-17への OMB ポリシー・ガイドラインの参照を更新
3 Updated process for binding and termination of derived PIV credentials with PIV account. PIV アカウントで派生した PIV クレデンシャルのバインドおよび終了プロセスの更新
4 Updated credentialing requirements for issuance of PIV Cards based on OPM guidance. OPM ガイダンスに基づく PIV カード発行のためのクレデンシャル要件の更新
5 Added requirements for supervised remote identity proofing and PIV Card maintenance. 監督下の遠隔ID 証明および PIV カードの保守に関する要件の追加
6 Modified identity proofing requirements to reflect updated list of accepted documents. 受け入れ可能な文書の更新されたリストを反映するためのID 証明要件の変更
7 Updated guidance on validation of identity proofing documents. ID 証明文書の妥当性確認に関するガイダンスの更新
8 Updated guidance on collection of biometric data for credentialing. クレデンシャルのための生体データの収集に関するガイダンスの更新
9 Clarified multi-session proofing and enrollment. 複数セッションの証明および登録の明確化
10 Clarified biometric modalities for proofing and authentication. 証明および認証のためのバ生体様式の明確化
11 Provided clarification on grace periods. 猶予期間の明確化
12 Deprecated PIV National Agency Check with Written Inquiries (NACI) indicator (background investigation indicator). 廃止されたPIV全国庁の照会書付きチェック (NACI)インジケータ(背景調査インジケータ)の非推奨化
13 Updated system description and associated diagrams. システムの説明と関連図の更新
14 It generalized chain of trust records to enrollment records and made these records required. 信頼の連鎖の記録の登録記録への一般化、これらの記録の必須化
15 Deprecated the use of magnetic stripes and bar codes on PIV Cards. PIVカードの磁気ストライプとバーコードの使用廃止
16 Linked expiration of content signing certificate with card authentication certificate. コンテンツ署名証明書の有効期限とカード認証証明書との関連付け
17 Revised PIN requirements based on SP 800-63B guidelines. SP 800-63Bガイドラインに基づくPIN要件の改訂
18 Removed requirement for support of legacy PKIs. レガシーPKIのサポート要件の削除
19 Expressed authentication assurance levels in terms of Physical Assurance Level (PAL) and Authenticator Assurance Level (AAL). 認証保証レベルを物理保証レベル(PAL)と認証者保証レベル(AAL)で記述
20 Removed previously deprecated Cardholder Unique Identifier (CHUID) authentication mechanisms. The CHUID data element has not been deprecated and continues to be mandatory. 従来から非推奨とされていた カード所有者の一意識別子 (CHUID) 認証メカニズムの削除。CHUID データ要素は非推奨ではなく、引き続き必須
21 Deprecated symmetric card authentication key and associated authentication mechanism (SYM-CAK). 対称カード認証キーおよび関連する認証メカニズム (SYM-CAK)の非推奨化
22 Added support for secure messaging authentication mechanism (SM-AUTH). セキュアメッセージング認証メカニズム (SM-AUTH) のサポートの追加
23 Deprecated visual authentication mechanism (VIS). 視覚認証メカニズム(VIS)の非推奨化
24 Added section discussing federation in relationship to PIV credentials. PIVクレデンシャルとの関係しフェデレーションについて議論するセクションを追加

 

 

[web] FIPS 201-3 Virtual Workshop (Dec. 9)

TOPICS

 

 


目次とその仮訳です。。。

1 Introduction 序章
1.1 Purpose 目的
1.2 Scope 範囲
1.3 Change Management 変更管理
1.3.1 Backward Compatible Change 下位互換性のある変更
1.3.2 Backward Incompatible Change 下位互換性のない変更
1.3.3 New Features 新機能
1.3.4 Deprecated and Removed Features 非推奨および削除された機能
1.3.5 FIPS 201 Version Management FIPS 201 バージョン管理
1.3.6 Section Number Stability セクション番号安定性
1.4 Document Organization 文書構成
2 Common Identification, Security, and Privacy Requirements 一般的な識別、セキュリティ、およびプライバシーの要件
2.1 Control Objectives 統制目標
2.2 Credentialing Requirements 資格要件
2.3 Biometric Data Collection for Background Investigations 身元調査のための生体データ収集
2.4 Biometric Data Collection for PIV Card PIVカードのための生体データ収集
2.5 Biometric Data Use 生体データの利用
2.6 PIV Enrollment Records PIV登録記録
2.7 PIV Identity Proofing and Registration Requirements PIV本人確認および登録要件
2.7.1  Supervised Remote Identity Proofing 監督下の遠隔ID証明
2.8 PIV Card Issuance Requirements PIVカードの発行要件
2.8.1  Special Rule for Pseudonyms 仮名のための特別なルール
2.8.2  Grace Period 猶予期間
2.9 PIV Card Maintenance Requirements PIVカードのメンテナンス要件
2.9.1  PIV Card Reissuance Requirements PIVカードの再発行要件
2.9.2  PIV Card Post-Issuance Update Requirements PIVカード発行後の更新要件
2.9.3  PIV Card Activation Reset PIVカードのアクティベーションリセット
2.9.4  PIV Card Termination Requirements PIVカードの解約条件
2.10 Derived PIV Credentials 派生PIVクレデンシャル
2.10.1  Derived PIV Credential Issuance Requirements 派生PIVクレデンシャル発行要件
2.10.2  Derived PIV Credential Invalidation Requirements 派生PIVクレデンシャル無効化要件
2.11 PIV Privacy Requirements PIVプライバシーの要件
3 PIV System Overview PIVシステムの概要
3.1 Functional Components 機能部品
3.1.1  PIV Front-End Subsystem PIVフロントエンドサブシステム
3.1.2  PIV Issuance and Management Subsystem PIV発行管理サブシステム
3.1.3  PIV Relying Subsystem PIV依存サブシステム
3.2 PIV Card Lifecycle Activities PIVカードのライフサイクル活動
3.3 Connections Between System Components システムコンポーネント間の接続
4 PIV Front-End Subsystem PIVフロントエンドサブシステム
4.1 PIV Card Physical Characteristics PIVカードの物理的特性
4.1.1  Printed Material 印刷素材
4.1.2  Tamper-proofing and Resistance いたずら防止と耐性
4.1.3  Physical Characteristics and Durability 物理的特性と耐久性
4.1.4  Visual Card Topography ビジュアルカードトポグラフィー
4.1.5  Color Representation 色規定
4.2 PIV Card Logical Characteristics PIVカードの論理的特性
4.2.1  Cardholder Unique Identifier カード所有者の一意の識別子
4.2.2  Cryptographic Specifications 暗号仕様
4.2.3  Biometric Data Specifications 生体データの仕様
4.2.4  PIV Unique Identifiers PIVユニーク識別子
4.3 PIV Card Activation PIVカードのアクティベーション
4.3.1  Activation by Cardholder カード所有者によるアクティベーション
4.3.2  Activation by Card Management System カード管理システムによるアクティベーション
4.4 Card Reader Requirements カードリーダーの要件
4.4.1  Contact Reader Requirements 連絡先リーダーの要件
4.4.2  Contactless Reader Requirements 非接触型リーダーの要件
4.4.3  Reader Interoperability リーダーの相互運用性
4.4.4  Card Activation Device Requirements カードアクティベーションデバイスの要件
5 PIV Key Management Requirements PIV キーマネジメントの要件
5.1 Architecture アーキテクチャ
5.2 PKI Certificate PKI証明書
5.2.1  X.509 Certificate Contents X.509 証明書の内容
5.3 X.509 Certificate Revocation List Contents X.509 証明書失効リスト 目次
5.4 Legacy PKIs レガシーPKI
5.5 PKI Repository and Online Certificate Status Protocol Responders PKI リポジトリとオンライン証明書ステータスプロトコルのレスポンダ
5.5.1  Certificate and CRL Distribution 証明書とCRLの配布
5.5.2  OCSP Status Responders OCSPのステータス対応
6 PIV Cardholder Authentication PIVカード所有者認証
6.1 PIV Assurance Levels PIV保証レベル
6.1.1  Relationship to Federal Identity Policy 連邦政府のアイデンティティポリシーとの関係
6.2 PIV Card Authentication Mechanisms PIVカード認証の仕組み
6.2.1  Off-Card Biometric One-to-One Comparison オフカード生体認証マンツーマン比較
6.2.2  On-Card Biometric One-to-One Comparison オンカード生体認証マンツーマン比較
6.2.3  PIV Asymmetric Cryptography PIV非対称暗号
6.2.4  Symmetric Card Authentication Key 対称カード認証キー
6.2.5  CHUID CHUID
6.2.6  PIV Visual Credentials PIVビジュアルクレデンシャル
6.3 PIV Support of Graduated Authenticator Assurance Levels PIVによる段階的な認証機能の保証レベルのサポート
6.3.1  Physical Access 物理的アクセス
6.3.2  Logical Access 論理的アクセス
7 Federation Considerations for PIV PIVのためのフェデレーションの考慮
7.1 Connecting PIV to Federation PIVとフェデレーションの接続
7.2 Federation Assurance Level フェデレーション保証レベル
7.3 Benefits of Federation フェデレーションのメリット
Appendix A PIV Validation, Certification, and Accreditation PIVバリデーション、認証、認定
A.1  Accreditation of PIV Card Issuers and Derived PIV Credential Issuers PIV カード発行者および派生 PIV クレデンシャル発行者の認定
A.2  Application of Risk Management Framework to IT Systems リスクマネジメントフレームワークのITシステムへの適用
A.3  Conformance Testing of PIV Card Application and Middleware PIVカードアプリケーションとミドルウェアの適合性テスト
A.4  Cryptographic Testing and Validation 暗号テストと検証
A.5  FIPS 201 Evaluation Program FIPS 201 評価プログラム
Appendix B PIV Object Identifiers and Certificate Extension PIV オブジェクト識別子と証明書拡張
B.1  PIV Object Identifiers PIV オブジェクト識別子
B.2  PIV Background Investigation Indicator Certificate Extension PIV身元調査指標証明書の延長
Appendix C Glossary of Terms, Acronyms, and Notations 用語集・略語・表記法
C.1  Glossary of Terms 用語集
C.2  Acronyms and Abbreviations 略語と略語
C.3  Notations 記法
Appendix D References 参考文献
Appendix E Revision History 改訂履歴

|

« カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28) | Main | ブラジルの裁判所のシステムがランサムウェアの攻撃を受けて停止中のようですね。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28) | Main | ブラジルの裁判所のシステムがランサムウェアの攻撃を受けて停止中のようですね。 »