NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証（PIV）について

こんにちは、丸山満彦です。

連邦政府職員および委託業者の個人認証について、現在はFIPS 201-2で規定されているわけですが、その改訂に関するドラフトが公開されていますね。

日本政府もDXという前にインフラの整備をきっちりした方が良いかもですね。国ごとの特徴なんてカードの見た目以外はほとんど不要なので、まんまコピーで良いのではないでしょうかね。。。

● NIST- ITL

・2020.11.02 FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors

Publication:[PDF]FIPS 201-3 (Draft)

---

Abstract

Authentication of an individual’s identity is a fundamental component of physical and logical access control. An access control decision must be made when an individual attempts to access security-sensitive buildings, information systems, and applications. An accurate determination of an individual’s identity supports making sound access control decisions.

This document establishes a standard for a Personal Identity Verification (PIV) system that meets the control and security objectives of Homeland Security Presidential Directive-12 [HSPD-12]. It is based on secure and reliable forms of identity credentials issued by the Federal Government to its employees and contractors. These credentials are used by mechanisms that authenticate individuals who require access to federally controlled facilities, information systems, and applications. This Standard addresses requirements for initial identity proofing, infrastructure to support interoperability of identity credentials, and accreditation of organizations and processes issuing PIV credentials.

---

Supplemental Material:
[web] Web-based publication
[web] GitHub: review and comment
[xlsx] Comment template
[web] Posted comments
[web] Federal Register Notice

主要な変更点が記述されていますね。。。

#	原文	仮訳
1	Alignment with SP 800-63-3 language and terms.	SP 800-63-3 の記述、用語への整合
2	Updated OMB policy guidelines references from rescinded OMB memorandum M-04-04 to new guidelines in OMB memorandum M-19-17.	廃止されたOMB 覚書 M-04-04 から 新ガイドラインのOMB 覚書 M-19-17への OMB ポリシー・ガイドラインの参照を更新
3	Updated process for binding and termination of derived PIV credentials with PIV account.	PIV アカウントで派生した PIV クレデンシャルのバインドおよび終了プロセスの更新
4	Updated credentialing requirements for issuance of PIV Cards based on OPM guidance.	OPM ガイダンスに基づく PIV カード発行のためのクレデンシャル要件の更新
5	Added requirements for supervised remote identity proofing and PIV Card maintenance.	監督下の遠隔ID 証明および PIV カードの保守に関する要件の追加
6	Modified identity proofing requirements to reflect updated list of accepted documents.	受け入れ可能な文書の更新されたリストを反映するためのID 証明要件の変更
7	Updated guidance on validation of identity proofing documents.	ID 証明文書の妥当性確認に関するガイダンスの更新
8	Updated guidance on collection of biometric data for credentialing.	クレデンシャルのための生体データの収集に関するガイダンスの更新
9	Clarified multi-session proofing and enrollment.	複数セッションの証明および登録の明確化
10	Clarified biometric modalities for proofing and authentication.	証明および認証のためのバ生体様式の明確化
11	Provided clarification on grace periods.	猶予期間の明確化
12	Deprecated PIV National Agency Check with Written Inquiries (NACI) indicator (background investigation indicator).	廃止されたPIV全国庁の照会書付きチェック (NACI)インジケータ（背景調査インジケータ）の非推奨化
13	Updated system description and associated diagrams.	システムの説明と関連図の更新
14	It generalized chain of trust records to enrollment records and made these records required.	信頼の連鎖の記録の登録記録への一般化、これらの記録の必須化
15	Deprecated the use of magnetic stripes and bar codes on PIV Cards.	PIVカードの磁気ストライプとバーコードの使用廃止
16	Linked expiration of content signing certificate with card authentication certificate.	コンテンツ署名証明書の有効期限とカード認証証明書との関連付け
17	Revised PIN requirements based on SP 800-63B guidelines.	SP 800-63Bガイドラインに基づくPIN要件の改訂
18	Removed requirement for support of legacy PKIs.	レガシーPKIのサポート要件の削除
19	Expressed authentication assurance levels in terms of Physical Assurance Level (PAL) and Authenticator Assurance Level (AAL).	認証保証レベルを物理保証レベル(PAL)と認証者保証レベル(AAL)で記述
20	Removed previously deprecated Cardholder Unique Identifier (CHUID) authentication mechanisms. The CHUID data element has not been deprecated and continues to be mandatory.	従来から非推奨とされていた カード所有者の一意識別子 (CHUID) 認証メカニズムの削除。CHUID データ要素は非推奨ではなく、引き続き必須
21	Deprecated symmetric card authentication key and associated authentication mechanism (SYM-CAK).	対称カード認証キーおよび関連する認証メカニズム (SYM-CAK)の非推奨化
22	Added support for secure messaging authentication mechanism (SM-AUTH).	セキュアメッセージング認証メカニズム (SM-AUTH) のサポートの追加
23	Deprecated visual authentication mechanism (VIS).	視覚認証メカニズム(VIS)の非推奨化
24	Added section discussing federation in relationship to PIV credentials.	PIVクレデンシャルとの関係しフェデレーションについて議論するセクションを追加

 

 

[web] FIPS 201-3 Virtual Workshop (Dec. 9)

TOPICS

• Security and Privacy
  • access control
  • authentication
  • Personal Identity Verification
  • personnel security
    
    
• Technologies
  • biometrics
  • smart cards
    
    
• Laws and Regulations
  • Homeland Security Presidential Directive 12

 

 

---

目次とその仮訳です。。。

1	Introduction	序章
1.1	Purpose	目的
1.2	Scope	範囲
1.3	Change Management	変更管理
1.3.1	Backward Compatible Change	下位互換性のある変更
1.3.2	Backward Incompatible Change	下位互換性のない変更
1.3.3	New Features	新機能
1.3.4	Deprecated and Removed Features	非推奨および削除された機能
1.3.5	FIPS 201 Version Management	FIPS 201 バージョン管理
1.3.6	Section Number Stability	セクション番号安定性
1.4	Document Organization	文書構成
2	Common Identification, Security, and Privacy Requirements	一般的な識別、セキュリティ、およびプライバシーの要件
2.1	Control Objectives	統制目標
2.2	Credentialing Requirements	資格要件
2.3	Biometric Data Collection for Background Investigations	身元調査のための生体データ収集
2.4	Biometric Data Collection for PIV Card	PIVカードのための生体データ収集
2.5	Biometric Data Use	生体データの利用
2.6	PIV Enrollment Records	PIV登録記録
2.7	PIV Identity Proofing and Registration Requirements	PIV本人確認および登録要件
2.7.1	Supervised Remote Identity Proofing	監督下の遠隔ID証明
2.8	PIV Card Issuance Requirements	PIVカードの発行要件
2.8.1	Special Rule for Pseudonyms	仮名のための特別なルール
2.8.2	Grace Period	猶予期間
2.9	PIV Card Maintenance Requirements	PIVカードのメンテナンス要件
2.9.1	PIV Card Reissuance Requirements	PIVカードの再発行要件
2.9.2	PIV Card Post-Issuance Update Requirements	PIVカード発行後の更新要件
2.9.3	PIV Card Activation Reset	PIVカードのアクティベーションリセット
2.9.4	PIV Card Termination Requirements	PIVカードの解約条件
2.10	Derived PIV Credentials	派生PIVクレデンシャル
2.10.1	Derived PIV Credential Issuance Requirements	派生PIVクレデンシャル発行要件
2.10.2	Derived PIV Credential Invalidation Requirements	派生PIVクレデンシャル無効化要件
2.11	PIV Privacy Requirements	PIVプライバシーの要件
3	PIV System Overview	PIVシステムの概要
3.1	Functional Components	機能部品
3.1.1	PIV Front-End Subsystem	PIVフロントエンドサブシステム
3.1.2	PIV Issuance and Management Subsystem	PIV発行管理サブシステム
3.1.3	PIV Relying Subsystem	PIV依存サブシステム
3.2	PIV Card Lifecycle Activities	PIVカードのライフサイクル活動
3.3	Connections Between System Components	システムコンポーネント間の接続
4	PIV Front-End Subsystem	PIVフロントエンドサブシステム
4.1	PIV Card Physical Characteristics	PIVカードの物理的特性
4.1.1	Printed Material	印刷素材
4.1.2	Tamper-proofing and Resistance	いたずら防止と耐性
4.1.3	Physical Characteristics and Durability	物理的特性と耐久性
4.1.4	Visual Card Topography	ビジュアルカードトポグラフィー
4.1.5	Color Representation	色規定
4.2	PIV Card Logical Characteristics	PIVカードの論理的特性
4.2.1	Cardholder Unique Identifier	カード所有者の一意の識別子
4.2.2	Cryptographic Specifications	暗号仕様
4.2.3	Biometric Data Specifications	生体データの仕様
4.2.4	PIV Unique Identifiers	PIVユニーク識別子
4.3	PIV Card Activation	PIVカードのアクティベーション
4.3.1	Activation by Cardholder	カード所有者によるアクティベーション
4.3.2	Activation by Card Management System	カード管理システムによるアクティベーション
4.4	Card Reader Requirements	カードリーダーの要件
4.4.1	Contact Reader Requirements	連絡先リーダーの要件
4.4.2	Contactless Reader Requirements	非接触型リーダーの要件
4.4.3	Reader Interoperability	リーダーの相互運用性
4.4.4	Card Activation Device Requirements	カードアクティベーションデバイスの要件
5	PIV Key Management Requirements	PIV キーマネジメントの要件
5.1	Architecture	アーキテクチャ
5.2	PKI Certificate	PKI証明書
5.2.1	X.509 Certificate Contents	X.509 証明書の内容
5.3	X.509 Certificate Revocation List Contents	X.509 証明書失効リスト 目次
5.4	Legacy PKIs	レガシーPKI
5.5	PKI Repository and Online Certificate Status Protocol Responders	PKI リポジトリとオンライン証明書ステータスプロトコルのレスポンダ
5.5.1	Certificate and CRL Distribution	証明書とCRLの配布
5.5.2	OCSP Status Responders	OCSPのステータス対応
6	PIV Cardholder Authentication	PIVカード所有者認証
6.1	PIV Assurance Levels	PIV保証レベル
6.1.1	Relationship to Federal Identity Policy	連邦政府のアイデンティティポリシーとの関係
6.2	PIV Card Authentication Mechanisms	PIVカード認証の仕組み
6.2.1	Off-Card Biometric One-to-One Comparison	オフカード生体認証マンツーマン比較
6.2.2	On-Card Biometric One-to-One Comparison	オンカード生体認証マンツーマン比較
6.2.3	PIV Asymmetric Cryptography	PIV非対称暗号
6.2.4	Symmetric Card Authentication Key	対称カード認証キー
6.2.5	CHUID	CHUID
6.2.6	PIV Visual Credentials	PIVビジュアルクレデンシャル
6.3	PIV Support of Graduated Authenticator Assurance Levels	PIVによる段階的な認証機能の保証レベルのサポート
6.3.1	Physical Access	物理的アクセス
6.3.2	Logical Access	論理的アクセス
7	Federation Considerations for PIV	PIVのためのフェデレーションの考慮
7.1	Connecting PIV to Federation	PIVとフェデレーションの接続
7.2	Federation Assurance Level	フェデレーション保証レベル
7.3	Benefits of Federation	フェデレーションのメリット
Appendix A	PIV Validation, Certification, and Accreditation	PIVバリデーション、認証、認定
A.1	Accreditation of PIV Card Issuers and Derived PIV Credential Issuers	PIV カード発行者および派生 PIV クレデンシャル発行者の認定
A.2	Application of Risk Management Framework to IT Systems	リスクマネジメントフレームワークのITシステムへの適用
A.3	Conformance Testing of PIV Card Application and Middleware	PIVカードアプリケーションとミドルウェアの適合性テスト
A.4	Cryptographic Testing and Validation	暗号テストと検証
A.5	FIPS 201 Evaluation Program	FIPS 201 評価プログラム
Appendix B	PIV Object Identifiers and Certificate Extension	PIV オブジェクト識別子と証明書拡張
B.1	PIV Object Identifiers	PIV オブジェクト識別子
B.2	PIV Background Investigation Indicator Certificate Extension	PIV身元調査指標証明書の延長
Appendix C	Glossary of Terms, Acronyms, and Notations	用語集・略語・表記法
C.1	Glossary of Terms	用語集
C.2	Acronyms and Abbreviations	略語と略語
C.3	Notations	記法
Appendix D	References	参考文献
Appendix E	Revision History	改訂履歴