独国 BSI 技術ガイドライン TR-03166 - 認証用機器におけるバイオメトリクス認証コンポーネントに関する技術ガイドラインについての意見募集
こんにちは、丸山満彦です。
ドイツの 情報セキュリティに関する連邦事務局 (Bundesamt für Sicherheit in der Informationstechnik) が認証用機器におけるバイオメトリクス認証コンポーネントに関する技術ガイドライン、TR-03166の草案を公開し、意見募集をしていますね。。。
報告書は英語です。。。
プレスです
● Bundesamt für Sicherheit in der Informationstechnik
・2021.07.02 BSI veröffentlicht Community Draft zur Kommentierung der BSI TR-03166
BSI veröffentlicht Community Draft zur Kommentierung der BSITR-03166 | BSIはBSI TR-03166に対するコメントを募集するコミュニティドラフトを公開しました。 |
Der erste Community Draft der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten BSI TR-03166 definiert in Anlehnung an die eIDAS-Verordnung drei Vertrauensniveaus. Diese zeichnen sich durch unterschiedliche biometrische Performanz und Stärke aus, um Präsentationsangriffe rechtzeitig zu erkennen. Die Technische Richtlinie soll ein erster Baustein auf dem Weg hin zu biometrischer Authentifikation mittels zertifizierten mobilen Verbraucherendgeräten sein und in der Folge Identitätsmissbräuche erschweren. | ドイツ連邦情報セキュリティ局(BSI)が発表したBSI TR-03166の最初のコミュニティドラフトでは、eIDAS規則に基づいて3つの信頼レベルを定義しています。これらは、プレゼンテーション攻撃を時間内に検出するために、異なるバイオメトリクスの性能と強度によって特徴付けられます。本技術ガイドラインは、認証されたモバイルコンシューマー端末によるバイオメトリクス認証を実現するための最初のビルディングブロックとなり、その後、IDの不正使用をより困難にすることを目的としています。 |
Viele Bürger verwenden täglich Biometrie in privaten mobilen Geräten. Das Notebook wird über den Fingerabdruckscanner entsperrt oder ein Blick auf das Smartphone genügt, um Zugriff auf gespeicherte Daten und eingerichtete Dienste zu erhalten. Ein Gerät kann bei fehlenden Vorkehrungen von einem Dritten mit nachgemachten biometrischen Merkmalen, wie einem Bild aus den sozialen Medien, entsperrt werden (Präsentationsangriff). Mit ihrer zweigeteilten Charakteristik macht die Technische Richtlinie einerseits Vorgaben bezüglich der biometrischen Performanz und der Widerstandsfähigkeit einer biometrischen Authentifikationskomponente gegenüber Präsentationsangriffen. Diese müssen von Dienstleistern bezüglich einer sicheren und vertrauensvollen Authentifikation berücksichtigt werden. Anderseits werden Empfehlungen anhand eines Smartphones gegeben wie Biometrie als ein Authentifikationsfaktor von Software-Entwicklern implementiert und Biometrie letztendlich vom Nutzer verwendet werden kann. | 多くの市民が日常的に個人用のモバイル機器でバイオメトリクスを使用しています。ノートブックのロック解除は、指紋認証で行うか、スマートフォンを一目見るだけで、保存されたデータへのアクセスやサービスの設定が可能です。何の対策もしていなければ、ソーシャルメディア上の写真などの生体情報を模倣して、第三者がデバイスのロックを解除することができます(プレゼンテーション攻撃)。この技術ガイドラインは、2つの部分から構成されているのが特徴で、一つはバイオメトリクスの性能で、もう一つはバイオメトリクス認証コンポーネントのプレゼンテーション攻撃に対する耐性について規定しています。サービスプロバイダーは、安全で信頼できる認証に関して、これらを考慮しなければなりません。一方で、ソフトウェア開発者が認証要素としてバイオメトリクスをどのように実装し、最終的にユーザーがバイオメトリクスをどのように利用できるかについて、スマートフォンをベースにした提言がなされています。 |
説明です
BSI TR-03166 Technical Guideline for Biometric Authentication Components in Devices for Authentication | BSI TR-03166 認証用機器におけるバイオメトリクス認証コンポーネントの技術ガイドライン |
Biometrie bietet den Komfort einer einfachen Authentifikation. Dieser zeichnet sich dadurch aus, dass biometrische Charakteristika nicht vergessen oder ohne Weiteres verloren werden können, wie dies beispielsweise bei PINs oder Passwörtern der Fall ist. Aus den genannten Gründen wird Biometrie als Authentifikationsfaktor immer häufiger angewendet. Ein prominentes Beispiel hierfür ist das Smartphone, welches viele technische Merkmale, wie Konnektivität zu internen und externen Netzwerken, Speicherung von sensiblen Daten und vielfältiger Sensorik vereint. Biometrie ist meist eine Möglichkeit zur Verifikation oder Authentifikation gegenüber offline und online Diensten auf einem entsprechenden Gerät. Zu nennen sind hier aktuell die biometrischen Modalitäten Finger und Gesicht, die mit in Smartphones integrierter Hard- und Software verwendet werden. Durch die fortschreitende Digitalisierung verschwimmt zunehmend die zuvor strikte Trennung zwischen privater Hardware und hoheitlicher Anwendung. Um Identitätsmissbräuche zu erschweren und ein Vertrauensniveau in einer biometrischen Verifikation oder Authentifikation zu erzeugen, sind Definitionen für biometrische Performanzwerte, wie auch eine Präsentationsangriffsdetektion (engl. Presentation Attack Detection PAD) notwendig. Denn im Gegensatz zu Passwörtern und Authentisierungstoken ist die Anzahl an biometrischen Instanzen begrenzt und sie lassen sich, wenn einmal veröffentlicht, nicht beliebig häufig ändern oder löschen. | バイオメトリクスは、シンプルな認証の利便性を提供します。これは、例えば暗証番号やパスワードのように、生体の特徴を忘れたり、簡単に失ったりすることができないという特徴があります。上記のような理由から、バイオメトリクスが認証要素として使用されることが多くなっています。その代表例がスマートフォンです。スマートフォンは、社内外のネットワークへの接続、機密データの保存、多様なセンサー技術など、多くの技術的機能を兼ね備えています。バイオメトリクスとは、主に、対応するデバイス上のオフラインおよびオンラインサービスに対する検証または認証の方法です。現在、指と顔のバイオメトリック・モダリティは、スマートフォンに組み込まれたハードウェアとソフトウェアで使用されています。デジタル化の進展により、これまで厳格に区分されていた個人のハードウェアと主権者のアプリケーションとの関係がますます曖昧になってきています。IDの不正使用をより困難にし、バイオメトリクスによる検証や認証に信頼性を持たせるためには、バイオメトリクスの性能値やPAD(Presentation Attack Detection)の定義が必要です。これは、パスワードや認証トークンとは異なり、バイオメトリクスのインスタンスの数は限られており、一度公開すると何度も変更や削除ができないためです。 |
Die Technische Richtlinie "Technical Guideline for Biometric Authentication Components in Devices for Authentication” (BSI TR-03166) macht Vorgaben und gibt Empfehlungen bezüglich Biometrie als ein Authentifikationsfaktor neben Wissen und Besitz. Die entsprechenden Performanzanforderungen und die Forderung nach PAD-Funktionalitäten sind angelehnt an Anforderungen aus der eIDAS-Verordnung. Zukünftige Anwendungsszenarien können es erforderlich machen, dass eine biometrische Verifikation oder Authentifikation einem dem Anwendungsszenario angemessenen Vertrauensniveau entspricht. Das erforderliche Vertrauensniveau in die Authentifikation wird durch den Service oder Dienst selbst bestimmt. Exemplarisch sind im Anhang der Technischen Richtlinie Verwendungsszenarien am Beispiel eines Smartphones skizziert. | 技術ガイドライン「Technical Guideline for Biometric Authentication Components in Devices for Authentication」(BSI TR-03166)では、知識や所有に加えて、認証要素としてのバイオメトリクスに関する仕様や推奨事項が定められています。対応する性能要件とPADの機能性に対する要求は、eIDAS規則の要件に基づいています。将来のアプリケーションシナリオでは、バイオメトリクス検証または認証が、アプリケーションシナリオに適した信頼レベルに対応することが必要になるかもしれません。認証に必要な信頼度は、サービスまたはサービス自体によって決定されます。スマートフォンを例にした例示的な使用シナリオは、技術ガイドラインの付属書に記載されています。 |
・[PDF]
目時 ↓↓↓↓↓
1 Introduction | 1 はじめに |
1.1 Motivation | 1.1 動機 |
1.2 Scope | 1.2 範囲 |
1.2.1 Goals | 1.2.1 目標 |
1.2.2 Target Audience and Applications | 1.2.2 対象となるお客様とアプリケーション |
1.2.3 Objectives | 1.2.3 目的 |
1.2.4 System Model | 1.2.4 システムモデル |
1.3 Overview | 1.3 概要 |
1.3.1 How to use this Technical Guideline | 1.3.1 本テクニカルガイドラインの使用方法 |
1.4 Key Words | 1.4 キーワード |
1.5 Key Documents | 1.5 キードキュメント |
1.5.1 Authentication Methods According to Existing Standards | 1.5.1 既存の規格に準拠した認証方法 |
2 Biometric Verification for Authentication | 2 認証のためのバイオメトリクス認証 |
2.1 Biometric Verification in Single-Factor Authentication | 2.1 単一要素認証におけるバイオメトリクス認証 |
2.2 Biometric Verification in Multi-Factor Authentication | 2.2 多要素認証におけるバイオメトリクス認証 |
2.2.1 Biometric Verification in Multi-Stage Authentication | 2.2.1 多段階認証におけるバイオメトリクス認証 |
2.3 Authentication Factors | 2.3 認証要素 |
2.3.1 Biometric Verification for Authentication | 2.3.1 認証のためのバイオメトリクス認証 |
3 General and Specific Requirements for Biometrics as an Authentication Factor | 3 認証要素としてのバイオメトリクスの一般的および特殊な要件 |
3.1 Enrolment Quality Requirements | 3.1 エンロールメント品質要件 |
3.2 Re-enrolment, Withdrawal and Suspension of a Biometric Characteristic | 3.2 バイオメトリクス特性の再登録、脱退、および停止 |
3.3 [N] Requirements for Biometric Assurance Level "normal" | 3.3 [N] バイオメトリクス保証レベル "通常" に関する要件 |
3.3.1 [GEN] General Requirements | 3.3.1 [GEN] 一般要求事項 |
3.3.2 [MM] Multimodal | 3.3.2 [MM] マルチモーダル |
3.3.3 [FP] Modality: Finger | 3.3.3 [FP] Modality: 指 |
3.3.4 [FA] Modality: Face | 3.3.4 [FA] Modality: 顔 |
3.3.5 Combinations for Multi-factor Authentication to Achieve Assurance Level “normal” | 3.3.5 保証レベル "normal "を達成するための多要素認証の組み合わせ |
3.3.6 Application Modules | 3.3.6 アプリケーション・モジュール |
3.4 [S] Requirements for Biometric Assurance Level "substantial" | 3.4 [S] バイオメトリクスの保証レベル "相当" のための要件 |
3.4.1 [GEN] General Requirements | 3.4.1 [GEN] 一般要求事項 |
3.4.2 [MM] Multimodal | 3.4.2 [MM] マルチモーダル |
3.4.3 [FP] Modality: Finger | 3.4.3 [FP] Modality: 指 |
3.4.4 [FA] Modality: Face | 3.4.4 [FA] Modality: 顔 |
3.4.5 Combinations for Multi-factor Authentication to Achieve Assurance Level “substantial” | 3.4.5 保証レベル "相当" を達成するための多要素認証の組み合わせ |
3.4.6 Application Modules | 3.4.6 アプリケーション・モジュール |
3.5 [H] Requirements for Biometric Assurance Level “high” | 3.5 [H] バイオメトリクスの保証レベル "高"のための要件 |
3.5.1 [GEN] General Requirements | 3.5.1 [GEN] 一般要求事項 |
3.5.2 [MM] Multimodal | 3.5.2 [MM] マルチモーダル |
3.5.3 [FP] Modality: Finger | 3.5.3 [FP] Modality: 指 |
3.5.4 [FA] Modality: Face | 3.5.4 [FA] Modality: 顔 |
3.5.5 Combinations for multi- factor Authentication to Achieve Assurance Level “high” | 3.5.5 保証レベル "高" を達成するための多要素認証の組み合わせ |
3.5.6 Application Modules | 3.5.6 アプリケーション・モジュール |
A1. Terms and Definitions | A1. 用語と定義 |
A2. Improving Biometrics Usability | A2. バイオメトリクスの使いやすさの向上 |
A3. Use Cases | A3. ユースケース |
UC1a. Unlocking a Device | UC1a. デバイスのロック解除 |
UC1b. Unlocking a Physical Lock via Biometric Verification for Authentication | UC1b. 生体認証による認証で物理的なロックを解除する場合 |
UC.2 Running Applications on a Smartphone / Tablet | UC.2 スマートフォン/タブレットでのアプリケーションの実行 |
UC.2a Running Applications without Internet Connection | UC.2a インターネットに接続せずにアプリケーションを実行する |
UC.2b Running Applications with Internet Connection | UC.2b インターネットに接続してアプリケーションを実行する |
A4. Abbreviation List | A4. 略語一覧 |
4 Bibliography | 4 参考文献 |
« 中国共産党100周年の演説 at 天安門広場 by 習近平さん | Main | 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される »
Comments