米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン
こんにちは、丸山満彦です。
NISTが「 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン」と同時に、「SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン」を公表し、意見募集をしていますね。。。
● NIST - ITL
・2023.01.10 SP 800-157 Rev. 1 (Draft) Guidelines for Derived Personal Identity Verification (PIV) Credentials
| SP 800-157 Rev. 1 (Draft) Guidelines for Derived Personal Identity Verification (PIV) Credentials | SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン |
| Announcement | 発表 |
| Summary | 概要 |
| This publication complements FIPS 201-3, which defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. The draft guidelines in SP 800-157r1 detail the issuance and maintenance of authenticators used as derived PIV credentials. | この出版物は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義する FIPS 201-3 を補完するものである。SP 800-157r1 のドラフトガイドラインは、派生 PIV クレデンシャルとして使用される認証子の発 行および保守について詳述している。 |
| ... | ... |
| Note to Reviewers | 査読者への注記 |
| Draft NIST SP 800-157r1 Guidelines for Derived Personal Identity Verification (PIV) Credentials expands the use of derived PIV credentials beyond mobile devices to include non-PKI-based phishing-resistant multi-factor credentials. The draft details the expanded set of derived PIV credentials in a variety of form factors and authenticator types as envisioned in OMB Memoranda M-19-22 and M-22-09, and subsequently outlined in FIPS 201-3. The cross-domain and interagency use of these credentials is provided by federation protocols outlined in the initial public draft of SP 800-217, Guidelines for PIV Federation. Both documents are closely aligned with draft release SP 800-63-4, Digital Identity Guidelines. NIST hopes that the draft document enables a close alignment with new and emerging digital authentication and federation technologies employed in the federal government, while maintaining a strong security posture. | 派生個人アイデンティティ検証(PIV)クレデンシャルに関する NIST SP 800-157r1 ガイドラインドラフトは、派生 PIV クレデンシャルの使用をモバイル・デバイスを超えて、非 PKI ベースのフィッシング耐性多要素クレデンシャルに拡大する。ドラフトは、OMB メモランダム M-19-22 および M-22-09 で想定され、その後 FIPS 201-3 で概説された、さまざまなフォームファクタおよび認証子タイプでの派生 PIV クレデンシャルの拡張セットについて詳述している。これらのクレデンシャルの分野横断的および省庁間の使用は、SP 800-217「PIV フェデレーション のガイドライン」の最初の公開ドラフトに概説されているフェデレーション・プロトコルによって提供され る。両方の文書は、ドラフト・リリース SP 800-63-4「デジタル ID ガイドライン」と緊密に連携している。NIST は、このドラフト文書によって、連邦政府で採用されている新し いデジタル認証およびフェデレーション技術と緊密に連携し、強力なセキュリティ体 制を維持することができるようになることを期待している。 |
| NIST is specifically interested in comments on and recommendations for the following topics: | NIST は、特に以下のトピックに関するコメントおよび推奨事項を求めている。 |
| 1. Are the new controls for issuance, use, maintenance, and termination of non-PKI-based derived PIV credentials clear and practical to implement? | 1. 非 PKI ベースの派生 PIV クレデンシャルの発行、使用、維持、および終了に関する新しい管理は、 明確であり実施に実用的であるか。 |
| 2. Are phishing-resistant authenticators available to meet agency use cases as well as the requirements for derived PIV authentication? | 2. フィッシング耐性のある認証器は、派生 PIV 認証の要件だけでなく、機関の使用事例を満たすために利用可能であるか。 |
| 3. Are the new controls sufficient to provide comparable assurance to PIV Cards and other derived PIV credentials? | 3. 新しい管理は、PIV カードおよび他の派生 PIV クレデンシャルに匹敵する保証を提供す るのに十分であるか。 |
| Abstract | 概要 |
| This recommendation provides technical guidelines for the implementation of standards-based, secure, reliable credentials that are issued by federal departments and agencies to individuals who possess and prove control of their valid PIV Card. These credentials can be either public key infrastructure (PKI)-based like the PIV Card or non PKI-based but verified by the individual's home agency. The scope of this document includes requirements for the initial issuance and maintenance of these credentials, certificate policies as applicable, cryptographic specifications, technical specifications for permitted authenticator types, and the command interfaces for removable implementations of such PKI-based credentials. | この勧告は、連邦省庁が、有効な PIV カードを所有し、その管理を証明する個人に発行する、標 準ベースの安全で信頼できるクレデンシャルの実装のための技術的ガイドラインを提供する。これらのクレデンシャルは、PIV カードのように公開鍵基盤(PKI)ベースであるか、PKI ベースではないが個人の所属機関によって検証されるかのいずれかである。この文書の範囲には、これらのクレデンシャルの初期発行および保守の要件、該当する場合 の認証方針、暗号化仕様、許可された認証子タイプの技術仕様、およびこのような PKI ベースのクレデンシャルの取り外し可能な実装のためのコマンド・インターフェイスが含まれる。 |
・[PDF] SP 800-157 Rev. 1 (Draft)
目次...
| 1. Introduction | 1. はじめに |
| 1.1. Background | 1.1. 背景 |
| 1.2. Purpose and Scope | 1.2. 目的および範囲 |
| 1.3. Audience | 1.3. 想定読者 |
| 1.4. Requirements Notation and Conventions | 1.4. 要求事項の表記方法と慣例 |
| 1.5. Document Structure | 1.5. 文書構造 |
| 1.6. Key Terminology | 1.6. 主要用語 |
| 2. Lifecycle Activities and Related Requirements | 2. ライフサイクル活動及び関連要求事項 |
| 2.1. Derived PIV Credential Lifecycle Activities | 2.1. 派生 PIV クレデンシャル・ライフサイクル活動 |
| 2.2. Initial Issuance | 2.2. 初期発行 |
| 2.2.1. PKI-based Derived PIV Credential Issuance | 2.2.1. PKI ベースの派生 PIV クレデンシャルの発行 |
| 2.2.2. Non-PKI-based Derived PIV Credential Issuance | 2.2.2. 非 PKI ベースの派生 PIV クレデンシャルの発行 |
| 2.3. Maintenance | 2.3. 保守 |
| 2.3.1. PKI-based Derived PIV Credential Maintenance | 2.3.1. PKI ベースの派生 PIV クレデンシャルの保守 |
| 2.3.2. Non-PKI-based Derived PIV Credential Maintenance | 2.3.2. 非 PKI ベースの派生 PIV クレデンシャルの保守 |
| 2.4. Invalidation | 2.4. 無効化 |
| 2.4.1. PKI-based Derived PIV Credential Invalidation | 2.4.1. PKI ベースの派生 PIV クレデンシャルの無効化 |
| 2.4.2. Non-PKI-based Derived PIV Credential Invalidation | 2.4.2. 非 PKI ベースの派生 PIV クレデンシャルの無効化 |
| 3. Technical Requirements | 3. 技術要件 |
| 3.1. PKI-based Derived PIV Credentials | 3.1. PKI ベースの派生 PIV クレデンシャル |
| 3.1.1. Certificate Policies for Derived PIV Credentials | 3.1.1. 派生 PIV クレデンシャルの証明書ポリシー。 |
| 3.1.2. Cryptographic Specifications | 3.1.2. 暗号化仕様 |
| 3.1.3. Allowable Authenticator Types | 3.1.3. 許可される認証機関タイプ |
| 3.1.4. Activation Data | 3.1.4. アクティベーションデータ |
| 3.2. Non-PKI-based Derived PIV Credentials | 3.2. 非 PKI ベースの派生 PIV クレデンシャル |
| 3.2.1. Allowable Authenticator Types | 3.2.1. 許可される認証機関タイプ |
| 3.2.2. Cryptographic Specifications | 3.2.2. 暗号化仕様 |
| 3.2.3. Activation Data | 3.2.3. アクティベーションデータ |
| 3.3. Binding Derived PIV Credentials | 3.3. 派生PIVクレデンシャルのバインディング |
| References | 参考文献 |
| Appendix A. Digital Signature and Key Management Keys | 附属書 A. デジタル署名およびキー管理キー |
| Appendix B. Data Model and Interfaces for Removable or Wireless PKI-based Hardware Cryptographic Devices | 附属書 B. 取り外し可能またはワイヤレス PKI ベースのハードウェア暗号化装置のデータ・モデルおよびインター フェース |
| B.1. Derived PIV Application Data Model and Representation | B.1. 派生PIV アプリケーション・データ・モデルおよび表現 |
| B.1.1. Derived PIV Application Identifier | B.1.1. 派生PIV アプリケーション識別子 |
| B.1.2. Derived PIV Application Data Model Elements | B.1.2. 派生PIVアプリケーション・データ・モデル要素 |
| B.1.3. Derived PIV Application Data Objects Representation | B.1.3. 派生PIVアプリケーション・データ・オブジェクトの表現 |
| B.1.4. Derived PIV Application Data Types and Their Representation | B.1.4. 派生PIVアプリケーション・データ型とその表現 |
| B.1.5. Derived PIV Authentication Mechanisms | B.1.5. 派生する PIV 認証機構 |
| B.2. Derived PIV Application Token Command Interface | B.2. 派生PIVアプリケーション・トークン・コマンド・インタフェース |
| B.2.1. Authentication of an Individual | B.2.1. 個人の認証 |
| Appendix C. Example Issuance Processes | 附属書 C.発行プロセス例 |
| C.1. Example Issuance of a Derived PIV Credential at AAL2 | C.1. AAL2 での派生 PIV クレデンシャルの発行例 |
| C.2. Example Binding of a Derived PIV Credential at AAL3 | C.2. AAL3 での派生 PIV クレデンシャルのバインディング例。 |
| Appendix D. Glossary | 附属書 D. 用語集 |
| Appendix E. Acronyms and Abbreviations | 附属書 E. 頭字語および略語 |
| Appendix F. Change Log | 附属書 F. 変更履歴 |
余談ですが、国土交通省の内部監査部門である、Department of Homeland Security OIG (国土交通省監察官室)が、離職した従業員および請負業者の個人識別情報確認(PIV)カードへのアクセスを常に停止したり、セキュリティクリアランスを撤回したりしていなかったと報告していますね。。。
● Oversight.Gov
参考までに。。。
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.01.12 米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン
・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)
« 個人情報保護委員会 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集 | Main | 米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン »
Comments