NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース
こんにちは、丸山満彦です。
NISTが、NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:
- パート 1 - PIV データ・モデル
- パート 2 - カード・エッジ・インタフェース
- パート 3 - アプリケーション・プログラミング・ インタフェース
の3つの文書を公表し、意見募集をしていますね。。。
● NIST - ITL
NIST SP 800-73-5 個人 ID 検証のためのインタフェース parts 1-3
| Announcement | 発表 |
| In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) Credentials – including the credentials on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201 and are now available for public comment. | 2022 年 1 月、NIST は、個人識別検証(PIV)クレデンシャル(PIV カードのクレデンシャルを 含む)の使用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂され、現在パブ リック・コメントを受け付けている。 |
| SP 800-73-5: Parts 1–3 ipd (Initial Public Draft) | SP 800-73-5: パート 1-3 ipd(初期公開ドラフト) |
| SP 800-73-5: Parts 1–3 ipd, Interfaces for Personal Identity Verification, describes the technical specifications for using the PIV cards including a PIV data model (Part 1), card edge interface (Part 2), and application programming interface (Part 3). Major changes to the documents include: | SP 800-73-5: Part 1-3 ipd「個人データ検証のためのインタフェース」は、PIV データ・モデル(第 1 部)、 カード・エッジ・インタフェース(第 2 部)、アプリケーション・プログラミング・ インタフェース(第 3 部)など、PIV カードを使用するための技術仕様を記述している。文書の主な変更点は以下のとおりである: |
| ・Removal of the previously deprecated CHUID authentication mechanism | ・以前は非推奨であった CHUID 認証メカニズムの削除。 |
| ・Deprecation of the SYM-CAK and VIS authentication mechanisms | ・SYM-CAK および VIS 認証メカニズムの廃止 |
| ・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for contactless interfaces for facility access applications | ・施設アクセス・アプリケーション向け非接触型インタフェースに、オプションの 1 要素セキュア・メッセージング認証メカニズム(SM-Auth)を追加 |
| ・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms | ・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用 |
| ・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less | ・各アクティベーション方法(すなわち、PIN および OCC 試行)の連続アクティベーショ ン再試行回数を 10 回以下に制限 |
| ・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement | ・SP 800-73-5: PIV ミドルウェア仕様に関するパート 3 は、実装が任意であるとした |
| We encourage you to use this comment template to record and organize your comments on the SP 800-73-5 parts. | このコメントテンプレートを使用して、SP 800-73-5 の各部に対するコメントを記録し、整理することを推奨する。 |
| Also see SP 800-78-5 ipd. | SP 800-78-5 ipd も参照のこと。 |
| Abstract | 概要 |
| FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials. It specifies that these identity credentials must be stored on a smart card and that additional common identity credentials, known as derived PIV credentials, may be issued by a federal department or agency and used when a PIV Card is not practical. This document contains the technical specifications to interface with the smart card to retrieve and use PIV identity credentials. The specifications reflect the design goals of interoperability and PIV Card functions. The goals are addressed by specifying a PIV data model, card edge interface, and application programming interface. Moreover, this document enumerates requirements for the options and branches in international integrated circuit card standards. The specifications go further by constraining interpretations of the normative standards to ease implementation, facilitate interoperability, and ensure performance in a manner tailored for PIV applications. | FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義している。これは、これらの ID クレデンシャルがスマート・カードに格納されなければならないこと、および派生 PIV クレデンシャルとして知られる追加の共通 ID クレデンシャルが連邦省庁によって発行され、PIV カードが実用的でない場合に使用され る場合があることを規定している。本文書には、PIV ID クレデンシャルを取得して使用するためにスマート・カードとインタ ーフェースするための技術仕様が含まれている。この仕様は、相互運用性および PIV カード機能の設計目標を反映している。目標は、PIV データ・モデル、カード・エッジ・インタフェース、およびアプリケーショ ン・プログラミング・インタフェースを規定することで対処される。さらに、本文書は、国際集積回路カード標準のオプションおよび分岐の要件を列挙している。この仕様は、実装を容易にし、相互運用性を促進し、PIV ア プリケーションに合わせた方法で性能を確保するために、標準規格の解釈を制約するこ とによってさらに進む。 |
パート1
・[PDF] NIST.SP.800-73pt1-5.ipd
目次...
| NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 1 – PIV Card Application Namespace, Data Model and Representation | NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース: パート 1 - PIV カード・アプリケーションの名前空間、データ・モデルおよび表現 |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Scope | 1.2. 適用範囲 |
| 1.3. Effective Date | 1.3. 発効日 |
| 1.4. Audience and Assumptions | 1.4. 対象者および前提条件 |
| 1.5. Document Overview and Structure | 1.5. 文書の概要と構成 |
| 2. PIV Card Application Namespaces | 2. PIV カード・アプリケーション名前空間 |
| 2.1. Namespaces of the PIV Card Application | 2.1. PIV カード・アプリケーションの名前空間 |
| 2.2. PIV Card Application AID | 2.2. PIV カード・アプリケーション AID |
| 3. PIV Data Model Elements | 3. PIV データ・モデル要素 |
| 3.1. Mandatory Data Elements | 3.1. 必須データ要素 |
| 3.2. Conditional Data Elements | 3.2. 条件付きデータ要素 |
| 3.3. Optional Data Elements | 3.3. オプションのデータ要素 |
| 3.4. Inclusion of Universally Unique Identifiers (UUIDs) | 3.4. 汎用一意識別子(UUID)のインクルード |
| 3.5. Data Object Containers and Associated Access Rules and Interface Modes | 3.5. データ・オブジェクト・コンテナおよび関連するアクセス規則とインターフェイス・モード |
| 4. PIV Data Objects Representation | 4. PIV データ・オブジェクトの表現 |
| 4.1. Data Objects Definition | 4.1. データ・オブジェクト定義 |
| 4.2. OIDs and Tags of PIV Card Application Data Objects | 4.2. PIV カード・アプリケーション・データ・オブジェクトの OID とタグ |
| 4.3. Object Identifiers | 4.3. オブジェクト識別子 |
| 5. Data Types and Their Representation | 5. データ型とその表現 |
| 5.1. Key References | 5.1. キー参照 |
| 5.2. PIV Algorithm Identifier | 5.2. PIV アルゴリズム識別子 |
| 5.3. Cryptographic Mechanism Identifiers | 5.3. 暗号メカニズム識別子 |
| 5.4. Secure Messaging and Authentication Using a Secure Messaging Key (SM-AUTH) | 5.4. セキュア・メッセージング・キーを使用するセキュア・メッセージングおよび本人認証 (SM-AUTH) |
| 5.5. Virtual Contact Interface | 5.5. バーチャル・コンタクト・インターフェース |
| 5.6. Status Words | 5.6. ステータスワード |
| References | 参考文献 |
| Appendix A. PIV Data Model | 附属書 A. PIV データモデル |
| Appendix B. PIV Authentication Mechanisms | 附属書 B. PIV 認証メカニズム |
| Appendix C. PIV Algorithm Identifier Discovery | 附属書 C. PIV アルゴリズム識別子の発見 |
| Appendix D. List of Symbols, Abbreviations, and Acronyms | 附属書 D. 記号、略語、および頭字語のリスト |
| Appendix E. Glossary | 附属書 E. 用語集 |
| Appendix F. Notation | 附属書 F. 表記法 |
| Appendix G. Revision History | 附属書 G. 改訂履歴 |
パート2
・目次...
| NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 2 – PIV Card Application Card Command Interface | NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証用インタフェース: パート 2 - PIV カード・アプリケーション・カード・コマンド・インタフェース |
| Table of Contents | 目次 |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Scope | 1.2. 適用範囲 |
| 1.3. Audience and Assumptions | 1.3. 対象者および前提 |
| 1.4. Content and Organization | 1.4. 内容と構成 |
| 2. Overview: Concepts and Constructs | 2. 概要 概念と構成 |
| 2.1.Platform Requirements | 2.1.プラットフォーム要件 |
| 2.2. Namespaces of the PIV Card Application | 2.2. PIV カード・アプリケーションの名前空間 |
| 2.3. Card Applications | 2.3. カード・アプリケーション |
| 2.3.1. Default Selected Card Application | 2.3.1. デフォルト選択カード・アプリケーション |
| 2.4.Security Architecture | 2.4.セキュリティ・アーキテクチャ |
| 2.4.1. Access Control Rule | 2.4.1. アクセス・コントロール・ルール |
| 2.4.2. Security Status | 2.4.2. セキュリティ・ステータス |
| 2.4.3. Authentication of an Individual | 2.4.3. 本人認証 |
| 2.5. Current State of the PIV Card Application | 2.5. PIV カード・アプリケーションの現状 |
| 3. PIV Card Application Card Command Interface | 3. PIV カード・アプリケーション・カード・コマンド・インタフェース |
| 3.1. PIV Card Application Card Commands for Data Access | 3.1. データ・アクセスのための PIV カード・アプリケーション・カード・コマンド |
| 3.1.1. SELECT Card Command | 3.1.1. SELECT カード・コマンド |
| 3.1.2. GET DATA Card Command | 3.1.2. GET DATA カード・コマンド |
| 3.2. PIV Card Application Card Commands for Authentication | 3.2. 本人認証用 PIV カード・アプリケーション・カード・コマンド |
| 3.2.1. VERIFY Card Command | 3.2.1. VERIFY カード・コマンド |
| 3.2.2. CHANGE REFERENCE DATA Card Command | 3.2.2. CHANGE REFERENCE DATA カード・コマンド |
| 3.2.3. RESET RETRY COUNTER Card Command | 3.2.3. RESET RETRY COUNTER カード・コマンド |
| 3.2.4. GENERAL AUTHENTICATE Card Command | 3.2.4. GENERAL AUTHENTICATE カード・コマンド |
| 3.3. PIV Card Application Card Commands for Credential Initialization and Administration | 3.3. クレデンシャル初期化および管理のための PIV カードアプリケーションカードコマンド |
| 3.3.1. PUT DATA Card Command | 3.3.1. PUT DATA カード・コマンド |
| 3.3.2. GENERATE ASYMMETRIC KEY PAIR Card Command | 3.3.2. GENERATE ASYMETRIC KEY PAIR カード・コマンド |
| 4. Secure Messaging | 4. セキュア・メッセージング |
| 4.1. Key Establishment Protocol | 4.1. 鍵確立プロトコル |
| 4.1.1. Client Application Steps | 4.1.1. クライアント・アプリケーションの手順 |
| 4.1.2. PIV Card Application Protocol Steps | 4.1.2. PIV カード・アプリケーション・プロトコル・ステップ |
| 4.1.3. Notations | 4.1.3. 表記 |
| 4.1.4. Cipher Suite | 4.1.4. 暗号スイート |
| 4.1.5. Card Verifiable Certificates | 4.1.5. カード検証可能証明書 |
| 4.1.6. Key Derivation | 4.1.6. 鍵の導出 |
| 4.1.7. Key Confirmation | 4.1.7. 鍵の確認 |
| 4.1.8. Command Interface | 4.1.8. コマンド・インターフェース |
| 4.2. Secure Messaging | 4.2. セキュア・メッセージング |
| 4.2.1. Secure Messaging Data Objects | 4.2.1. セキュア・メッセージング・データ・オブジェクト |
| 4.2.2. Command and Response Data Confidentiality | 4.2.2. コマンドとレスポンス・データの機密性 |
| 4.2.3. Command Integrity | 4.2.3. コマンドの完全性 |
| 4.2.4. Command With PIV Secure Messaging | 4.2.4. PIV セキュア・メッセージングを使用したコマンド |
| 4.2.5. Response Integrity | 4.2.5. 応答の完全性 |
| 4.2.6. Response With PIV Secure Messaging | 4.2.6. PIV セキュア・メッセージングを使用した応答 |
| 4.2.7. Error Handling | 4.2.7. エラー処理 |
| 4.3. Session Key Destruction | 4.3. セッション鍵の破棄 |
| References | 参考文献 |
| Appendix A. Examples of the Use of the GENERAL AUTHENTICATE Command | 附属書 A. GENERAL AUTHENTICATEコマンドの使用例 |
| Appendix B. List of Symbols, Abbreviations, and Acronyms | 附属書 B. 記号、略語、頭字語のリスト |
| Appendix C. Glossary . 55 Appendix D. Notation | 附属書 C.用語集 . 55 付属書 D. 表記法 |
パート3
・[PDF] NIST.SP.800-73pt3-5.ipd
目次...
| NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 3 – PIV Client Application Programming Interface | NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース: パート 3 - PIV クライアント・アプリケーション・プログラミング・インターフェース |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Scope | 1.2. 適用範囲 |
| 1.3. Audience and Assumptions | 1.3. 対象者および前提 |
| 1.4. Content and Organization | 1.4. 内容と構成 |
| 2. Overview: Concepts and Constructs | 2. 概要 概念と構成要素 |
| 3. Client Application Programming Interface | 3. クライアント・アプリケーション・プログラミング・インターフェイス |
| 3.1. Entry Points for Communication | 3.1. コミュニケーションのエントリーポイント |
| 3.2. Entry Points for Data Access | 3.2. データアクセスのエントリーポイント |
| 3.3. Entry Points for Cryptographic Operations | 3.3. 暗号操作のエントリーポイント |
| 3.4. Entry Points for Credential Initialization and Administration | 3.4. クレデンシャルの初期化および管理のエントリポイント |
| References | 参考文献 |
| Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書 A. 記号、略語、および頭字語のリスト |
| Appendix B. Glossary | 附属書 B. 用語集 |
| Appendix C. Notation | 附属書 C. 表記法 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ
・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)
ちょっと昔ですが。。
・2005.06.18 NIST SP-800
Comments