« ドイツ BSIが人工衛星の地上セグメント用のITベースライン保護プロファイルを公表 | Main | G7 サイバー・エキスパート・グループ 金融セクターにおけるクロスボーダー協調演習の実施結果の公表 »

2024.04.25

米国 NIST SP 800-63B [補足 1] NIST SP 800-63B: デジタル・アイデンティティ・ガイドライン - 認証およびライフサイクル管理への同期可能な本人認証の組み込み

こんにちは、丸山満彦です。

NISTが SP 800-63B [補足 1] NIST SP 800-63B: デジタル・アイデンティティ・ガイドライン - 認証およびライフサイクル管理への同期可能な本人認証の組み込みについての文書を公表しています。。。

いろいろと忙しいので、あとで読みます...(^^;;

 

NIST - ITL

・2024.04.22 NIST SP 800-63B [Supplement 1] Incorporating Syncable Authenticators into NIST SP 800-63B: Digital Identity Guidelines — Authentication and Lifecycle Management

・[PDF] NIST.SP.800-63Bsup1

20240425-12747

 

目次...

1. Introduction 1. 序文
2. Purpose 2. 目的
3. Syncable Authenticators Achieve AAL2 3. 同期可能な本人認証でのAAL2の実現
4. Updates on the Allowance of Cloning Authentication Keys 4. 認証キーのクローンの許可に関する最新情報
5. Implementation Considerations and Requirements 5. 実装に関する考慮事項と要件
6. Syncable Authenticator Threats and Challenges 6. 同期可能な本人認証の脅威と課題
7. Sharing  7. 共有 
8. Conclusion 8. 結論
References  参考文献 
Appendix A. Glossary 附属書A. 用語集

 

序文と目的...

1. Introduction  1. 序文 
The NIST Digital Identity Guidelines [1] provide the process and technical requirements for digital identity, including identity proofing, authentication, and federation. NIST Special Publication (SP) 800-63B (Volume B associated with SP 800-63-3) specifically addresses the requirements for authentication and life cycle management to include specific requirements for each type of acceptable authenticator.[2] Revision 3 is the most recent major revision to the guidelines and was published in June of 2017. While an update to the entire series is ongoing and will culminate in Revision 4, the pace of technology is more rapid than NIST’s typical document development and review processes, warranting this supplemental update.   NIST デジタル ID ガイドライン[1]は、身元確認、認証、およびフェデレーションを 含む、デジタル ID のプロセスと技術要件を規定している。NIST 特別刊行物(SP)800-63B(SP 800-63-3 に関連する第 B 巻)は、認証およびライフサイクル管理 の要件に特に対応しており、許容可能な認証子の種類ごとに具体的な要件が含まれている[2]。シリーズ全体の更新が進行中であり、リビジョン 4 で完結する予定であるが、技術のペースは NIST の典型的な文書開発およびレビュープロセスよりも速いため、この補足的な更新が正当化される。 
One such authenticator type addressed in SP 800-63B is a multi-factor cryptographic authenticator. Typically, this authentication type protects a cryptographic key in hardware or software that requires activation through a second authentication factor, either a memorized secret or a biometric characteristic. Protecting the private key from unauthorized exposure is fundamental to the security model of a multi-factor cryptographic authenticator. This traditionally includes ensuring that private keys are not exportable or cloneable. However, this paradigm is starting to change. Notably, a new series of authentication protocols and specifications has led to the rapid adoption of syncable authenticators (commonly referred to as “passkeys”), which allow users to synchronize (i.e., duplicate) a private key between different devices.   SP 800-63B で取り上げられている本人認証は、多要素暗号認証である。通常、この認証タイプは、ハードウェアまたはソフトウェアで暗号鍵を保護し、第 2 の認証要素(記憶された秘密またはバイオメトリクスの特徴のいずれか)による起動を必要とする。秘密鍵を不正なエクスポージャーから防御することは、多要素暗号認証のセ キュリティ・モデルの基本である。これには従来、秘密鍵が エクスポートやクローンができないようにすることが含まれていた。しかし、このパラダイムは変わり始めている。特に、新しい一連の認証プロトコルと仕様により、ユーザが異なるデバイス間で秘密鍵を 同期(すなわち複製)できる同期可能な認証子(一般に「パスキー」と呼ばれる)が急速に採用される ようになった。 
When SP 800-63-3 was published in 2017, two key supporting specifications — Fast Identity 
Online (FIDO)  Client to Authenticator Protocol (CTAP) [3] and W3C’s Web Authentication [4] (known as FIDO2 when used together) — did not exist, nor did a robust, well-understood ecosystem of implementations. Based on the type of cryptographic authenticators available at the time, the 2017 guidelines restricted the ability of multi-factor cryptographic authenticators to “clone” a key to other devices. However, the ecosystem has accelerated rapidly in the last two years, and most major platform providers now implement scaled, syncable authentication capabilities. These authenticators offer many benefits, including support for phishing resistance,[1] the ability to be bound to specific relying parties, elimination of the need to transmit passwords, simplified authenticator recovery, and the use of a wide variety of devicenative biometrics and PINs as a second factor to accompany the stored private key. They also offer convenience that fits an increasingly multi-device and multi-platform world.  
SP 800-63-3 が 2017 年に発行されたとき、2 つの重要なサポート仕様(FIDO(Fast Identity Online)Client to Authenticator Protocol(CTAP)[3]および W3C の Web Authentication[4](一緒に使用される場合は FIDO2 として知られる))は存在せず、実装の強固でよく理解されたエコシステムもなかった。当時利用可能であった暗号認証の種類に基づき、2017 年のガイドラインでは、多要素暗号 認証が他のデバイスに鍵を「クローン」する能力を制限した。しかし、この2年間でエコシステムは急速に加速し、現在ではほとんどの主要なプラッ トフォーム・プロバイダが、スケーラブルで同期可能な認証機能を実装している。これらの本人認証は、フィッシングへの耐性[1]、特定の依拠当事者にバインドする機能、パスワー ドを送信する必要性の排除、認証のリカバリーの簡素化、保存された秘密鍵に付随する第 2 要素としてのさまざまなデバイス固有の生体認証や PIN の使用など、多くの利点を提供する。また、ますますマルチデバイス、マルチプラットフォーム化する世界に適合する利便性も提供する。
As with any new technology, the promise of innovation is accompanied by new threats and challenges that must be explored and understood. As such, this supplement provides an overview of the considerations that federal agencies should weigh, including contemporary threats, as they determine whether and how to implement syncable authenticators.  どのような新しい技術でもそうであるように、技術革新の約束には、調査し理解しなければならない新たな脅威と課題が伴う。そのため、本補足文書では、連邦機関が同期可能認証子を導入するかどうか、またどのように導入す るかを決定する際に、現代の脅威を含めて考慮すべき事項の概要を示す。
2. Purpose  2. 目的 
The purpose of this document is to adapt current NIST guidelines to reflect the changing authentication and credential marketplace. This supplement describes how syncable authenticators mitigate threats in a manner consistent with the established Authentication Assurance Levels in SP 800-63-3 and provides federal agencies with an understanding of syncable authenticator capabilities that can be leveraged to achieve SP 800-63-3 Authentication Assurance Level 2 (AAL2). It also provides updates to the use of software cryptographic authenticators discussed in Sec. 5.1.8 of SP 800-63B [2], specifically the ability of said authenticators to support AAL2 authentication requirements even when a key has been duplicated (e.g., “cloned” or “synced”) to another device. Finally, this document provides some considerations for implementation based on two use case types: public-facing applications (i.e., federal information systems that interact with public identities, as described in OMB Memorandum M-19-17) and federal enterprise applications (i.e., federal information systems that primarily interact with federal enterprise identities, as described in OMB Memorandum M19-17). This document supplements existing guidance found in SP 800-63-3, and it will be superseded by the final version of SP 800-63B-4.   この文書の目的は、変化する認証および本人認証市場を反映するために、現行の NIST ガイドラインを適合させることである。この補足では、SP 800-63-3 で確立された認証保証レベル(Authentication Assurance Levels)と一致する方法で、同期可能な認証子がどのように脅威を軽減するかについて説明し、SP 800-63-3 認証保証レベル 2(AAL2)を達成するために活用できる同期可能な認証子の機能についての理解を連邦機関に提供する。また、SP 800-63B [2]の第 5.1.8 節で説明されているソフトウェア暗号認証子の使用に関する最新情報、 特に、鍵が他のデバイスに複製(例えば、「クローン化」または「同期化」)された場合でも、当該認証 子が AAL2 認証要件をサポートする能力についても提供する。最後に、本文書は、パブリック向けアプリケーション(すなわち、OMB Memorandum M-19-17 に記載されているように、パブリック ID と相互作用する連邦情報システム)と連邦エンタープライズ・アプリケーション(すなわち、OMB Memorandum M19-17 に記載されているように、主に連邦エンタープライズ ID と相互作用する連邦情報システム)の 2 つのユースケースに基づく実装に関する考察を示す。本文書は、SP 800-63-3 に記載されている既存のガイダンスを補足するものであり、SP 800-63B-4 の最終版に取って代わられる。 
[1] An authenticator is phishing-resistant if it is a cryptographic authenticator that binds its output to a communication channel (e.g., clientauthenticated TLS) or a verifier name (e.g., FIDO2/WebAuthN). Both techniques prevent the authenticator output from being used outside of the intended context. For more on phishing resistance, see SP 800-63B-4 and OMB Memorandum 22-09, Zero Trust Implementation Strategy.   [1] 本人認証が、その出力をコミュニケーションチャネル(クライアント認証 TLS など)または検証者名(FIDO2/WebAuthN など)にバインドする暗号認証である場合、フィッシング耐性がある。どちらの技術も、本人認証の出力が意図したコンテキスト以外で使用されることを防ぐ。フィッシングへの耐性については、SP 800-63B-4 および OMB Memorandum 22-09, Zero Trust Implementation Strategy を参照のこと。 

 

 

 

ブログ...

・2024.04.22 Giving NIST Digital Identity Guidelines a Boost: Supplement for Incorporating Syncable Authenticators

Giving NIST Digital Identity Guidelines a Boost: Supplement for Incorporating Syncable Authenticators NIST デジタルアイデンティティ・ガイドラインを後押しする: 同期可能な本人認証を組み込むための補足
We all need supplements sometimes. Whether it’s a little extra vitamin C during flu season or some vitamin D during the dark days of Winter. When used correctly, supplements help our body adjust to the changing conditions around us. Similarly, we are applying this same concept for the first time to our NIST SP 800-63B, Digital Identity Guidelines: Authentication and Lifecycle Management. Today, we published a supplement that provides interim guidance for agencies seeking to make use of ‘syncable authenticators’ (for example, passkeys) in both enterprise-facing and public-facing use cases 私たちは皆、時にはサプリメントを必要とする。インフルエンザの季節にはビタミンCを、冬の暗い時期にはビタミンDを、といった具合だ。サプリメントは正しく使用すれば、私たちを取り巻く環境の変化に体が適応するのを助けてくれる。同様に、NIST SP 800-63B「デジタル・アイデンティティ・ガイドライン」にも、この同じ概念を初めて適用している: 本人認証とライフサイクル管理)に初めて適用した。本日、我々は、エンタープライズ向けと公共向けの両方のユースケースで「同期可能な認証機 能」(たとえば、パスキー)を使用しようとする機関向けの暫定ガイダンスを提供する補足を発表した。
What is a supplement?  補足とは何か。
A supplement is a specific document type that is intended to enhance, augment, or elaborate on an existing NIST Special Publication (SP). They allow for targeted updates or modifications without having to go through the process of updating the entire SP. They provide a mechanism for NIST to more rapidly adapt to changes in the technology and risk environments (for example, providing requirements for new authenticator types like syncable authenticators).  補足とは、既存の NIST 特別刊行物(SP)を強化、補強、精緻化することを目的とした特定の文書である。これにより、SP全体を更新するプロセスを経ることなく、的を絞った更新や修正が可能となる。SP は、NIST が技術やリスク環境の変化に迅速に対応するための仕組みを提供する(例えば、同期可 能な認証子のような新しいタイプの認証子に対する要件を提供する)。
What is a syncable authenticator?  同期可能な認証子とは何か。
A syncable authenticator is any cryptographic authenticator that allows for the private key to be cloned and stored separate of the authenticator to support use of that key across different devices (for example, syncing). In practice, these are typically what are called ‘passkeys’ by the FIDO Alliance and make use of multiple standards and protocols such as the Client-to-Authenticator Protocol and World Wide Web Consortium’s (W3C) Web Authentication (WebAuthn) 同期可能な認証子とは、秘密鍵をクローンし、認証子とは別に保管することで、異なるデバ イス間での鍵の使用(例えば、同期)をサポートする暗号認証子である。実際には、これらは通常、FIDOアライアンスによって「パスキー」と呼ばれるものであり、Client-to-Authenticator ProtocolやWorld Wide Web Consortium(W3C)のWeb Authentication(WebAuthn)など、複数の標準やプロトコルを利用している。
When implemented correctly, they provide a phishing-resistant authenticator with many benefits, such as simplified recovery, cross device support, and consumer friendly platform authentication support (for example, native biometrics). Such authenticators would have been considered non-compliant in the context of Digital Identity Guidelines, and the supplement provides additional requirements and considerations to allow for their use at Authentication Assurance Level 2 (AAL2).  正しく実装された場合、フィッシングに強い本認証を提供し、リカバリの簡素化、クロスデバイ スのサポート、消費者に優しいプラットフォーム認証のサポート(例えば、ネイティブのバイオメトリッ ク)など、多くの利点がある。このような認証方式は、デジタル ID ガイドラインの文脈では非準拠と見なされ、補足は、 認証保証レベル 2(AAL2)での使用を可能にする追加要件と考慮事項を提供する。
What has changed since Digital Identity Guidelines were published?  デジタル ID ガイドラインが発行されてから何が変わったか。
A lot has changed. The standards and specifications to support syncable authenticators had not been developed when the Guidelines were initially developed and published. Since that time, the standards have matured and most major consumer platforms have put in place support for syncable authenticators.  So far, FIDO Alliance estimates that over 8 billion* user accounts now have the option to use passkeys for authentication. While not yet ubiquitous, they are becoming more common by the day.  多くのことが変わった。ガイドラインが最初に開発され発行された時点では、同期可能な認証者をサポートする標準および 仕様は開発されていなかった。それ以来、標準は成熟し、ほとんどの主要なコンシューマ・プラット フォームは、同期可能な認証機能をサポートするようになった。 現在までのところ、FIDO アライアンスは、80 億*を超えるユーザ・アカウントが本人 認証にパスキーを使用するオプションを持っていると推定している。まだユビキタスではないが、日に日に一般的になりつつある。
Aren’t there risks to cloning keys?  鍵のクローンにはリスクはないのか?
Yes, there are always risks. The requirements in the supplement are intended to address as many of these as possible, including methods for storing, transmitting, and protecting the keys. There are unique risks that come along with syncable authenticators, specifically the ability in some technical implementations for users to share their authentication key with other individuals. The ability to share authenticators is not unique to syncable keys – nearly any AAL2 authenticators can be shared. but contrary to years of security policies, some implementations promote syncable authenticator sharing as a secure alternative to password sharing in many consumer scenarios.  リスクは常にある。補足の要件は、鍵の保管、送信、防御の方法など、可能な限り多くのリスクに対処することを意図している。特に、技術仕様によっては、利用者が認証鍵を他の個人と共有できる場合がある。本人認証の共有は、同期可能鍵に限ったことではなく、ほぼすべてのAAL2認証が共有可能 である。しかし、長年のセキュリティ・ポリシーに反して、一部の実装では、多くのコンシューマ・ シナリオにおいて、パスワード共有の安全な代替として、同期可能認証の共有を推進している。
As with all instances, organizations should evaluate every type of authenticator they offer and weigh the benefits and risks associated with them before implementing. Syncable authenticators are not going to be appropriate for every application or service, but they do represent an emerging AAL2 authenticator option with many benefits to both the end-user and the relying party. すべての事例と同様に、組織は、提供するすべてのタイプの認証子を評価し、それらに関連するベネフィットとリスクを検討した上で、実装する必要がある。同期可能な認証機能は、すべてのアプリケーションやサービスに適するわけではないが、 エンドユーザと依拠当事者の双方に多くの利点をもたらす、新たな AAL2 認証機能のオプショ ンを代表するものである。
Is there going to be a public comment period?  パブリックコメント期間はあるのか?
Not for this supplement. Feedback from the initial public comment period on SP 800-63-4 was incorporated into this supplement.  Additional comments on syncable authenticators and the overall content of the supplement can be submitted through the upcoming second public comment period for Revision 4. This will occur later this year.
今回の補足にはない。SP 800-63-4 に対する最初のパブリックコメント期間からのフィードバックは、本追補に組み込まれた。 同期可能な本人認証および追補の全体的な内容に関する追加コメントは、改訂 4 の第 2 回パブリック・コメント期間に提出することができる。これは今年後半に行われる予定である。
Why not wait for Revision 4 to be completed? なぜ改訂4の完成を待たないのか?
As noted above, agencies strictly following the normative text of Digital Identity Guidelines would not be allowed to use syncable authenticators. This supplement addresses an immediate need for many agencies by providing direction on how to use a new security technology that provides strong, usable, phishing resistant authentication in support of the Federal Zero Trust strategy. Once Revision 4 is finalized, this supplement will be rescinded. 前述のとおり、デジタル ID ガイドラインの規範的な文章に厳密に従う機関は、同期可 能な認証子の使用を許可されない。この補足は、連邦ゼロ・トラスト戦略をサポートする、強力で使用可能なフィッシング耐性のある 認証を提供する新しいセキュリティ技術の使用方法に関する指示を提供することで、多くの機 関の緊急のニーズに対応するものである。リビジョン 4 が確定すると、この補足は取り消される。
*This statistic was provided by Fido Alliance and does not imply that 8 billion users have opted to use the passkey feature.  *この統計はFido Allianceによってプロバイダから提供されたものであり、80億人のユーザがパスキー機能の使用を選択したということを意味するものではない。


 

 

|

« ドイツ BSIが人工衛星の地上セグメント用のITベースライン保護プロファイルを公表 | Main | G7 サイバー・エキスパート・グループ 金融セクターにおけるクロスボーダー協調演習の実施結果の公表 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ドイツ BSIが人工衛星の地上セグメント用のITベースライン保護プロファイルを公表 | Main | G7 サイバー・エキスパート・グループ 金融セクターにおけるクロスボーダー協調演習の実施結果の公表 »