米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3: まるちゃんの情報セキュリティ気まぐれ日記

March 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

2024.07.17

米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

こんにちは、丸山満彦です。

NISTが、SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3と、NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズを公表ていますね...

● NIST- ITL

プレス...

・2024.07.15 Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78

Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78	個人アイデンティティ検証（PIV）インタフェース、暗号アルゴリズム、および鍵サイズ： NIST は SP 800-73 および SP 800-78 を改訂する。
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) credentials, including those on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201.	2022 年 1 月、NIST は、PIV カード上のものを含む個人アイデンティティ検証（PIV）クレデンシャルの使用標準を確立する連邦情報処理標準（FIPS）201 を改訂した。NIST 特別刊行物（SP）800-73-5：パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂された。
SP 800-73-5: Parts 1–3	SP 800-73-5：パート 1-3
SP 800-73-5: Parts 1–3, Interfaces for Personal Identity Verification, describe the technical specifications for using PIV Cards. The three parts cover the PIV data model (Part 1), the card edge interface (Part 2), and the application programming interface (Part 3). Major changes to the documents include:	SP 800-73-5：パート１～パート3、個人アイデンティティ検証用インタフェースは、PIV カードを使用するための技術仕様を記述している。この 3 部は、PIV データ・モデル（パート1）、カード・エッジ・インタフェース（パート2）、およびアプリケーション・プログラミング・インタフェース（パート3）を対象としている。文書の主な変更点は以下のとおりである：
・Removal of the previously deprecated CHUID authentication mechanism	・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms	・SYM-CAK および VIS 認証メカニズムの廃止。
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for facility access applications	・施設アクセス・アプリケーション用のオプションの 1 要素セキュア・メッセージング認証（SM-Auth）の追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms	・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Addition of an optional Cardholder identifier in the PIV Authentication Certificate to identify a PIV credential holder to their PIV credential set issued during PIV eligibility	・PIV 認証証明書にオプションのカード保持者識別子を追加して、PIV クレデンシャル保持者を PIV 資格認定中に発行された PIV クレデンシャル・セットに識別する。
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less	・各アクティベーション方法（すなわち、PIN および OCC 試行）の連続アクティベーション再試行回数を 10 回以下に制限する。
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement	・SP 800-73-5： PIV ミドルウェア仕様の第 3 部は、実装のオプションとされた。
SP 800-78-5	SP 800-78-5
SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for the cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It has been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing, including:	SP 800-78-5「個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム（CAVP）検証テストの要件を更新するために、以下のように修正されている：
Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’	識別子が'00'および'03'の3TDEAアルゴリズムの廃止。
Removal of the retired RNG from CAVP PIV component testing where applicable	該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
Removal of retired FIPS 186-2 key generation from CAVP PIV component testing where applicable	該当する場合、CAVP PIV コンポーネント・テストからの引退した FIPS 186-2 鍵生成の削除。
Accommodation of the Secure Messaging Authentication key	Secure Messaging 認証鍵の収容
Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031	セクション 3.1 および表 1 を更新し、2031 年から認証に使用される、少なくとも 128 ビットのセキュリティを持つ、より強度の高い鍵を追加する。

こちらは、SP800-73-5...

・2024.07.15 NIST SP 800-73-5 Interfaces for Personal Identity Verification:

Part 1 – PIV Card Application Namespace, Data Model and Representation	パート 1 - PIV カードアプリケーション名前空間、データモデルおよび表現
Part 2 – PIV Card Application Card Command Interface	パート 2 - PIV カードアプリケーション・カード・コマンド・インタフェース
Part 3 – PIV Client Application Programming Interface	パート 3 - PIV クライアント・アプリケーション・プログラミング・インターフェイス

Abstract

概要

FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials. It specifies that these identity credentials must be stored on a smart card and that additional common identity credentials, known as derived PIV credentials, may be issued by a federal department or agency and used when a PIV Card is not practical. This document contains the technical specifications to interface with the smart card to retrieve and use the PIV identity credentials. The specifications reflect the design goals of interoperability and PIV Card functions. The goals are addressed by specifying a PIV data model, card edge interface, and application programming interface. Moreover, this document enumerates requirements for the options and branches in international integrated circuit card standards [ISO7816]. The specifications go further by constraining interpretations of the normative standards to ease implementation, facilitate interoperability, and ensure performance in a manner tailored for PIV applications.

FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義している。FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義する。 FIPS 201 は、これらの ID クレデンシャルがスマート・カードに格納されなければならず、派生 PIV クレデンシャルと呼ばれる追加の共通 ID クレデンシャルが連邦省庁によって発行され、PIV カードが実用的でない場合に使用される可能性があることを規定する。本文書には、PIV ID クレデンシャルを取得して使用するためにスマート・カードとインターフェースする技術仕様が含まれている。この仕様は、相互運用性および PIV カード機能の設計目標を反映している。目標は、PIV データ・モデル、カード・エッジ・インタフェース、およびアプリケーション・プログラミング・インタフェースを規定することで対処される。さらに、本文書は、国際集積回路カード標準［ISO7816］のオプションおよび分岐に対する要件を列挙している。この仕様は、実装を容易にし、相互運用性を促進し、PIV アプリケーションに合わせた方法でパフォーマンスを確保するために、標準の解釈を制約することによって、さらに進む。

・[PDF] NIST.SP.800-73pt1-5

目次...

1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Effective Date	1.3. 発効日
1.4. Audience and Assumptions	1.4. 想定読者および前提条件
1.5. Document Overview and Structure	1.5. 文書の概要と構成
2. PIV Card Application Namespaces	2. PIV カード・アプリケーション名前空間
2.1. Namespaces of the PIV Card Application	2.1. PIV カード・アプリケーションの名前空間
2.2. PIV Card Application AID	2.2. PIV カード・アプリケーション AID
3. PIV Data Model Elements	3. PIV データ・モデル要素
3.1. Mandatory Data Elements	3.1. 必須データ要素
3.2. Conditional Data Elements	3.2. 条件付きデータ要素
3.3. Optional Data Elements	3.3. オプションのデータ要素
3.4. Inclusion of Universally Unique Identifiers (UUIDs)	3.4. 汎用一意識別子（UUID）のインクルード
3.5. Data Object Containers and Associated Access Rules and Interface Modes	3.5. データ・オブジェクト・コンテナおよび関連するアクセス・ルールとインターフェイス・モード
4. PIV Data Objects Representation	4. PIV データ・オブジェクトの表現
4.1. Data Objects Definition	4.1. データ・オブジェクト定義
4.2. OlDs and Tags of PIV Card Application Data Objects	4.2. PIV カード・アプリケーション・データ・オブジェクトの OlDs とタグ
4.3. Object Identifiers	4.3. オブジェクト識別子
5. Data Types and Their Representation	5. データ型とその表現
5.1. Key References	5.1. キー参照
5.2. PIV Algorithm Identifier	5.2. PIV アルゴリズム識別子
5.3. Cryptographic Mechanism Identifiers	5.3. 暗号メカニズム識別子
5.4. Secure Messaging and Authentication Using a Secure Messaging Key (SM-AUTH)	5.4. セキュア・メッセージング鍵（SM-AUTH）を使用するセキュア・メッセージングおよび認証
5.5. Virtual Contact Interface	5.5. バーチャル・コンタクト・インターフェース
5.6. Status Words	5.6. ステータスワード
References	参考文献
Appendix A. PIV Data Model	附属書A. PIV データモデル
Appendix B. PIV Authentication Mechanisms	附属書B. PIV 認証メカニズム
Appendix C. PIV Algorithm Identifier Discovery	附属書C. PIV アルゴリズム識別子の発見
Appendix D. List of Symbols, Abbreviations, and Acronyms	附属書D. 記号、略語、および頭字語のリスト
Appendix E. Glossary	附属書E. 用語集
Appendix F. Notation	附属書F. 表記法
Appendix G. Revision History	附属書G. 改訂履歴

・[PDF] NIST.SP.800-73pt2-5

目次...

1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Audience and Assumptions	1.3. 想定読者および前提
1.4. Content and Organization	1.4. 内容と構成
2. Overview: Concepts and Constructs	2. 概要概念と構成要素
2.1. Platform Requirements	2.1. プラットフォーム要件
2.2. Namespaces of the PIV Card Application	2.2. PIV カード・アプリケーションの名前空間
2.3. Card Applications	2.3. カード・アプリケーション
2.3.1. Default Selected Card Application	2.3.1. デフォルト選択カード・アプリケーション
2.4. Security Architecture	2.4. セキュリティ・アーキテクチャ
2.4.1. Access control kule	2.4.1. アクセス管理クレ
2.4.2. Security Status	2.4.2. セキュリティ・ステータス
2.4.3. Authentication of an Individual	2.4.3. 個人の認証
2.5. Current State of the PIV Card Application	2.5. PIV カード・アプリケーションの現状
3. PIV Card Application Card Command Interface	3. PIV カード・アプリケーション・カード・コマンド・インタフェース
3.1. PIV Card Application Card Commands for Data Access	3.1. データ・アクセスのための PIV カード・アプリケーション・カード・コマンド
3.1.1. SELECT Card Command	3.1.1. SELECT カード・コマンド
3.4.2. Oll DalA Laro Command	3.4.2. Oll DalA Laro コマンド
3.2. PIV Card Application Card Commands for Authentication	3.2. 認証のための PIV カード・アプリケーション・カード・コマンド
3.2.1. VERIFY Card Command	3.2.1. VERIFY カード・コマンド
3.2.2. CHANGE REFERENCE DATA Card Command	3.2.2. CHANGE REFERENCE DATA カード・コマンド
3.2.3. REStT RETRY COUNTER Card command	3.2.3. REStT RETRY COUNTER カード・コマンド
3.2.4. GENERAL AUTHENTICATE Card Command	3.2.4. GENERAL AUTHENTICATE カード・コマンド
3.3. PIV Card Application Card Commands for Credential Initialization and Administration	3.3. クレデンシャル初期化および管理のための PIV カードアプリケーションカードコマンド
3.3.1. PUT DATA Card Command	3.3.1. PUT DATA カード・コマンド
3.3.2. GENERATE ASYMMETRIC KEY PAIR Card Command	3.3.2. GENERATE ASYMETRIC KEY PAIR カード・コマンド
4. Secure Messaging	4. セキュア・メッセージング
4.1. Key Establishment Protocol,	4.1. 鍵確立プロトコル
4.1.1. Client Application Steps	4.1.1. クライアント・アプリケーションの手順
4.1.2. PIV Card Application Protocol Steps	4.1.2. PIV カード・アプリケーション・プロトコル・ステップ
4.1.3. Notations	4.1.3. 表記
4.1.4. Cipher Suite	4.1.4. 暗号スイート
4.1.5. Card Verifiable Certificate	4.1.5. カード検証可能証明書
4.1.6. Key Derivation	4.1.6. 鍵の導出
4.1.7. Key Confirmation	4.1.7. 鍵の確認
4.1.8. Command Interface	4.1.8. コマンド・インターフェース
4.2. Secure Messaging	4.2. セキュア・メッセージング
4.2.1. Secure Messaging Data Objects	4.2.1. セキュア・メッセージング・データ・オブジェクト
4.2.2. Command and Response Data Confidentiality	4.2.2. コマンドとレスポンス・データの機密性
4.2.3. Command Integrity	4.2.3. コマンドの完全性
4.2.4. Command With PIV Secure Messaging	4.2.4. PIV セキュア・メッセージングを使用したコマンド
4.2.5. Response Integrity	4.2.5. 応答の完全性
4.2.6. Response With PIV Secure Messaging	4.2.6. PIV セキュア・メッセージングを使用した応答
4.2.7. Error Handling	4.2.7. エラー処理
4.3. Session Key Destruction	4.3. セッション鍵の破棄
References	参考文献
Appendix A. Examples of the Use of the GENERAL AUTHENTICATE Command	附属書A. GENERAL AUTHENTICATEコマンドの使用例
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary	附属書C．用語集
Appendix D. Notation	附属書D．表記

・[PDF] NIST.SP.800-73pt3-5

目次...

1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Audience and Assumptions	1.3. 想定読者および前提
1.4. Content and Organization	1.4. 内容と構成
2. Overview: Concepts and Constructs	2. 概要概念と構成要素
3. Client Application Programming Interface	3. クライアント・アプリケーション・プログラミング・インターフェイス
3.1. Entry Points for Communication	3.1. コミュニケーションのエントリーポイント
3.2. Entry Points for Data Access	3.2. データアクセスのエントリーポイント
3.3. Entry Points for Cryptographic Operations	3.3. 暗号操作のエントリーポイント
3.4. Entry Points for Credential Initialization and Administration	3.4. クレデンシャルの初期化および管理のエントリポイント
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書A. 記号、略語、および頭字語のリスト
Appendix B. Glossary	附属書B. 用語集
Appendix C. Notation	附属書C. 表記法