米国 意見募集 NIST SP 800-157r1 派生個人アイデンティティ検証(PIV)クレデンシャル・ガイドラインと、SP 800-217 個人 アイデンティティ 検証(PIV)連携ガイドラインの最終ドラフト
こんにちは、丸山満彦です。
ほぼ2年前の2023.01.10 に初ドラフトを公表して2年ほどしたところで、最終ドラフトが公表され、意見募集されています...
- NIST SP 800-157r1 派生個人アイデンティティ検証(PIV)クレデンシャル・ガイドライン
- SP 800-217 個人アイデンティティ 検証(PIV)連携ガイドライン
です...
FIPS 201-3 Personal Identity Verification (PIV) of Federal Employees and Contractor(連邦職員および請負業者の個人アイデンティティ検証(PIV))を補完する文書ということですよね...
● NIST - ITL
まず SP800-157の改訂版から...
| NIST SP 800-157 Rev. 1 (Final Public Draft) Guidelines for Derived Personal Identity Verification (PIV) Credentials | NIST SP 800-157 Rev.1(最終公開草案)派生個人 ID 検証(PIV)クレデンシャルのガイドライン |
| Announcement | 発表 |
| This draft of SP 800-157r1 incorporates all comment resolutions since the initial public draft (ipd) was posted in 2023 [see comments received on the ipd]. The final public draft details the expanded set of derived PIV credentials in a variety of form factors and authenticator types, as envisioned in OMB Memoranda M-19-17 and M-22-09 and subsequently outlined in FIPS 201-3. The cross-domain and interagency use of these credentials is provided by federation protocols outlined in the final public draft of SP 800-217, Guidelines for PIV Federation. Both documents are closely aligned with the recently published second public draft of SP 800-63-4, Digital Identity Guidelines. NIST hopes that this final draft document enables a close alignment with new and emerging digital authentication and federation technologies employed in the Federal Government while maintaining a strong security posture. | SP 800-157r1 のこの草案は、2023 年に最初の公開草案(ipd)が投稿されて以来、すべてのコメントに対応したものである(ipd に寄せられたコメントを参照)。最終公開草案は、OMB Memoranda M-19-17 および M-22-09 で想定され、その後 FIPS 201-3 で概説された、さまざまなフォームファクタおよび認証タイプに派生する PIV クレデンシャルの拡張セットについて詳述している。これらのクレデンシャルのクロス・ドメインおよび省庁間の使用は、 SP800-217「PIV フェデレーション・ガイドライン」の最終公開草案に概説されているフェデレーション・プロトコルによってプロバイダが提供される。両文書は、最近公開された SP 800-63-4 デジタル ID ガイドラインの第 2 公開ドラフトと密接に整合している。NIST は、この最終ドラフト文書によって、強力なセキュリティ態勢を維持しながら、連邦政府 で採用されている新しく出現するデジタル認証およびフェデレーション技術と緊密に連携で きるようになることを期待している。 |
| Abstract | 概要 |
| This recommendation provides technical guidelines for the implementation of standards-based, secure, reliable credentials that are issued by federal departments and agencies to individuals who possess and prove control of their valid PIV Card. These credentials can be either public key infrastructure (PKI)-based like the PIV Card or non PKI-based but verified by the individual’s home agency. The scope of this document includes requirements for the initial issuance and maintenance of these credentials, certificate policies as applicable, cryptographic specifications, technical specifications for permitted authenticator types, and the command interfaces for removable implementations of such PKI-based credentials. | この勧告は、連邦省庁が有効な PIV カードを所有し、その管理を証明する個人に発行する、 標準ベースの安全で信頼できるクレデンシャルの実装に関する技術的ガイドラインを提 供する。これらのクレデンシャルは、PIV カードのような公開鍵基盤(PKI)ベースか、PKI ベースではないが個人の所属機関によって検証される。この文書の範囲には、これらのクレデンシャルの初期発行および維持の要件、該当する場合 の証明書ポリシー、暗号化仕様、許可された認証タイプに関する技術仕様、およびこのような PKI ベースのクレデンシャルのリムーバブル実装のためのコマンド・インタフェースが含まれる。 |
・[PDF] SP.800-157r1.fpd
PKI ベースの派生 PIV クレデンシャル・ライフサイクル活動 (Fig.1) と非PKI ベースの派生 PIV クレデンシャル・ライフサイクル活動 (Fig.2)
目次...
| Table of Contents | 目次 |
| 1. Introduction | 1. 序文 |
| 1.1. Background | 1.1. 背景 |
| 1.2. Purpose and Scope | 1.2. 目的と範囲 |
| 1.3. Audience | 1.3. 想定読者 |
| 1.4. Requirements Notation and Conventions | 1.4. 要求事項の表記と慣例 |
| 1.5. Document Structure | 1.5. 文書の構造 |
| 1.6. Key Terminology | 1.6. 主要な用語 |
| 2. Life Cycle Activities and Related Requirements | 2. ライフサイクル活動と関連要求事項 |
| 2.1. Derived PIV Credential Life Cycle Activities | 2.1. 派生 PIV クレデンシャルのライフサイクル活動 |
| 2.2. Initial Issuance | 2.2. 初期発行 |
| 2.2.1. PKI-Based Derived PIV Credential Issuance | 2.2.1. PKI ベースの派生 PIV クレデンシャルの発行 |
| 2.2.2. Non-PKI-Based Derived PIV Credential Issuance | 2.2.2. 非 PKI ベースの派生 PIV クレデンシャルの発行 |
| 2.2.3. Derived PIV Issuance Without PIV Card | 2.2.3. PIV カードを使用しない派生 PIV クレデンシャルの発行 |
| 2.3. Maintenance | 2.3. 維持 |
| 2.3.1. PKI-Based Derived PIV Credential Maintenance | 2.3.1. PKI ベースの派生 PIV クレデンシャルの維持 |
| 2.3.2. Non-PKI-Based Derived PIV Credential Maintenance | 2.3.2. 非 PKI ベースの派生 PIV クレデンシャルの維持 |
| 2.4. Invalidation | 2.4. 無効化 |
| 2.4.1. PKI-based Derived PIV Credential Invalidation | 2.4.1. PKI ベースの派生 PIV クレデンシャルの無効化 |
| 2.4.2. Non-PKI-Based Derived PIV Credential Invalidation | 2.4.2. 非 PKI ベースの派生 PIV クレデンシャルの無効化 |
| 3. Technical Requirements | 3. 技術要件 |
| 3.1. PKI-Based Derived PIV Credentials | 3.1. PKI ベースの派生 PIV クレデンシャル |
| 3.1.1. Certificate Policies for PKI-Based Derived PIV Credentials | 3.1.1. PKI ベースの派生 PIV クレデンシャルの証明書ポリシー |
| 3.1.2. Cryptographic Specifications | 3.1.2. 暗号仕様 |
| 3.1.3. Allowable Authenticator Types | 3.1.3. 許容される認証タイプ |
| 3.1.4. Activation Data | 3.1.4. アクティベーション・データ |
| 3.2. Non-PKI-Based Derived PIV Credentials | 3.2. 非 PKI ベースの派生 PIV クレデンシャル |
| 3.2.1. Allowable Authenticator Types | 3.2.1. 許容される認証タイプ |
| 3.2.2. Cryptographic Specifications | 3.2.2. 暗号化仕様 |
| 3.2.3. Activation Data | 3.2.3. アクティベーション・データ |
| References | 参考文献 |
| Appendix A. Digital Signature and Key Management Keys | 附属書A. デジタル署名と鍵管理鍵 |
| Appendix B. Data Model and Interfaces for Removable or Wireless PKI-Based Cryptographic Authenticators | 附属書 B. リムーバブルまたはワイヤレス PKI ベースの暗号化認証のデータ・モデルおよびインター フェース |
| B.1. Derived PIV Application Data Model and Representation | B.1. 派生 PIV アプリケーション・データ・モデルおよび表現 |
| B.1.1. Derived PIV Application Identifier | B.1.1. 派生 PIV アプリケーション識別子 |
| B.1.2. Derived PIV Application Data Model Elements | B.1.2. 派生 PIV アプリケーション・データ・モデル要素 |
| B.1.3. Derived PIV Application Data Objects Representation | B.1.3. 派生 PIV アプリケーション・データ・オブジェクト表現 |
| B.1.4. Derived PIV Application Data Types and Their Representation | B.1.4. 派生 PIV アプリケーション・データ型とその表現 |
| B.1.5. Derived PIV Authentication Mechanisms | B.1.5. 派生 PIV 認証メカニズム |
| B.2. Derived PIV Application Token Command Interface | B.2. 派生 PIV アプリケーション・トークン・コマンド・インタフェース |
| B.2.1. Authentication of an Individual | B.2.1. 個人の認証 |
| Appendix C. Example Issuance Processes | 附属書 C. 発行プロセス例 |
| C.1. Example Issuance of a PKI-Based Derived PIV Credential at AAL3 | C.1. AAL3 における PKI ベースの派生 PIV クレデンシャルの発行例 |
| C.2. Example Issuance of a PKI-Based Derived PIV Credential at AAL2 | C.2. AAL2 における PKI ベースの派生 PIV クレデンシャルの発行例。 |
| C.3. Example Binding of a Non-PKI-Based Derived PIV Credential at AAL3 | C.3. AAL3 における非 PKI ベースの派生 PIV クレデンシャルのバインドの例。 |
| C.4. Example Binding of a Non-PKI-Based Derived PIV Credential at AAL2 | C.4. AAL2 における非 PKI ベースの派生 PIV クレデンシャルのバインドの例。 |
| C.5. Example Binding of PACS Credential | C.5. PACS クレデンシャルのバインディング例 |
| Appendix D. Physical Access | 附属書 D. 物理アクセス |
| D.1. PACS Derived PIV Application Data Model and Representation | D.1. PACS 由来の PIV アプリケーション・データ・モデルおよび表現 |
| D.1.1. Derived PIV Application Identifier | D.1.1. 派生 PIV アプリケーション識別子 |
| D.1.2. PACS Derived PIV Application Data Model Elements | D.1.2. PACS 派生 PIV アプリケーション・データモデル要素 |
| D.1.3. Derived PIV PACS Application Data Objects Representation | D.1.3. 派生 PIV PACS アプリケーション・データ・オブジェクト表現 |
| D.1.4. Derived PIV Application PACS Data Types and Representation | D.1.4. 派生 PIV アプリケーション PACS データ型と表現 |
| D.1.5. Derived PIV PACS Authentication Mechanisms | D.1.5. 派生 PIV PACS 認証メカニズム |
| D.2. Derived PIV Application Token Command Interface | D.2. 派生 PIV アプリケーション・トークン・コマンド・インターフェース |
| D.2.1. Authentication of an Individual for PACS | D.2.1. PACS のための個人の認証 |
| D.3. Invalidation of PACS Derived PIV | D.3. PACS 派生 PIV の無効化 |
| Appendix E. Glossary | 附属書 E. 用語集 |
| Appendix F. Acronyms and Abbreviations | 附属書 F. 頭字語および略語 |
| Appendix G. Change Log | 附属書 G. 変更履歴 |
次にSP800-217...
・2024.11.14 NIST SP 800-217 (Final Public Draft) Guidelines for Personal Identity Verification (PIV) Federation
| NIST SP 800-217 (Final Public Draft) Guidelines for Personal Identity Verification (PIV) Federation | NIST SP 800-217(最終公開ドラフト) 個人識別検証(PIV)フェデレーションに関するガイドライン |
| Announcement | 発表 |
| This draft of SP 800-217 incorporates all comment resolutions since the initial public draft (ipd) was posted in 2023 [see comments received on the ipd]. The document describes technical requirements on the use of federated PIV identity and assertions to implement PIV federations backed by PIV identity accounts and PIV credentials. The guidelines are closely aligned with the recently published second public draft of SP 800-63-4, Digital Identity Guidelines. NIST hopes that this final draft document enables a close alignment with new and emerging digital authentication and federation technologies employed in the Federal Government while maintaining a strong security posture. | SP 800-217 のこの草案は、2023 年に最初の公開草案(ipd)が投稿されて以来、すべてのコメントに対応している[ipd に寄せられたコメントを参照]。この文書では、PIV ID アカウントおよび PIV クレデンシャルに裏付けられた PIV フェデレーションを実装するために、連携された PIV ID および主張の使用に関する技術要件が記述されている。このガイドラインは、最近公開された SP 800-63-4「デジタル ID ガイドライン」の第 2 公開ドラフトと密接に整合している。NIST は、この最終ドラフト文書によって、強力なセキュリティ態勢を維持しながら、連邦政府で採用されている新しい、そして出現しつつあるデジタル認証およびフェデレーション技術との緊密な連携が可能になることを期待している。 |
| Abstract | 概要 |
| FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. It also calls for the federated use of those credentials. These guidelines provide technical requirements for federal agencies implementing digital identity services for federal employees and contractors and are not intended to constrain the development or use of standards outside of this purpose. This document focuses on the use of federated PIV identity and the use of assertions to implement PIV federations backed by PIV identity accounts and PIV credentials. Federation allows a PIV identity account to be used by relying parties outside the PIV identity account’s home agency. | FIPS 201 は、連邦政府の職員および請負業者が使用する、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義している。また、これらのクレデンシャルの連携使用も呼びかけている。このガイドラインは、連邦職員および請負業者向けにデジタル ID サービスを実装する連邦機関に対す る技術要件を提供するものであり、この目的以外の標準の開発または使用を制限することを目 的とするものではない。本文書は、PIV ID アカウントおよび PIV クレデンシャルに支えられた PIV 連帯を実装するための、連 携された PIV ID の使用および主張の使用に重点を置いている。フェデレーションにより、PIV ID アカウ ントが、PIV ID アカウントの所属機関以外の依拠当事者によって使用されるようになる。 |
・[PDF] SP.800-217.fpd
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Background | 1.1. 背景 |
| 1.2. Purpose and Scope | 1.2. 目的と範囲 |
| 1.2.1. Creating Technical Interoperability Profiles of This Guideline | 1.2.1. 本ガイドラインの技術的相互運用性プロファイルの作成 |
| 1.3. Federation Use Cases | 1.3. フェデレーションのユースケース |
| 1.3.1. Federation Considerations | 1.3.1. フェデレーションに関する考察 |
| 1.4. Audience | 1.4. 想定読者 |
| 1.5. Notations | 1.5. 表記 |
| 1.6. Document Structure | 1.6. 文書の構造 |
| 2. Architecture | 2. アーキテクチャ |
| 2.1. PIV Identity Account | 2.1. PIV ID アカウント |
| 2.1.1. PIV Credentials | 2.1.1. PIV クレデンシャル |
| 2.1.2. Home Agency Identity Management System | 2.1.2. 自国の省庁 ID 管理システム |
| 2.2. Identity Providers | 2.2. ID プロバイダ |
| 2.2.1. PIV IdP | 2.2.1. PIV IdP |
| 2.2.2. Home Agency IdP | 2.2.2. 本国機関 IDP |
| 2.2.3. Subscriber-Controlled wallets | 2.2.3. 加入者が管理するウォレット |
| 2.3. Relying Parties | 2.3. 依拠当事者 |
| 3. Trust Agreements | 3. 信頼契約 |
| 3.1. Bilateral Agreements | 3.1. 二国間契約 |
| 3.2. Multilateral Agreements | 3.2. 多国間協定 |
| 3.3. Identity Proxies and Brokers | 3.3. 身分証明書代理人とブローカー |
| 3.4. Shared Signaling | 3.4. 共有シグナリング |
| 3.5. Home Agency IdPs | 3.5. ホーム・エージェンシ IDP |
| 3.5.1. Home Agencies and Subscriber-Controlled Wallet | 3.5.1. ホーム・エージェンシーと加入者管理ウォレット |
| 4. Federation Assurance Level (FAL) | 4. フェデレーション保証レベル(FAL) |
| 4.1. Reaching Different FALs in PIV Federation | 4.1. PIV 連盟における異なる FAL への到達 |
| 4.1.1. FAL1 | 4.1.1. FAL1 |
| 4.1.2. FAL2 | 4.1.2. FAL2 |
| 4.1.3. FAL3 | 4.1.3. FAL3 |
| 4.2. Selecting FAL | 4.2. FALの選択 |
| 5. Requirements of IdPs and RPs | 5. IdPとRPの要件 |
| 5.1. General-Purpose IdP Requirements | 5.1. 汎用IdPの要件 |
| 5.1.1. Authentication Requirements | 5.1.1. 認証要件 |
| 5.1.2. PIV Identity Account Identification | 5.1.2. PIV ID アカウント識別 |
| 5.1.3. Session Management | 5.1.3. セッション管理 |
| 5.2. Subscriber-Controlled wallets | 5.2. 加入者が管理するウォレット |
| 5.3. RP Requirements | 5.3. RP 要件 |
| 5.3.1. Assertion Processing | 5.3.1. 主張処理 |
| 5.3.2. RP Subscriber Accounts | 5.3.2. RPサブスクライバアカウント |
| 5.3.3. Session Management | 5.3.3. セッション管理 |
| 5.3.4. Changing the Federated Identifier | 5.3.4. 識別子の変更 |
| 6. Protocol Requirements | 6. プロトコル要件 |
| 6.1. Required Attributes | 6.1. 必須属性 |
| 6.1.1. Last Updated Time | 6.1.1. 最終更新時刻 |
| 6.2. Assertion Contents | 6.2. 主張内容 |
| 6.2.1. Federated Identifier | 6.2.1. フェデレート識別子 |
| 6.2.2. Authorization and Access Rights | 6.2.2. 認可とアクセス権 |
| 6.2.3. Certificate Identifiers | 6.2.3. 証明書識別子 |
| 6.3. Discovery and Registration | 6.3. ディスカバリと登録 |
| 6.4. Assertion Presentation | 6.4. 主張の提示 |
| 6.5. Attribute APIs | 6.5. 属性API |
| 6.6. Identity Proxies and Brokers | 6.6. アイデンティティプロキシとブローカー |
| References | 参考文献 |
| Appendix A. Examples | 附属書A. 例 |
| A.1. Direct Connection to the Home Agency IdP | A.1. ホーム・エージェンシ IdP への直接接続 |
| A.2. Multilateral Federation Network | A.2. 多国間フェデレーション・ネットワーク |
| A.3. Enterprise Application | A.3. エンタープライズ・アプリケーション |
| A.4. PKI-Based Federation Gateway | A.4. PKI ベースのフェデレーションゲートウェイ |
| A.5. PIV Federation Proxy as a Federation Authority | A.5. フェデレーション認可としての PIV フェデレーション・プロキシ |
| A.6. FAL3 With a PIV Card and PKI-Based Derived PIV Credentials | A.6. PIV カードおよび PKI ベースの派生 PIV クレデンシャルを使用する FAL3 |
| A.7. FAL3 With an RP-Bound Authenticator | A.7. RP バウンド認証機能を持つ FAL3 |
| A.8. Issuance to a Digital Wallet | A.8. デジタル・ウォレットへの発行 |
| Appendix B. Glossary of Terms | 附属書 B. 用語集 |
| Appendix C. Abbreviations | 附属書 C. 略語 |
| 2章 | 情報提供 | PIV連携の一般的なアーキテクチャの記述。 |
| 3章 | 規範 | PIV連携におけるトラスト・アグリーメントの記述。 |
| 4章 | 規範 | PIV連携に適用されるフェデレーション保証レベルについての説明。 |
| 5章 | 規範 | PIV連携における IdP と RP の要件についての説明。 |
| 6章 | 規範 | アサーション・コンテンツを含む、PIV連携要素の要件。 |
| 参考文献 | 情報提供 | 本文書から参照される出版物のリスト |
| 附属書A | 参考資料 | |
| 附属書B | 参考資料 | 本文書で使用される特定の用語の用語集 |
| 附属書C | 参考資料 | 本文書で使用される略語の抜粋リスト |
PIV関連のFIPS, SP, IR...
少し古い?といものもありますが、、、これだけPIVに関連する文書を積み重ねているUSはすごい...
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.07.17 米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ
・2024.07.17 米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3
・2023.12.16 NIST SP 800-79 Rev.3(初期公開ドラフト)PIV カードおよび派生 PIV クレデンシャル発行者の認可に関するガイドライン
・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ
・2023.01.14 米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン
・2023.01.12 米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン
・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)
« 米国 NIST SP 800-172 Rev.3(初公開ドラフト) 管理対象非機密情報保護のための拡張セキュリティ要件 | Main | オーストラリア サイバー・インフラセキュリティセンター 重要インフラ年次リスクレビュー 2024 (2024.11.05) »
Comments