きょう2016.11.1の渋谷ミクシィ コラボルームでは「#idcon vol.22 ~ NIST SP 800-63-3 分割、補完関係へ。」が19:00から開催されます。お誘い合わせの上どうぞ〜 idcon.connpass.com/event/40861/ #mixi_collabo
2016-11-01 12:48:10novさん: 今日のゴール SP 800-63-2 からの変更点を知る/-3を前提に様々な施策を考える/-3に対する日本政府としてのスタンスを考える/日本版 SP 800-63を策定する #idcon
2016-11-01 19:03:48novさん: 800-63-2まではひとつの文書だったが、-3からは4つの文書に分割された。800-63-3、63A, 63B, 63C #idcon
2016-11-01 19:04:34novさん: 翻訳内容へのfeedbackは github.com/openid-foundat… NISTへのfeedbackは github.com/usnistgov/800-… #idcon
2016-11-01 19:05:47novさん: LoA (Level of Assurance)を定義する。3つの要素に分解。IAL, AAL, FALそれぞれを63A, B, Cで文書化 #idcon
2016-11-01 19:07:32novさん: SP 800-63-2 まではひとつの文書だった。LOA Lv1~4の各レベルの中で要件のカテゴリが5つあった。63-3からは、ひとつのLOAを3つのxALの組み合わせで決定 #idcon
2016-11-01 19:09:18novさん: IAL: Identity Proofing (身元確認)の強度。登録時に免許証をチェックしたかなど。Lv1: IP不要、Lv2: リモートまたは対面でのIP、Lv3: 対面でのIPが必要 #idcon
2016-11-01 19:10:18novさん: AAL: Authentication Processの強度を示す。2段階認証、パスワードなどなど。Lv1: single factor、Lv2: 2 factor(2要素目はソフトでもOK)、Lv3: ハードウェアベースの2要素 #idcon
2016-11-01 19:12:11novさん: FALで使う用語: Assertion(認証情報+署名)、Artifact(その参照情報のみ。OIDCのcodeなど)、Front/Back-channel presentation。Front=implicit、Back=codeフローなど #idcon
2016-11-01 19:13:36novさん: FAL: FederationにおけるAssertion/Artifactの利用形態に関する要件。Lv1: F/B-ch共にAssertionへの署名が必要。Lv2: ~に加えてF-chを利用する場合はAssertionの暗号化 #idcon
2016-11-01 19:15:14novさん: Lv3: さらにB-chでも暗号化、Lv4: さらにHolder-of-Key Assertionの利用が必須 #idcon
2016-11-01 19:15:27novさん: LOAとのマッピングは2通り。Legacy M-04-04 RequirementsとRecommended M-04-04 Requirements #idcon
2016-11-01 19:16:33novさん: RecommendedではLOA2におけるIALは1でも2でもよいなど、許容する方向になっている #idcon
2016-11-01 19:17:31novさん: ヘルスケア情報のトラッキング → ユーザーは仮名のまま認証強度を強くしたい → Identity Proofing不要(IAL 1)かつ、多要素認証必須(AAL 2)のLOA3も可能 #idcon
2016-11-01 19:18:30novさん: 同じLOA3と言っても、アプリケーションごとに必要なIAL、AAL、FALが変わってくる。各アプリケーションごとにリスクアセスメントしてLOAを定め、xALを定める必要がある #idcon
2016-11-01 19:19:14TKさん: 5月か6月ごろ、パスワードの定期変更だけでもり上がった。そのときに翻訳があるといいなと思ったので、よい活動だと思います。 novさん: SMSによる多要素を必須としないなど #idcon
2016-11-01 19:21:07novさん: 今回はgithub上でやっているので、変更履歴がコミットログで見やすい。MLは非公開であるが、issueを送るとcontributorになれる #idcon
2016-11-01 19:22:07TKさん: NISTの文書なのにgithubでやってるのはすごいな、と思います。日本で○○省がgithub使ったらおおごとだと思います。 novさん: NIST側のリポジトリのREADMEにそれが書いてある。米国外からのフィードバックが欲しい #idcon
2016-11-01 19:23:54natさん: 日本もやったらいいと思うが、大変らしい。そもそも政府文書には著作権がないので問題ない。政府の人にgithubの使い方を教えるのがまず大変だったとか #idcon
2016-11-01 19:24:40