#idcon vol.22 NIST SP 800-63-3 分割、補完関係へ

MIXI ENGINEERS @mixi_engineers

きょう2016.11.1の渋谷ミクシィ コラボルームでは「#idcon vol.22 ~ NIST SP 800-63-3 分割、補完関係へ。」が19:00から開催されます。お誘い合わせの上どうぞ〜 idcon.connpass.com/event/40861/ #mixi_collabo

MIZUMOTO, Akinori @letticia

そろそろ #idcon vol.22 に向かわねば。

nov matake @nov

#idcon 会場なぅ

👹秋田の猫🐱 @ritou

#idcon 来ていただいても大丈夫です

Kaoru Maeda 前田 薫 @mad_p

novさん: 今日のゴール SP 800-63-2 からの変更点を知る/-3を前提に様々な施策を考える/-3に対する日本政府としてのスタンスを考える/日本版 SP 800-63を策定する #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: 800-63-2まではひとつの文書だったが、-3からは4つの文書に分割された。800-63-3、63A, 63B, 63C #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: 翻訳内容へのfeedbackは github.com/openid-foundat… NISTへのfeedbackは github.com/usnistgov/800-… #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: では SP 800-63-3 4分割のメインの文書について #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: LoA (Level of Assurance)を定義する。3つの要素に分解。IAL, AAL, FALそれぞれを63A, B, Cで文書化 #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: SP 800-63-2 まではひとつの文書だった。LOA Lv1～4の各レベルの中で要件のカテゴリが5つあった。63-3からは、ひとつのLOAを3つのxALの組み合わせで決定 #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: IAL: Identity Proofing (身元確認)の強度。登録時に免許証をチェックしたかなど。Lv1: IP不要、Lv2: リモートまたは対面でのIP、Lv3: 対面でのIPが必要 #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: 通常のWebサービスはLv1。Lv2はリモートでもOK、Lv3は対面 #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: AAL: Authentication Processの強度を示す。2段階認証、パスワードなどなど。Lv1: single factor、Lv2: 2 factor(2要素目はソフトでもOK)、Lv3: ハードウェアベースの2要素 #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: FALで使う用語: Assertion(認証情報+署名)、Artifact(その参照情報のみ。OIDCのcodeなど)、Front/Back-channel presentation。Front=implicit、Back=codeフローなど #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: FAL: FederationにおけるAssertion/Artifactの利用形態に関する要件。Lv1: F/B-ch共にAssertionへの署名が必要。Lv2: ～に加えてF-chを利用する場合はAssertionの暗号化 #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: Lv3: さらにB-chでも暗号化、Lv4: さらにHolder-of-Key Assertionの利用が必須 #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: LOAとのマッピングは2通り。Legacy M-04-04 RequirementsとRecommended M-04-04 Requirements #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: RecommendedではLOA2におけるIALは1でも2でもよいなど、許容する方向になっている #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: ヘルスケア情報のトラッキング → ユーザーは仮名のまま認証強度を強くしたい → Identity Proofing不要(IAL 1)かつ、多要素認証必須(AAL 2)のLOA3も可能 #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: 同じLOA3と言っても、アプリケーションごとに必要なIAL、AAL、FALが変わってくる。各アプリケーションごとにリスクアセスメントしてLOAを定め、xALを定める必要がある #idcon

Kaoru Maeda 前田 薫 @mad_p

TKさん: 5月か6月ごろ、パスワードの定期変更だけでもり上がった。そのときに翻訳があるといいなと思ったので、よい活動だと思います。 novさん: SMSによる多要素を必須としないなど #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: 今回はgithub上でやっているので、変更履歴がコミットログで見やすい。MLは非公開であるが、issueを送るとcontributorになれる #idcon

Kaoru Maeda 前田 薫 @mad_p

TKさん: NISTの文書なのにgithubでやってるのはすごいな、と思います。日本で○○省がgithub使ったらおおごとだと思います。 novさん: NIST側のリポジトリのREADMEにそれが書いてある。米国外からのフィードバックが欲しい #idcon

Kaoru Maeda 前田 薫 @mad_p

novさん: ちゃんとしたNISTのレビュープロセスの直前の段階としてやっているそうだ #idcon

Kaoru Maeda 前田 薫 @mad_p

natさん: 日本もやったらいいと思うが、大変らしい。そもそも政府文書には著作権がないので問題ない。政府の人にgithubの使い方を教えるのがまず大変だったとか #idcon