认证维护和更新

认证的身份验证器时常会发生一些变化,这些变化可能会影响到FIDO身份验证器的安全要求。 这些变更分为非干扰性、次要或主要变更,与衍生、德尔塔和重新认证直接相关。

这些流程的起点是对现有认证身份验证器进行更改。 这种变更可能是为纠正已发现的缺陷而设计的补丁、功能的增强、新功能的添加、指导文档的说明,或 Authenticator 硬件和/或软件的任何其他变更。

FIDO 联盟已制定了一套流程,以应对此类变更。 这就是 FIDO 影响分析报告 (FIAR),具体介绍如下。

变化评估说明

供应商将完成的FIAR报告提交给FIDO安全秘书处,由秘书处分析报告中所述的变更,以确定其对FIDO安全要求覆盖范围的影响。

提交 FIAR 需要一个执行账户。 没有账户的用户请在此处创建账户 实施者控制面板提交 FIAR。 如果您已经拥有实施者账户,则可以使用您的凭据登录并上传到仪表板。

FIDO 影响分析报告审查流程

FIAR 审查程序包括 3 个步骤:

  1. FIAR 提交步骤:供应商根据上述链接中提供的模板提交完整的 FIAR 文件。
  2. FIAR审查步骤:FIDO安全秘书处审查所提交的FIAR报告是否完整,并分析修改内容,以确定其对FIDO身份验证安全要求的影响。
  3. FIAR结论步骤:FIDO 安全秘书处将根据对认证身份验证器所作更改的特点作出判断。 结果要么是非干扰性变化,要么是变化或变化。

衍生产品认证程序

非干涉变化

非干扰性变更对 FIDO 安全要求的覆盖范围没有影响。 典型的更改可能是 Authenticator 边界之外的功能或与功能特性、性能优化或更新名称或外观相关的错误修复。

衍生 FIDO 身份验证器认证 流程是在已通过早期版本认证的身份验证器上进行的。 如果安全秘书处在审查了供应商提供的FIAR之后,认为FIAR中反映的变更对FIDO安全要求的覆盖范围具有非干扰性影响,则会对现有证书进行增补。 在这一过程结束时,将向公众公布。 在此开始衍生产品认证。

在提交衍生 FIDO 认证时,需要提供以下材料:

德尔塔认证流程

MINOR CHANGE

轻微更改的影响微乎其微,不会影响测试程序和校准要求提供的安全保证级别,以至于验证器需要重新认证。 对不需要校准的 FIDO 安全要求的更改通常属于这一范围,但这并不是一种限制性情况。 典型的更改可能是与安全功能或 ASP 间接相关的错误修复、与身份验证器边界交互的附加功能或安全强度优化。 例子包括但不限于 1) 在其他平台上安装经 FIDO 认证的小程序,以及 2) 采用另一种传输模式的 FIDO 认证小程序。 根据变化情况,这两个例子都有可能是重新认证,因此一定要在 FIAR 上正确记录。

Delta FIDO 身份验证器认证是在已通过早期版本认证的身份验证器上进行的。 如果安全秘书处认为FIAR中反映的变更对FIDO身份验证安全要求的覆盖范围影响不大,则必须适用以下规定:

  • 对于L1证书:FIDO安全秘书处将仅审查对VQ所做的更新并予以批准,然后创建现有证书的附录,并在流程结束时公开发布。
  • 对于 L1+ 及以上认证:认可实验室将仅审查对 VQ 的更新,进行 delta 测试,并更新相关 FER 以反映新版本。 然后,由FIDO安全秘书处创建现有证书的附录,并在流程结束时公布于众。

作为提交 Delta FIDO 认证的一部分,需要提供以下信息:

重新认证程序

重大变化

重大变更可能会影响安全保证级别。 需要校准的 FIDO 安全要求变更通常属于这一类。 典型的更改包括添加/删除/替换 ASP 或加密算法、实施新的反措施或更改验证器边界安全架构。 请注意,在某些情况下,包括几处微小改动的更新可能会对安全产生重大影响,在这种情况下,安全秘书处可能会将其视为重大改动。

FIDO 身份验证器再认证是针对已通过早期版本认证的身份验证器进行的。 如果安全秘书处认为FIAR中反映的变更对FIDO验证器安全要求的覆盖范围有重大影响,则必须适用以下规定:

  • 对于L1认证:FIDO安全秘书处将对VQ进行全面审查,同时最大限度地重复使用以前的认证结果,以减少重复工作。 然后批准并颁发新证书,取代现有证书。 该过程结束后,将公布这一新证书。
  • 对于 L1+ 及以上认证:认可实验室将全面审查 VQ 并重新进行测试,同时最大限度地重复使用以前的认证结果,以尽量减少重复工作。 然后更新 FER,以反映新的结果,然后提交给 FIDO 安全秘书处。 后者将验证 FER 并颁发新证书,取代现有证书。 该过程结束后,将公布这一新证书。

提交重新认证 FIDO 认证时需要提供以下材料:

点击此处查看完整认证定价详情。