FIDOの仕組み

FIDOのプロトコルは、標準的な公開鍵暗号方式を用いて堅牢な認証を実現します。オンラインサービスへの登録時に、ユーザーのクライアントデバイスは新しい鍵のペアを生成します。秘密鍵をクライアントデバイスに保持し、公開鍵を使ってオンラインザービスに登録します。クライアントデバイスがチャレンジに署名することにより、秘密鍵を保持していることを証明すると、認証が完了します。クライアントデバイスの秘密鍵は、ユーザーがデバイスでローカルロック解除を行わないと使用できません。ローカルロック解除は、指でスワイプする、暗証番号を入力する、マイクに向かって話す、2要素認証デバイスを挿入する、ボタンを押すなど、ユーザーが使いやすいセキュアアクションで行います。

FIDOのプロトコルは、ユーザーのプライバシーを保護すべく、一から設計したものです。プロトコルは、異なるサービス間の連携やユーザーの追跡を目的として他のオンラインサービスに利用されるような情報は提供しません。生体認証情報は、使用したとしても、ユーザーのデバイスから流出することは一切ありません。

FIDOへの登録

graphic_Registration

登録:

  • オンラインサービスの受け入れポリシーに適合し、利用可能なFIDOオーセンティケーターを選択する画面がユーザーに表示されます。
  • ユーザーは、指紋リーダー、2要素認証デバイスのボタン、暗証番号のセキュアな入力などの方法で、FIDOオーセンティケーターをロック解除します。
  • ユーザーのデバイスは、このローカルデバイス、オンラインサービス、ユーザーアカウントに対して一意の新しい公開鍵/秘密鍵のペアを生成します。
  • 公開鍵がオンラインサービスに送信され、ユーザーアカウントと関連付けられます。ローカルデバイスが秘密鍵やローカル認証方法に関する情報(バイオメトリクスの測定値のやテンプレートなど)を流出させることは一切ありません。

FIDOへのログイン

graphic_Login

ログイン:

  • オンラインサービスは、サービスの受け入れポリシーに適合する以前登録したデバイスでログインするように、ユーザーにチャレンジします。
  • ユーザーは、登録時と同じ方法を使って、FIDOオーセンティケーターをロック解除します。
  • デバイスは、サービスから提供されたユーザーのアカウント識別子を使って正しい鍵を選択し、サービスのチャレンジに署名します。
  • クライアントデバイスは、署名したチャレンジをサービスに返送します。サービスは、保管している公開鍵で確認を行い、ユーザーをログインさせます。