6月、NISTはデジタルIDガイドラインの次期版であるSP 800-63-4についてコメントを募集しました。 我々は、コメントする機会を歓迎した。コメント全文は、ウェブサイトの 「政府と公共政策」の項目でお読みください。
SP 800-63-3は、NISTのデジタルIDガイドラインを大幅に改善し、IDプルーフィング、認証、フェデレーションに対してより現代的なアプローチを採用していることを最初にお伝えします。 そうは言っても、テクノロジーと脅威はどちらも決して静的なものではなく、NISTが文書の別の改訂に着手していることは心強いことです。
コメントでは、SP 800-63-4 について次の 3 つの推奨事項を示します。
1. NIST は、実装者がフィッシングに強いツールとそうでないツールを明確に区別できるように、AAL へのアプローチを調整する必要があります。
現在、AAL2では、ルックアップシークレット、アウトオブバンドデバイス(プッシュ)、OTPアプリやトークンなど、共有シークレットに基づくさまざまなオーセンティケーターが、FIDOなどの非対称公開鍵暗号に基づくオーセンティケーターと同じ重み付けされています。 攻撃者が前者に追いついたことを考えると、これら2種類のオーセンティケーターを1つの名称で組み合わせることはもはや意味をなしません。 そうすることで、実装者は、これら 2 つのカテゴリのオーセンティケーターが強度または回復性において同等であると考えるようになります。 このコメントでは、フィッシングに強いツールとそうでないツールをより差別化するためにAALを調整する方法について、NISTにいくつかのアイデアを提供しています。
2. NISTは FIDO アライアンス と連携して、FIDOオーセンティケーターがAAL3要件を満たすための他の代替案を模索すべきである
SP 800-63-3が最初に公開されたとき、一部のFIPS 140検証済みFIDOオーセンティケーターがAAL3を満たすためのパスが作成されました(これらのオーセンティケーターがトークンバインディングと連携してデプロイされ、Verifierのなりすまし耐性を実現した場合)。 それ以来、ほとんどの主要なブラウザベンダーはトークンバインディングのサポートを廃止しています。 NISTとの話し合いによると、これは、FIDO認証器がトークンバインディングの損失を軽減するための他のアプローチを実装しない限り、AAL3を満たすことができなくなったことを意味することを理解しています。 NIST が SP 800-63 の次の改訂に着手するにあたり、NIST が FIDO アライアンス と連携して、FIDO オーセンティケーターが AAL3 要件を満たすための他の代替案を模索することを強く求めます。
3. FIDOへのより直接的な参照を提供する
SP 800-63B では、 認証器 タイプ別の要件が説明されていますが、そのタイプをサポートする標準を示す方法には一貫性がありません。 このため、実装者がSP 800-63Bを参照し、OTPやPKIなどの標準への言及はあるものの、FIDOへの具体的な言及は見られないという、市場で混乱が生じています。 コメントでは、実装者がFIDOが適合し、要件をサポートする場所をより明確に理解できるように、ガイダンスがFIDOを直接参照する方法について3つの提案を提供します。
私たちは、NISTが私たちのコメントを検討してくれたことに大いに感謝し、デジタルIDガイダンスの更新を模索するNISTの継続的な対話と協力を楽しみにしています。