지난 6월, NIST는 디지털 ID 지침의 다음 버전인 SP 800-63-4에 대한 의견 수렴을 요청했습니다. 우리는 논평할 기회를 환영했습니다. 웹사이트의 Government & Public Policy(정부 및 공공 정책) 영역에서 전체 의견을 읽어보십시오.
SP 800-63-3은 NIST의 디지털 ID 지침이 크게 개선되어 ID 증명, 인증 및 페더레이션에 대한 보다 현대적인 접근 방식을 취했습니다. 그렇긴 하지만, 기술과 위협은 모두 결코 정적이지 않으며, NIST가 이 문서의 또 다른 개정에 착수하고 있다는 점은 고무적입니다.
의견에서 SP 800-63-4에 대한 세 가지 권장 사항을 제시합니다.
1. NIST는 구현자가 피싱 방지 도구와 그렇지 않은 도구를 명확하게 구분할 수 있도록 AAL에 대한 접근 방식을 조정해야 합니다.
오늘날 조회 비밀, 대역 외 장치(예: 푸시), OTP 앱 및 토큰을 포함하여 공유 암호를 기반으로 하는 다양한 인증자는 FIDO와 같은 비대칭 공개 키 암호화를 기반으로 하는 인증자와 동일한 가중치를 AAL2에서 부여받습니다. 공격자가 전자를 따라잡은 방식을 감안할 때 이 두 가지 유형의 인증자를 단일 지정으로 결합하는 것은 더 이상 의미가 없습니다. 이렇게 하면 구현자가 이 두 범주의 인증자가 강도 또는 복원력 면에서 동일하다고 생각하게 됩니다. 의견에서 NIST는 피싱 방지 도구와 그렇지 않은 도구를 더 잘 구분할 수 있도록 AAL을 조정하는 방법에 대한 몇 가지 아이디어를 제공합니다.
2. NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 다른 대안을 모색해야 합니다.
SP 800-63-3이 처음 게시되었을 때 일부 FIPS 140 유효성이 검사된 FIDO 인증자가 검증 도구 가장 저항을 제공하기 위해 토큰 바인딩과 함께 배포된 경우 AAL3을 충족할 수 있는 경로를 만들었습니다. 그 이후로 대부분의 주요 브라우저 공급업체는 토큰 바인딩에 대한 지원을 철회했습니다. NIST와의 논의에 따르면 이는 FIDO 인증자가 토큰 바인딩 손실을 완화하기 위한 다른 접근 방식을 구현하지 않고는 더 이상 AAL3를 충족할 수 없음을 의미합니다. NIST가 SP 800-63의 다음 개정판에 착수함에 따라 NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 하는 다른 대안을 모색할 것을 촉구합니다.
3. FIDO에 대한 보다 직접적인 참조 제공
SP 800-63B는 인증자 유형별 요구 사항을 설명하지만 해당 유형을 지원하는 표준을 가리키는 방식이 일관되지 않습니다. 이로 인해 구현자가 SP 800-63B를 참조하고 OTP 및 PKI와 같은 표준에 대한 참조를 볼 수 있지만 FIDO에 대한 특정 참조를 볼 수 없을 때 시장에 약간의 혼란이 발생했습니다. 이 의견에서는 구현자가 FIDO가 어디에 적합하고 요구 사항을 지원하는지 더 명확하게 이해할 수 있도록 지침에서 FIDO를 직접 참조할 수 있는 방법에 대한 세 가지 제안을 제공합니다.
NIST가 우리의 의견을 고려해준 것에 대해 깊이 감사드리며, 디지털 ID 지침을 업데이트하기 위해 지속적인 대화와 협력을 기대합니다.