지난 6월, NIST는 디지털 ID 지침의 다음 버전인 SP 800-63-4에 대한 의견 수렴을 요청했습니다. 우리는 논평할 기회를 환영했습니다. 웹사이트의 Government & Public Policy(정부 및 공공 정책) 영역에서 전체 의견을 읽어보십시오.

SP 800-63-3은 NIST의 디지털 ID 지침이 크게 개선되어 ID 증명, 인증 및 페더레이션에 대한 보다 현대적인 접근 방식을 취했습니다. 그렇긴 하지만, 기술과 위협은 모두 결코 정적이지 않으며, NIST가 이 문서의 또 다른 개정에 착수하고 있다는 점은 고무적입니다.

의견에서 SP 800-63-4에 대한 세 가지 권장 사항을 제시합니다.

1. NIST는 구현자가 피싱 방지 도구와 그렇지 않은 도구를 명확하게 구분할 수 있도록 AAL에 대한 접근 방식을 조정해야 합니다.

오늘날 조회 비밀, 대역 외 장치(예: 푸시), OTP 앱 및 토큰을 포함하여 공유 암호를 기반으로 하는 다양한 인증자는 FIDO와 같은 비대칭 공개 키 암호화를 기반으로 하는 인증자와 동일한 가중치를 AAL2에서 부여받습니다. 공격자가 전자를 따라잡은 방식을 감안할 때 이 두 가지 유형의 인증자를 단일 지정으로 결합하는 것은 더 이상 의미가 없습니다. 이렇게 하면 구현자가 이 두 범주의 인증자가 강도 또는 복원력 면에서 동일하다고 생각하게 됩니다. 의견에서 NIST는 피싱 방지 도구와 그렇지 않은 도구를 더 잘 구분할 수 있도록 AAL을 조정하는 방법에 대한 몇 가지 아이디어를 제공합니다.

2. NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 다른 대안을 모색해야 합니다.

SP 800-63-3이 처음 게시되었을 때 일부 FIPS 140 유효성이 검사된 FIDO 인증자가 검증 도구 가장 저항을 제공하기 위해 토큰 바인딩과 함께 배포된 경우 AAL3을 충족할 수 있는 경로를 만들었습니다. 그 이후로 대부분의 주요 브라우저 공급업체는 토큰 바인딩에 대한 지원을 철회했습니다. NIST와의 논의에 따르면 이는 FIDO 인증자가 토큰 바인딩 손실을 완화하기 위한 다른 접근 방식을 구현하지 않고는 더 이상 AAL3를 충족할 수 없음을 의미합니다. NIST가 SP 800-63의 다음 개정판에 착수함에 따라 NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 하는 다른 대안을 모색할 것을 촉구합니다.

3. FIDO에 대한 보다 직접적인 참조 제공

SP 800-63B는 인증자 유형별 요구 사항을 설명하지만 해당 유형을 지원하는 표준을 가리키는 방식이 일관되지 않습니다. 이로 인해 구현자가 SP 800-63B를 참조하고 OTP 및 PKI와 같은 표준에 대한 참조를 볼 수 있지만 FIDO에 대한 특정 참조를 볼 수 없을 때 시장에 약간의 혼란이 발생했습니다. 이 의견에서는 구현자가 FIDO가 어디에 적합하고 요구 사항을 지원하는지 더 명확하게 이해할 수 있도록 지침에서 FIDO를 직접 참조할 수 있는 방법에 대한 세 가지 제안을 제공합니다.

NIST가 우리의 의견을 고려해준 것에 대해 깊이 감사드리며, 디지털 ID 지침을 업데이트하기 위해 지속적인 대화와 협력을 기대합니다.


More

아마존, FIDO 얼라이언스 이사회 합류

Brett McDowell, FIDO Alliance 전무 이사 표준 기반의 상호 운용 가능한 인증을 위한 세계 최대의…

자세히 보기 →

일본에서 FIDO 인증의 상업적 모멘텀 가속화

앤드류 시키아르 시니어 FIDO 얼라이언스 마케팅 담당 이사 지난달 FIDO Alliance는 도쿄에서 스탠딩 룸 전용…

자세히 보기 →

FIDO TechNotes: FIDO는 페더레이션 프로토콜을 대체하기 위한 것입니까?

작성자: Salah Machani, RSA, Dell Technologies Business; FIDO 기업채택그룹(FIDO Enterprise Adoption Group) 공동의장 FIDO Alliance는…

자세히 보기 →