FIDO認証を支えるデバイス：認証器ってなんだ？

前回からの続きです。パスワード不要！ヒミツを渡さない！FIDO認証についてご紹介しています。

前回は、FIDO認証の概略についてご紹介しました。どのようにパスワードレス認証を実現しているか、厳密ではないにせよ、その雰囲気はつかめたのではないでしょうか。

今回は、そのFIDO認証に必要な「認証器」（Authenticator）の話をしましょう！認証器には、どんな種類があるのか、認証器で何ができるのか、これを確認することでFIDO認証への理解がいっそう深まります！

よしいってみよう！

認証器（Authenticator）の機能

まずは認証器というもので、何ができるかを確認しましょう。認証器の機能は、大きく次の３つです。

• 指紋・顔などを使って認証する機能

• 署名鍵を生成する機能

• 署名鍵でチャレンジに署名する機能

「認証する機能」と「署名する機能」は、まさにユーザがログインしようとする過程で必要な機能ですね。

一方、「署名鍵を生成する機能」は、認証器（検証鍵）をRPサーバに登録するときに必要な機能です。

認証器の種類

認証器は、「デバイスに組み込まれているか」または「デバイスの外にあるか」で分類することができます。

プラットフォーム認証器

パソコンやスマホなどのデバイスにそもそも組み込まれているタイプです。デバイスの中に含まれているTPM（Trusted Platform Module）が、これにあたります。

TPMは、セキュリティを向上させるためのモジュールです。暗号化キーを安全に生成して保存します。Windows 11では、TPM 2.0が必須ですから、Windows11をお使いの方は、PCにTPMが入っていることにります。

ローミング認証器

こちらは、デバイスの外にあるタイプの認証器です。後付けタイプですね。

接続インタフェイスは、USBやNFC（Near Field Communications）などがあります。製品によっては、USBポートに差し込むだけでなく、ICカードみたいに非接触でも利用できるんですね！製品例はこちらです。

Yubico セキュリティキー YubiKey 5 NFC ログイン/U2F/FIDO2/USB-A ポート/2段階認証/高耐久性/耐衝撃性/防水

このローミング認証器では、CTAP（Client To Authenticator Protocol）というプロトコルが使われます。ついでに、覚えておくことにしましょう。

秘密鍵を推測する「電力解析攻撃」

いちおう、このマガジンはサイバーセキュリティをテーマにしておりますので、セキュリティ面の話も少し補足します。

TPMなどのセキュリティチップも、ローミング認証器も、秘密鍵を安全に保管します。

しかし、これらのデバイスを分解したり、動作させたりして何とか内部の情報を読み取ろうという攻撃があります。「サイドチャネル攻撃」です。

特に、そのサイドチャネル攻撃の中には「電力解析攻撃」というのがあります。暗号デバイスが計算中の電力やらノイズやらを外側から計って、なんとか秘密鍵を推測しようというものです。

このようなサイドチャネル攻撃に対抗して、内部の情報が漏れでないようにしたり、攻撃を検知したりする性質などを「耐タンパ性」といいます。Tamperは、「いじる」とか「改変する」といった意味です。

FIDOの認証器にも当然求められる性質です。しかも、攻撃するにも、高度な技術と多大な労力がかかります。ですから、一般的には大きな心配はないですが、過信は禁物と心にとめておきましょう。

はい、本日はここまで。今回は、FIDOの仕組みのうち、認証器に焦点をあててお話ししました。こういったハードウェアの発展が認証技術を支えているのですね。

次回は、FIDOの検証鍵登録についてお話しする予定です。

では。