「セキュリティ・キャンプ全国大会2016」 2016/8/12 ( https://www.ipa.go.jp/jinzai/camp/2016/zenkoku2016.html , https://www.ipa.go.jp/jinzai/camp/2016/zenkoku2016_kougi.html )
https://lepidum.co.jp/ Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.ID連携基礎 / ID Federation Basis(修正公開版)セキュリティキャンプ2016 全国大会(2016/8/12)株式会社レピダム林 達也 (@lef )HAYASHI, Tatsuya /Lepidum Co. Ltd.YAuth.jp真武信和 ( @nov )Nov Matake / YAuth.jp
View Slide
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/講義内容計算機と寄り添うように使われてきたIDとパスワードによる"認証"は、既に社会においても個人の生活から社会システムにおいてまで日々利用されている、重要な基礎技術です。一方で、古典的な攻撃手法であるパスワードクラック等を始め、攻撃の基本ともいえる領域ともなっており、計算機の歴史においては常に重要な要素技術として常に磨かれ、進化してきました。もちろん、社会にこれほど普及したものである以上、完璧ということはなく既に数々の課題が存在します。多くの課題がある中、最近ではfacebookやtwitterなどによる、いわゆるソーシャルログインのようなID連携(ID Federation)がどんどん普及しています。そもそも"認証"(Authentication)というのはどういう行為を指しているのでしょうか?多くの人は、あまり意識せずに認証を行っていますが、認証の概念は、デジタルの世界で必須となる重要な概念で、実は考えるととても奥深く興味深いものです。この講義では、普段意識もしないようなレベルで使っている認証技術とその現代的な基礎であるID連携について、OAuthやOpenID Connect等プロトコルを中心にセキュリティの観点から学びます。HTTPベースのプロトコルを扱うため、WebブラウザやcURLコマンドでも講義を理解できる形とします。もちろん、プログラムが得意な人は好きなプログラミング言語を使って作業を進めても構いません。講義では、ID & Passwordで認証してる時の問題点について触れた後、ID連携の実際を知るために実際にID連携についての実習を行います。更に、ID連携において技術的に注意すべきところ、セキュリティ的な側面で重要なところを知るべく、実際の攻撃例についても学びます。
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/林 達也 (@lef )所属株式会社レピダム 代表取締役 Internet Society Japan ChapterOnline Identity WG チェア/プログラム委員(2013-2016) OpenID Foundation Japan理事 Identity Conference ( #idcon )オーガナイザー慶應義塾大学大学院メディアデザイン研究科 後期博士課程(D1)慶應義塾大学KMD研究所 所員慶應義塾大学SFC研究所 上級所員業務領域応用・実用研究標準化支援アイデンティティ、プライバシー認証・認可ソフトウェア&ネットワークセキュリティ, 脆弱性ネットワーク技術プログラミング言語処理系コンパイラ, インタプリタ,言語設計各種コンサルテーション
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/最近は…(1) CCS Injection脆弱性の発見 HTTP/2(RFC7540)の標準化活動 OAuthやOpenID Connectの普及活動Identity, 標準化, プロトコル,etc... IETFやW3Cで標準化活動 Trust Framework関連
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/最近は…(1) CCS Injection脆弱性の発見 HTTP/2(RFC7540)の標準化活動 OAuthやOpenID Connectの普及活動Identity, 標準化, プロトコル,etc... IETFやW3Cで標準化活動 Trust Framework関連通信プロトコルが大好き!ソフトウェアとネットの力を信じてる
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/最近は…(2) Keio Cyber Security Research Center BSafe.network ProjectAdministrator ofthe first and seed node ofBSafe.network at Keio University. Blockchain LabKeio Research Institute at SFC Information Bank Consortium
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/最近は…(3)博士への長い道 /The voyage Ph.D...慶應義塾大学で「社会的信頼」という研究をしてます
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Nov Matake ( @nov ) YAuth.jp 代表 OpenID Foundation Japan 事務局長 OAuth.jp 管理人 idcon.org ( #idcon ) オーガナイザー Ruby ライブラリいろいろセキュリティの人というよりIDの人
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/AGENDA
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Agenda知識編ID連携を構成する要素を簡単に説明PasswordID and Identity認証 / Authentication ,認可 / AuthorizationID連携 / ID Federation実習編実際にID連携を試してみる更に具体的な攻撃を試してみるCSRFトークン置換コード置換再認証回避
https://lepidum.co.jp/ Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.ID連携基礎 / ID Federation Basis知識編 / Knowledge part
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ID AND PASSWORD
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/QuestionDo you know "ID and Password" ?Do you have "ID and Password" ?How many "ID and Password" ?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Attack for ID and Password ID and Passwordのシステムに対する攻撃を振り返る
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Old style password attack Brute force(力ずく)1, 2...9, 10, 11...19, 20...99, 100...A, B...Z, AA, AB...AZ, AAA, AAB...AAZ, AAAA...桁数(4桁, 8桁)PIN, Password, Passphrase, ...推測"Password", "1234", etc...よく使われるパスワード辞書攻撃
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Old style password attack Brute force(力ずく)1, 2...9, 10, 11...19, 20...99, 100...A, B...Z, AA, AB...AZ, AAA, AAB...AAZ, AAAA...桁数(4桁, 8桁)PIN, Password, Passphrase, ...推測"Password", "1234", etc...よく使われるパスワード辞書攻撃昨日の講義を聞いた人もいるかも?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/パスワードの桁数・文字数 8桁パスワードSunOS "/etc/passwd"過去、データは8桁で切り捨てて保存するが、認証は入力したデータで行うシステムが世の中にはあった PINコード電話機、テンキー人間の記憶力文化、教育、etc...
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/いわゆるANA, JAL事件公式"Web"のパスワードが"数字"で"4桁"つまり約10,000通りしかない実際には"1111"などの使えない組み合わせがあるのでもっと少ない!なぜ?"電話"と"記憶"銀行のキャッシュカードとの違いは?そして最近はこれも…
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/事件の概要 2014/1-3サイトに不正ログインが相次ぐ目的はマイレージギフト券などの交換して現金化JALは約100件の不正アクセスで、約50件、数百万規模の被害 2014/9JALは生年月日による認証を追加ANAはパスワードを英数文字8桁以上16桁以下に変更
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ANA/JALのWebサイトのログインマイレージ会員番号とパスワードでログインANA数字10桁の会員番号と4桁PINJAL数字7 or 9桁の会員番号と6桁パスワード
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/よくある"情報漏洩"事件『お客様のパスワードは(暗号化されており)漏れていません』…IDは漏れている?e-mail addressは?パスワードやクレジットカード番号が漏れていなければ安全なのか?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/(いわゆる)リバースブルートフォース攻撃パスワードを固定して、IDを次々に変えてログインを試行する攻撃Alice:"1111", Bob:"1111"...数字4桁だと10,000通りしかない!Alica, Alicb, Alicc...でなくてもいい?IDは隠すものではないWebをクロールすれば正しそうな情報が山程手に入るIDのリストがあればより簡単多くのCaseではIDはメールアドレスIDは「会員番号」等で長さも固定された数字である場合があるANAマイレージクラブの会員数は公称約2,500万人(当時)計算上、平均2,500人がひとつのパスワード(PIN)にぶら下がってるPIN "1111"に対して2,500万回試行すると2,500回成功する
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/影響や怖さ、被害範囲 ANAのCaseは「お客様番号」でのログインだったユーザーが自分の安全を守る方法がない(なかった) ANA/JALの例は現金化目的だったが、標的型攻撃(Targeted Attack)だったら…?航空会社の利用者層を考えると…?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/...Crisis ! Passwordによるシステムに致命的な状況に陥るいわゆるパスワードリスト型攻撃
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/前提条件大規模漏洩でID and Passwordの情報が漏れている対象でなかった人・アカウントは無関係 Passwordを使いまわしてなければ大丈夫
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/そういわれても覚えられないし…
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/漏洩事故(Password) List based attack /パスワードリスト型攻撃認証を行うユーザ認証を行うサービスA漏洩したID/Passwordのリスト認証を行うサービスB認証を行うサービスC『覚え切れないからパスワードは一緒でいいや』攻撃者
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/そもそも…パスワードって何?IDって何?何のために何を攻撃しているんだっけ?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/PASSWORD IS DEAD?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/そもそも…パスワードって何?IDって何?認証って何?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/そもそも…パスワードって何?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/『パスワードとはそもそも何か?』本人のみが知りうる秘密の情報認証する側"も"知っている「ことも」ある合言葉、パスワード、パスフレーズメリット・デメリット意識と記憶が正常なら安定して出力可能概ね人体(=本人)のみで完結任意の使い分けが可能記録・複製・伝搬可能(=意志とは別に代行可能)変更時は相手との同期が必須
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/合言葉 "Open Sesame!"呪文、秘密の言葉「山!」「川!」連想による検証双方、ChallengeとResponseを知っている数学(暗号)と(暗号学的)Hash関数の偉大さ
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Authentication FactorSomething You Know• 記憶、知識• ex) パスワードSomething You Have• 所有• ex) ICカードSomething You Are• 本人の特長• ex) バイオメトリクスfromNIST SP800-63"Digital AuthenticationGuideline"
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/パスワード認証の終焉パスワードリスト型攻撃の影響人類の脳内記憶力は有限絶対、間違いなく、確実にパスワードは使いまわされる漏洩被害を抑えることはもう出来ない
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/パスワード認証の終焉パスワードリスト型攻撃の影響人類の脳内記憶力は有限絶対、間違いなく、確実にパスワードは使いまわされる漏洩被害を抑えることはもう出来ないPassword is Dead!パスワード認証終了のお知らせ
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ID、そしてアイデンティティ
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/そもそも…IDって何?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ID? Identification :識別 Identifier :識別子 Identity: 自己像 Identity Proofing :本人確認
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Identify Identification :識別対象と他の違いを認識して区別する行為 Identifier :識別子識別に使う情報結果的に、ひとつの文脈の中ではユニークであることが想定される
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/実体 / Entity
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/属性 / Attribute慶應義塾大学 大学院メディアデザイン研究科 教授 Mozilla Japan 理事 WIDE Project 50代半ば Internetの偉人陽気でポジティブ鉄道
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Identity / 自己像慶應義塾大学 大学院メディアデザイン研究科 教授 Mozilla Japan 理事 WIDE Project 50代半ば Internetの偉人陽気でポジティブ鉄道Identity = 属性の集合(ISO/IEC 24760)
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Identity / 自己像慶應義塾大学 大学院メディアデザイン研究科 教授 Mozilla Japan 理事 WIDE Project 50代半ば Internetの偉人陽気でポジティブ鉄道Identity = 属性の集合(ISO/IEC 24760)人はEntity (実体) をIdentity (属性の集合)によって認識・認知する
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Identity / 自己像慶應義塾大学 大学院メディアデザイン研究科 教授 Mozilla Japan 理事 WIDE Project 50代半ば Internetの偉人陽気でポジティブ鉄道Identity = 属性の集合(ISO/IEC 24760)人はEntity (実体) をIdentity (属性の集合)によって認識・認知する1つのEntityにIdentityは複数存在
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Identity / 自己像慶應義塾大学 大学院メディアデザイン研究科 教授 Mozilla Japan 理事 WIDE Project 50代半ば Internetの偉人陽気でポジティブ鉄道Identity = 属性の集合(ISO/IEC 24760)人はEntity (実体) をIdentity (属性の集合)によって認識・認知する1つのEntityにIdentityは複数存在Identityはコンテキストに依存する
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/"非技術者のためのデジタル・アイデンティティ入門 / 崎村夏彦氏"より引用
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Identity Proofing :本人確認 Identityの証明に必要な行為
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Identity Proofing :本人確認 Identityの証明に必要な行為非常に重要な概念少し後でもう一度出るかも?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Discussion 1自分にはどういうIdentityがあるかを挙げてみてください Identifier / 識別子の観点で、いま座っている環境でどういうIdentityがあり得るかを議論してみてください
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/AUTHENTICATION
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/そもそも…認証って何?
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/そもそも…IDとパスワードって何のために必要なんだっけ?認証
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/パスワード認証パスワード認証は、情報システムにおける認証の代表的な例パスワード認証のプロセスを分解してみると…
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/(1) パスワード認証の事前登録1.認証される側は、識別子とパスワード(と属性)を認証する側に預ける2.認証する側は預けられた情報を検証する識別子がシステム(コンテキスト)内でユニークかどうか、メール疎通などの検証をする3.最終的に、認証される側がOKする
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/(2) 実際のパスワード認証1.認証される側が識別子とパスワードを提出する2.認証する側は、識別子に紐づくIdentityを特定し、3.パスワードが正しいかを確認する "ブラウザの前のEntityがそのIdentityの所有者だと判断出来る"
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Authentication / 認証「情報システムに対して, デジタル表現されたユーザーの Identity の確からしさを確立するプロセス」 Entityが認証する側の持つIdentityと紐づく(bind)するかを確認する行為ex) ユーザがサービス提供者の持つDB内の情報と同じかを確認多くの場合、識別が(も)必要になる確認に必要な情報はひとつとは限らないex) 多要素認証
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/認証とはなにか? EntityとIdentityが紐づくか?紐づくことで登録者と認証される
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/その他の例携帯電話の契約契約する側が携帯ショップのカウンターで「本人確認書類」を提出する携帯事業者が提出された情報を登録する携帯電話が疎通してサービスが利用可能になる
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/Discussion 2携帯電話(SIM)は認証しているのですが、なぜIdentityとEntityを紐付けることが出来るのかの手続きを確認してみてくださいその他、マイナンバーシステムや学校のシステムではどうやって認証出来ているのかを挙げてみてください
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ID FEDERATION / ID連携
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Facebook Twitter Google Github Yahoo!Social LoginInstagram, Togetter, ATND, Qiita
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ID Federation "一連のネットワークシステム間でIdentityおよび認証情報の伝搬を行うためのプロセス"
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ID連携・認証連携 ID連携で実現したいのは、認証イベントの情報とその時の属性情報の伝搬 ID連携と属性交換は別ID連携は属性交換を包含するID連携を伴わない属性交換も存在する
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/属性情報?例えば、18歳未満かどうか確認するLINEにおけるモバイルキャリアでの年齢認証
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/世の中に存在するID連携のシステムマイナンバー (公的個人認証/JPKI)国民であることが証明できる学認学生であることを証明できる
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ID連携を実際に体験してみましょう!
lef
ouchi2501
akkie76
takesection
yoshimi0227
i35_267
tkikuchi1002
etaroid
k1low
mosa_siru
mraible
yokawasa
keiko713
tammielis
csswizardry
bryan
aleyda
pedronauck
zakiyama
stephaniewalter
reverentgeek
samanthasiow
morganepeng
bkeepers
samlambert