Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

M2MコミュニケーションにおけるDID/DIDCommの実装と技術優位性 @DIF Japan...

M2MコミュニケーションにおけるDID/DIDCommの実装と技術優位性 @DIF Japan Monthly Call #2

DIF Japan Monthly Callにて、『M2Mコミュニケーションにおける Decentralized Identity / DIDComm (on MQTT) の実装と技術優位性 by CG Masayoshi Mitsui』を発表しました。

アジェンダ
1. CollaboGateのご紹介
2. なぜIoT/M2M Communicationに注目しているのか?
3. M2MCommにおけるDID/DIDCommの実装と技術優位性

宣伝:CGの未来を創るエンジニア、お客様と伴走するメンバーを積極採用中です🔥 ご関心のある方はぜひこちらの採用サイトをご覧ください!
https://collabogate.notion.site/CollaboGate-9de87dfb448b4c3fa02af707c6c3d855

Masayoshi Mitsui

February 24, 2023
Tweet

More Decks by Masayoshi Mitsui

Other Decks in Technology

Transcript

  1. CollaboGate Japan, Inc. 会社名 CollaboGate Japan 株式会社 設立 2019年5月7日 オフィス

    〒105-6415 東京都港区虎ノ門 1-17-1
 虎ノ門ヒルズビジネスタワー 15階 事業 IoTデータセキュリティプラットフォーム事業 代表者 三井 正義 About CG データインフラの革新に挑戦する、サイバーセキュリティスタートアップ 参画投資家 過去の支援・共同プロジェクト・パートナーシップ実績抜粋
  2. IoTがMobileを超える 300億台突破 CollaboGate Japan, Inc. IoTソリューション市場は大きなポテンシャルがあり需要は急増し続ける 2,750億台 総務省 情報通信白書 データ集

    令和4年 IoTデバイス 7.1bn 4.6bn 1.7bn Mobile - 13.5bn 2025 PC - 2.1bn IoTデバイスの急速な普及 IoTは今後のインターネットの中心に モバイルシフトを遥かに超えるIoTシフトの波 PC Mobile IoT Market
  3. CollaboGate Japan, Inc. Market 各産業でIoTデータを活用したDXニーズ 多様で信頼性の高いデータに誰もが簡単にアクセスできる仕組みを作りたい お 客 様 A

    P I A P I A P I ソリューションパートナー ビジネスパートナー マイクロサービス マイクロサービス マイクロサービス 他社のデバイスを含めた拡大 安全で拡張性の高いデータインフラ データプラットフォーム
  4. CollaboGate Japan, Inc. 製品ごとのテーラーメイドな自社インフラ構築の限界 1. PF構想・設計段階 2. PF立ち上げ期 3. PFグロース期

    Customer Pain 経営リスク 接続台数 10機種 数百万台 1機種 数十万台 製品ごと インフラ構築コスト インフラ構築+運用コスト が積み重なる 100機種 数千万台
  5. CollaboGate Japan, Inc. 極めて複雑なIoTデータインフラ構築の課題 Customer Pain ハードウェアセキュリティモジュー ルでデバイス暗号鍵を保護し、信頼 の起点を担保する仕組み 暗号鍵管理

    デバイス証明書の作成、製造段階で のインジェクション、市場投入後の 証明書管理の仕組み プロビジョニング 不正アクセス デジタル署名に基づく相互認証、デ バイスの真正性担保、動的なアクセ ス制御の仕組み 認証・認可 なりすまし 多種多様な伝送方法ごとの検証可能 な暗号化通信の仕組み コネクティビティ データ漏洩・改竄 暗号鍵・証明書・ポリシーなど長期 でのインフラ運用管理の仕組み インフラ運用 脆弱性放置 検討すべきデータインフラ構成要素 物理・論理攻撃 組込み・ネットワーク・データ・クラウドまで多岐にわたる専門性が求められる
  6. CollaboGate Japan, Inc. インフラ領域においても、国内外でパートナーシップがマスト戦略に 自社インフラ構築には限界がある すでに多くの企業がデータインフラ構築にパートナーを選択 “作る”から”使う”へ=専門サービスの併用により人的リソース確保と集中 ”個社”から”複数社”へ=知恵を集めてサービスの進化の恩恵を享受 Customer Pain

    PCなどWebアクセス・リモートアクセスの セキュリティを一元提供するセキュリティプラットフォーム 複数のアプリやサービスをつなぐSSO認証プラットフォーム クラウド提供されるDWHサービス。 各社が持つデータを利用できるマーケットプレイスも提供
  7. CollaboGate Japan, Inc. IoT事業成長を支えるデータインフラソリューション ノード・クロス IoT Device IoT Device IoT

    Device SaaS Public Cloud Data Center あらゆるデバイス、あらゆる場所からの検証可能なデータ流通をセキュアに実現 デバイスなりすまし防止、高度な認証・認可、暗号化データのルーティング AGENT AGENT NodeX HUB LONDON LONDON SF TOKYO PARIS AGENT AGENT AGENT AGENT
  8. CollaboGate Japan, Inc. DID/DID Documents/Sidetreeについて Technology NodeX AGENT IAM, Encryption,

    Signature, Key Management with RoT OS DIDComm on MQTT NodeX Network (Sidetree Protocol atop of DLT) OS IPC |w Device DIDs Operations (create, update, resolve, revoke) Application DIDs Operations (create, update, resolve, revoke) 2. Control Plane 3. Cloud NodeX HUB Message Routing,
 Dynamic Access Control OS IPC Application NodeX AGENT IAM, Encryption, Signature, Key Management with RoT DIDComm on MQTT # DIDs Operations (create, update, resolve, revoke) AuthCrypt Data AuthCrypt Data
  9. CollaboGate Japan, Inc. $A DID/Sidetreeによるプロビジョニングの自動化 認証局から公開鍵証明書を取り寄せこれを各デバイスに挿入する方法と、今回提案するDID Registryに識別子と公開鍵情報を登録する方法が ある。大量デバイスを扱うIoTシステムの場合、後者のアプローチがセキュリティとコストの観点において優れている。NodeX AgentのDID Methodを活用し、Bitcoin上に構築するSidetree

    Nodeを経由して、DID Operationを実現する。これにより、従来手法と比べて大幅なコス ト削減およびプロセスの脆弱性を排除を実現できる。 2. 公開鍵登録 3. DIDとDID Document生成 $A 鍵ペア生成 4. DID取得 6. DIDから公開鍵を取得 5. 分散型IDを送信 Sidetree as DPKI CG社の提供するDIDエージェント クラウド
 (通信相手) CG社の自動化プロビジョニング 2. 証明書署名要求(CSR) 3. 証明書取得 証明書に署名するCAか確認 6. 証明書を検証+共通鍵生成 7. 共通鍵を秘密鍵で復号し、暗号化通信を開始 5. 証明書を送信 7. 暗号化して共通鍵を送付 作業者 $A 鍵ペア・CSR生成 製造工場 認証局CA クラウド
 (通信相手) 4. 秘密鍵+証明書挿入 従来のプロビジョニング NodeX Features
  10. CollaboGate Japan, Inc. NodeX Features 2. DIDとルートオブトラスト確立(暗号鍵管理) デバイスのルートオブトラスト確立には、各種CPUやOS がサポートするRoTモジュール(例えばArm TrustZone

    やTPMチップなど)を利用する。 NodeX AgentのRoT Extensions機能と、Linux OS TPM2.0機能を活用し、CPUが生成する真正乱数から複 数の暗号鍵ペアを生成し、生成した秘密鍵をTPM2.0で 安全に保管する。 DIDとRoT Extensionsで、デバイス識別子&暗号鍵管理 を汎用的に実装できる。NodeX AgentのExtensionsを活 用することで、LinuxOSで稼動するリテールや医療機器 などのIoTデバイスのルートオブトラスト確立も同様に 実現できる。 TPM2.0 TPM デバイスドライバ Linux Kernel TSS (TCG Software Stack) CG社 Agent IoT Application RoT Extensions (Agent) カーネル ミドルウェア アプリケーション 内部または外部バス
  11. CollaboGate Japan, Inc. 3. DIDComm + 検証可能なデータ IoT機器で生成するデータの検証可能範囲を拡大し、信頼できるデータとして自由に流通させることができる。アプリからNodeX AGENTに、操作する ユーザー名などのメタデータを渡すことで、「いつ・誰が・どのデバイスから」といったデータ検証が可能になり、より信頼性の高いデータ流通を実

    現することができる。 DID/VCによる検証可能なデータ流通 Verifiable Credential Data Model では、デジタル署名を施したクレデンシャルの共通データ フォーマットとシンタックスを定義している。データをコンテナ化(署名付き暗号化)すること で、通信プロトコルに依存せずノード間で安全に検証可能なデータ通信ができる仕組みが構築で きる。 Source: https://www.infraexpert.com/study/tcpip1.html NodeX Features データ (VC)
  12. CollaboGate Japan, Inc. 4. IoT向けの軽量E2EEメッセージングプロトコル (DIDComm on MQTT) IoT機器の場合、デバイスからデータをsimplexに非同期に最終目的地に届けたいニーズが存在する。またシステム構成により複数のTCP Connection

    Hopsを跨ぐことや、ノード間で利用される通信プロトコルが多岐にわたるなどのIoT特有の特徴が存在する。本実証では、NodeX AgentのDIDComm メッセージングプロトコルとMQTTを活用し、ノード間での検証可能なE2EE通信を実現している。またNodeX HUBとデバイスがセキュアな相互認証 チャネルを構築(HUB側でDIDとMQTT topic pathとのテーブルを保有)することで、プライベートネットワーク側のListening Portをインターネット 上に露出させない構成を実現、Port Scanning Attack などのセキュリティ脅威から防ぐことができる。 TCP Connection Application Data NodeX E2E Secure Channel Local Private Network 高度なデバイスの認証、 ポリシーベースのアクセス制御、 メッセージルーティング 安全なセキュリティ更新 検証可能な電子化文書 検証可能な電子化文書 HTTP Client HTTP-based API HTTP-based API Cloud Private Network HTTP Server Message Routing Node (DID, Topic Path) NodeX Agent NodeX Agent NodeX HUB 限りなく小さな攻撃サーフェイスを実現 NodeX Features
  13. CollaboGate Japan, Inc. NodeX Features Local Private Network HTTP Client

    HTTP-based API NodeX Agent NodeX Official Documentation
  14. CollaboGate Japan, Inc. DIDComm Message Formats DIDComm Plaintext Message (.dcpm)

    DIDComm Encrypted Message (.dcem) Technology { "id" : "543db1d5-e921-4538-9c58-41a4782e03aa", "type" : "JWM", "from" : "did:unid:device", "to" : [ "did:unid:cloud" ], "typ" : "application/didcomm-plain+json", “body” : { verifiable credential }, “attachments” : [ { "data" : { "json" : "{\"location\":\"Jupiter\",\"serial\":\"SERIAL0000\",\"user\":\"USER0000\"}", "links" : [ "https://did.getunid.io" ] }, "format" : "metadata", "id" : "clegvat4u0000ehq3d78bh2md", "lastmod_time" : "2023-02-23 08:53:49.950270 UTC" } ] } {  "ciphertext" : "1USvve5YjPq....",  "iv" : "QXtoOcsCfTn408epoKXzuZrJ4saKaAGr",  "protected" : "eyJ0eXAiOiJh....",  "recipients" : [   {    "encrypted_key" : "ehgyo813uvz4iRq50BLdESxiLQl0ak2tlpSwazajhsQ",    "header" : {     "alg" : "ECDH-1PU+XC20PKW",     "epk" : {      "crv" : "X25519",      "kty" : "OKP",      "x" : "-KUZm2DJNvSD5I-gSE_z6l1jmYefW70jNHjYg3Bum2Y"     },     "iv" : "NnmvFYJ3ravTjFNcLD7HSLZOTnns8Ojf",     "key_ops" : [],     "kid" : "did:unid:cloud",     "tag" : "uDN-lHOT8zZMvyzaxSKE1w"    }   }  ],  "tag" : "6IbsAW9CenSDIZBWaeF2xw" } //base64 decode、”skid”が送信元デバイスのDIDに該当 //受信先クラウドのDIDに該当
  15. CollaboGate Japan, Inc. 5. デバイスの高度な認証・認可 デバイスに「ユーザー名」や「パスワード」などを設定し、クラウド側でデバイスの認証・認可を行う手法と、公開鍵認証およびポリシーベースでの アクセス制御を行う選択肢が存在する。現在IoTセキュリティの国際標準規格においても、IoT機器のパスワード認証は推奨されない。NodeX Agentと HUBを活用し、公開鍵認証によるデバイスの認証に加えて、デバイスの真正性を担保できる事前認証の仕組み、およびProxy Serverでのポリシーによ

    るアクセス制御を行い、不正な振る舞いやトラフィックを早期に検知、対応、復旧する仕組みを検証した。 TCP Connection Application Data NodeX E2E Secure Channel Local Private Network 高度なデバイスの認証、 ポリシーベースのアクセス制御、 メッセージルーティング 安全なセキュリティ更新 検証可能な電子化文書 検証可能な電子化文書 HTTP Client HTTP-based API HTTP-based API Cloud Private Network HTTP Server Message Routing Node (DID, Topic Path) NodeX Agent NodeX Agent NodeX HUB 限りなく小さな攻撃サーフェイスを実現 NodeX Features
  16. CollaboGate Japan, Inc. 今後の課題 NodeX Features † HTTP(S), MQTT(S), WebSocket,

    Bluetoothなどの通信プロトコル対P † TCP Connections Multi-hops 対P † Windows OS, RTOS(FreeRTOS, AzureRTOS, etc...), CPU 300MHz~ 対応
  17. CollaboGate Japan, Inc. IoT device, Virtual Machine, Server に統合する汎用エージェントです。分散 型ID技術を活用しオープンソースでの開発を行っています。

    NodeX Agentとは? 主にRust言語での開発を行っています。 開発言語&環境は? e Policy Management , Credential Management e Overlay Routing r Device Identification Authentication/ Authorization Enrollment e and Instance on UNiD Studio E2E Secure Socket TLS1.3 Handshake Protocol o Publish and Subscribe Queues Workers Cloud Add-Ons Extensions for various cloud through UNiD HUB Decentralized PKI Blockchain-agnostic layer 2 protocol to support a globally scalable, immutable append- only log with no central provider or authorities to be censorship and tamper proof. r Extensions for various TEEs, TPMs, HSMs, Secure Enclave Ar R N MT I + Data Processing Encryption, Hashing, Encoding r Extensions for various IoT transport protocols UNiD HUB API UNiD NETWORK r TCP UDP WebSocket Bluetooth HTTP T ZigBee - NBIoT Build your own AW G A K I + 高度なデバイス認証、メッセージルーティング、ポリシーベースのアクセス制 御、インベントリ管理を行うプロキシサーバーです。 NodeX HUBとは? NodeX HUB (NodeJS, Container, K8s, Autoscale) 開発言語&環境は?
  18. CollaboGate Japan, Inc. Product NodeX プロダクト開発の魅力 まだ正解のないデータインフラのあるべき姿を01で設計し、自らの手で創れる人生に一度あるかないかの貴重な機会です。 インターネットをアップデートするだけでなく、目の前のお客様のデータインフラに関する技術課題を解決するチャレンジをしています。 01. まだ世の中にないもの

    DID, DIDCommなどの国際標準規格の策定段階から関わり(W3C、DIF)、オープンソースで開発を進めます。あなたのコミットが世界で参照されます。 02. OSS+国際標準化 数年後にはDIDエコシステムが成熟し、グローバルに広く普及していくことになります。今がまさに未来のデータインフラを01で設計・実装するタイミ ングであり、この先に生み出されるインパクトは計り知れません。 03. 最高のタイミング