Paragon Initiativeの研究者チームは最近、Web認証APIプロトコルであるWebAuthnのいくつかの暗号アルゴリズムに関するセキュリティ上の懸念を共有した。8月23日のブログ投稿で、Paragonのチームは、WebAuthnの基礎となるアルゴリズムやサポートされているアルゴリズムの脆弱性の結果として、WebAuthnがさらされていると感じている潜在的な問題の概要を提供した。調査は徹底しており、ユーザーを教育しようとする努力は賞賛に値する。しかし、セキュリティ上の懸念は、プロトコルがどのように実装されているかが重要な役割を担っていることを理解した上で、文脈の中で考慮されるべきである。
WebAuthnの仕様では様々なアルゴリズムをサポートしており、その中には他のものより強力なものもある。これは、事実上すべての標準が直面する課題である。標準化団体は一般的に、可能な限り幅広い聴衆に対応し、最も広い範囲の製品やサービスをカバーすることで、採用率と市場リーチを最大化しようと努めます。他のプラットフォームや標準との後方互換性や相互運用性の必要性は、レガシーコンポーネントやサードパーティコンポーネントに存在する潜在的な弱点への扉を開く。
重要なのは、その基準を使って何をするかだ。
セキュリティ・ソリューションの総合的な強さは、必要なセキュリティ・インフラ要素の利用可能性と、最も重要な実装の強さに依存する。優れた実装は、柔軟性があり、サービス・プロバイダーが受信デバイス・リクエストの強度に基づいて最適な選択ができるようなフレームワークを提供する必要がある。より脆弱なデバイスが関与している場合には、受信データを検証し、根本的なリスクを軽減するための追加措置を講じる必要がある。
Paragon社の記事は、RSA PKCS1v1.5パディングに内在する署名偽造の脆弱性と、ECDAAの使用における潜在的な弱点という、2つの主要な懸念分野を提起している。WebAuthnはウェブ認証APIであり、ウェブ・ブラウザはオペレーティング・システム以上に複雑なレイヤー、インターフェース、APIを追加する。攻撃対象が広がることで、WebAuthn 自体の機能ではない、様々な攻撃の可能性が出てきます。
パラゴン社が提起した懸念は、Nok Nok Labsの製品にとっては問題ではありません。Nok Nok Labsは過去4年間、FIDOプロトコルを実装した製品をグローバルかつ大規模に展開してきました。私たちは高いセキュリティ基準と実装を支持しており、これにはWebAuthnのシナリオも含まれます。
Nok Nok Labs 製品をご利用のお客様は、ポリシーによって許容可能なアルゴリズムと認証特性を指定することができます。これにより、お客様は脆弱な実装を検出してブロックし、特定のアルゴリズムの弱点に起因するリスクへの露出を軽減することができます。また、弱いアルゴリズムや脆弱なアルゴリズムを使用している特定の認証者にリスクスコアを割り当てることもできます。リスクスコアを使用することで、顧客は、セキュリティ向上のために追加のステップアップ認証を要求したり、トランザクションを遅延させたり、リスクを軽減し、強固なセキュリティを確保するためのその他の適切な措置を講じることができる。
Nok Nok Labsは、設定とポリシーにより、この種の欠陥にさらされる機会を柔軟に制限することができます。また、リスクの高いシナリオを特定し、追加の保護を提供するためにステップアップ認証を必要とすることも可能です。
Nok Nok LabsはFIDOの創設者であり強力なサポーターであり、WebAuthnを支持しています。また、後方互換性と相互運用性を提供する一般的な標準の開発には潜在的なセキュリティ上の懸念が内在していること、そしてそれらに対処するために実装レベルで講じなければならないステップがあることも認識しています。
ご質問やご意見は、Nok Nok Labs([email protected])までお問い合わせください。