産総研が開発した「AISTパスワード認証方式」などが国際標準化される 31
ストーリー by hylom
使いやすい実装はあるのかな 部門より
使いやすい実装はあるのかな 部門より
産業技術総合研究所(産総研、AIST)が開発した「AISTパスワード認証方式」および「AIST匿名パスワード認証方式」が国際標準化された(産総研の発表、PC Watch)。
「AISTパスワード認証方式」はパスワードだけで認証を行える技術で、ISO/IEC 11770-4:2017として標準化された。また、「AIST匿名パスワード認証方式」はユーザーを特定せずに特定の権限や属性を有していることを認証できる技術で、「ISO/IEC 20009-4:2017」として標準化された。
AISTパスワード認証方式は、既存の認証方式と比べて少ない計算量で認証を実現できるのが特徴。また、AIST匿名パスワード認証方式は容易に匿名で権限の認証ができるため、プライバシーの確保などに有用だという。
AIST (スコア:2)
I・・い
S・・し
T・・て
愛して
Re: (スコア:0)
A・・あ
I・・い
S・・し
T・・た
愛した(過去形)
Re: (スコア:0)
あんたどうして
いつも
そんなに
つれないの?
Re:AIST (スコア:1)
演歌の歌詞みたい
Re: (スコア:0)
???
Re: (スコア:0)
何の偶然か、今ちょうど八神純子『想い出のスクリーン』のサビ部分を聞いてた。
Re: (スコア:0)
あ、い、さ、つ、しない奴は認証しない。それがアイサツプロトコル。
Re: (スコア:0)
pop3のようにまずはHELOと挨拶しろという事ですね。
パスワードだけ (スコア:1)
と書いてるから、てっきりユーザIDが不要になるのかと思ったら、
実際は「公開鍵証明書」が不要になるみたい。
なぜ引用から除外したんだろ?
Re: (スコア:0)
使い方がわからん。どうやってパスワードを二者間で安全に共有するの?
Re: (スコア:0)
ISOは有料だから見れないけど、プレスリリースによれば、AKAM3は本質的にはRFC 6628だから、関連リンクにある「ヤフーと産総研、フィッシングを防止するパスワード相互認証技術を開発」と同じでしょ。
https://tools.ietf.org/html/rfc6628 [ietf.org]
Re: (スコア:0)
あー、要するにゼロ知識証明?
Re: (スコア:0)
公開鍵証明書のルートを辿るのは使わないけど、論理的には公開鍵のロジックと同じだな。クライアントのオレオレ証明をサーバーが保管する、とでも言えばいいのか。
Re: (スコア:0)
クライアントのオレオレ証明書をサーバに送るってこと?
最初にそれ送るときのセキュリティはどうするの?
Re: (スコア:0)
最初ってアカウント登録時?そこがピンポイントで漏れたら、どんな仕組みでもダメだろうね。そこはHTTPSでなんとかするしかないんじゃない?ログインを要求してくるようになる前の問題はどうしようもない。
Re: (スコア:0)
これ、もしかしたら大発明なのでは?
AugPAKE, AKAM3, SKI mechanism (スコア:1)
# メモ
AISTパスワード認証方式
= AugPAKE [1]
= AKAM3 @ISO/IEC 11770-4 [2]
AIST匿名パスワード認証方式
= SKI mechanism @ISO/IEC 20009-4:2017 [3]
[1] https://datatracker.ietf.org/doc/draft-irtf-cfrg-augpake/ [ietf.org]
[2] https://www.iso.org/standard/67933.html [iso.org]
[3] https://www.iso.org/standard/64288.html [iso.org]
参考
* 「これからのパスワードを使った認証について」[4]
* 「盗聴やフィッシング詐欺などを防御する認証技術の開発と国際標準化」 [5]
[4] https://www.risec.aist.go.jp/files/events/2014/0313-ja/risec-sympo2014... [aist.go.jp]
[5] https://www.aist.go.jp/aist_j/new_research/2012/nr20120904/nr20120904.html [aist.go.jp]
Re: (スコア:0)
きわめて私見ですが、このAISTの仕組みを丁寧に解説しても
ここの皆さんの期待されるような技術ドメインとは微妙に異なるので
「それ何の役に立つの?」で終わりそうに思います。
つか SRAD は雑談。 (スコア:1)
真面目にやるところではない
Re: (スコア:0)
雑談なんだから真面目にやってもいいだろ。
Re: (スコア:0)
「それ何の役に立つの?」の質問に答えられない技術ってことなの?
Re: (スコア:0)
仕組みはともかく、外形的にはパスワードによる認証というのがプレスリリースを読んだ人が期待する応用と思うけど(実際そう書いてあるし)、
そうでないなら期待とどう異なるか知りたい。
Re: (スコア:0)
斜め読みだけど、サイトごとにパスワード暗号化キーを変えようって事みたいですね。
サイトがDNSレコードにソルト的なものを入れて、それを使ってユーザパスワードを暗号化してやり取りしましょう的な話の模様
Re: (スコア:0)
PGPと一緒だよ。サイトごとに公開鍵を変えるだけで。
Re: (スコア:0)
[4]以外はわかりにくいか情報量がなさすぎですね。
deadbeef先生に解説してもらいたいです。
参照実装ないの (スコア:0)
プレスリリース読んでもさっぱりなんだが。
Re: (スコア:0)
Firefoxのパッチを書いたけど採用されなかったんじゃなかったかな。
Re: (スコア:0)
参照実装を提示しないのはセンスないよな。普及しなさそう。
A1ST (スコア:0)
R800でも認証処理できますか?
Re: (スコア:0)
Re: (スコア:0)
R800でも認証処理できますか?
GTはできないので難しいのではないでしょうか