Hardware Authenticator Binding: A Secure Alternative to Passkeys
概要
FIDO2(Fast Identity Online 2)は、パスワード認証の脆弱性を解消するために公開鍵認証を用いています。FIDO2では、高いセキュリティを実現するために、認証情報がハードウェア認証器に紐づけられ、エクスポート不可であることを前提としています。しかし近年、複数デバイス間で認証情報を共有したいというユーザニーズが高まっており、利便性との両立が課題となっています。Passkeyは、同期型とデバイス固有型のいずれかを選択可能にしていますが、利便性とセキュリティの間にトレードオフが生じます。
本研究では、デバイス固有のFIDO2認証情報を仮想的に同期可能とするHardware Authenticator Binding(HAB)方式を提案します。HABは、ユーザが選択したクラウドベースのサービスとして動作し、ハードウェア認証器の登録・失効・復旧を管理します。セキュリティを確保するために、本方式では分散鍵管理、バインディング証明書による非追跡性、信頼実行環境(TEE)を用いた検証可能性を導入しています。私たちはHABサービスをAMD SEV-SNP上に実装し、仮想マシンレベルの分離を利用して信頼性のあるアテステーションを実現しました。セキュリティ分析および性能評価により、本方式の有効性を確認しています。
タイプ
収録
49th IEEE International Conference on Computers, Software, and Applications (COMPSAC 2025)
