引き続きOpenID for Verifiable Credentialsの正式セキュリティ分析

こんにちは、富士榮です。

前回に引き続きOpenID for Verifiable CredentialsのFormal Security Analysisです。

前回はIssuanceに関する分析結果を見てきましたが、今回はPresentationに関してみていきましょう。

Presentationについては2点あります。

1. Crossデバイスフローにおける認証攻撃

• modeがdirect_postかつCrossデバイスの場合の話ですね。まぁ一番オーソドックスなフローではあると思いますのでなかなか難しい問題です。
• 攻撃者がVerifierに対して認証インタラクションを開始し、認証要求をフィッシング等で被害者のWalletに読み込ませることで被害者のWalletからvp_tokenがPOSTされてしまう、という話です。

前回の分析でもフィッシングとの組み合わせで攻撃が成り立つケースが紹介されていましたので、やはりここはなんらかの対策をしないといけないポイントですね。

2. セッション完全性攻撃

• これもカスタムURLスキームの話ですね。ただでさえOAuthやOpenID Connectはステートレスな仕組みの中でトランザクションを成立させるためのセッション維持が難しい課題なのにOID4VCxだとクロスデバイスが入ることで更に難しくなっている印象です。（参考：OID4VPの場合のカスタムURLスキームはopenid4vp://）
• これも攻撃者のWallet（被害者のスマホにインストールされた悪意のあるWallet）が攻撃者のIDを含むvp_tokenをdirect_postでVerifierへPresentできてしまう、という攻撃です。

やっぱりEUがやっているようにWalletの認定は大事なテーマなんだなぁ、と思わされる分析でした。

ということで、一旦セキュリティ分析の話はおしまいです。