CACTIの次世代クレデンシャルに関するレポート（２）

こんにちは、富士榮です。

昨日に引き続きCACTIの次世代クレデンシャルに関するレポートを見ていきましょう。

今回はナラティブのところからです。

ナラティブとして背景〜ワーキンググループの作業の流れを説明しています。

電子 ID の状況は、従来のフェデレーション Web シングル サインオン インフラストラクチャで使用されていた強力な集中型モデルから、ユーザーがどのような ID を主張するか、誰とどのような種類の ID を主張するかを選択できるモデルに移行しつつあります。 取引の際に開示する情報。 過去 30 年以上にわたってワールドワイド Web 上のユーザーに影響を与えてきた深刻なプライバシー侵害を制限する取り組みでは、(現在の InCommon および eduGAIN フェデレーション システムと同様に) 依存するリスクがますます高くなる中核的な Web プリミティブからの移行も必要です）。 次世代クレデンシャルワーキング グループは、可能な限り多くの利害関係者の観点から、次世代クレデンシャルの導入に向けた幅広い想定されるユースケースと推進要因を収集し、それらの認証情報との親和性と投資収益率 (ROI) を分析するために設立されました。 目標は、概念実証 (POC) に高い ROI のユースケースを推奨することです。

目標は先にも書いた通り次世代クレデンシャル（VCを念頭）をどうやって利活用していくか？をユースケース分析を通して明確にしていくことですね。やはりどこの業界でもそうですがユースケースが大事です。一方でチャンピオンユースケースがいまだに見つかっていない、という課題はとても大きく、ブレークスルーが求められます。

この作業グループはさまざまな機関や組織の 24 人で構成され、2023 年 6 月 15 日から 8 回会合を開きました。このグループは、次世代資格情報の設計と実装に関して競合する理論があるという事実を認識していました。 これらのテクノロジーは、「自己主権アイデンティティ」、「検証可能な資格情報」、「ウォレットベースの資格情報」などの名前で知られています。また、このグループは、この分野で取り組んでいる他の人の成果を再現することも望んでいませんでした。 ワーキンググループは、私たちのコミュニティができることに焦点を当てることにしました。

適切な使用例を開発するには、次世代の資格情報を構成するものについてグループが共通の理解を得る必要がありました。 このグループは、次世代資格情報の次の実用的な定義を採用しました。 これは、W3C の検証可能な資格情報とほぼ一致しています。

次世代資格情報は、エンティティ (自然人、システム、組織など) に関する情報を伝達する機械検証可能な方法であり、そのエンティティによって自己主張されるか、発行者から検証者にそのエンティティについて証明されます。 所有者によって管理されるウォレットの意味。 それは、安全でプライバシーを強化し、相互運用可能であり、ユーザーが管理下にある情報の公開について有意義な決定を下せるように通知し、権限を与えるユーザー エクスペリエンスを提供し、取り消し可能である必要があります。

それほど正式には述べられていませんが、出生証明書、運転免許証、学歴などのサブジェクトに関する属性の束であり、必要に応じて所有者が提示できます。 次世代の認証情報エコシステムにおける決定的な違いは、サービス プロバイダーが認証情報を発行者からではなくユーザーから直接受け取るようになったことです。 採用された実用的な定義は、認証に次世代の資格情報を使用することを妨げるものではありませんが、グループのコンセンサスは、これらのユースケースはグループにとって検討すべき最も興味深いものではなく、適切ではないということでした。

この辺りはVCの特徴の説明です。まぁ特に目新しいところはありません。

これらの特徴を踏まえてこのワーキンググループで何をするか？を考えていきます。

 

このグループは、次世代の資格情報がその可能性を最大限に発揮するには、次世代の資格情報エコシステムの目標、設計、運用が透明でなければならないことを認識しました。

相互運用性、信頼モデル、取り消し可能性、ユーザー エクスペリエンスの 4 つの主要な特性を考慮します。

まず、次世代の認証情報は相互運用可能である必要があります。 業界は相互運用不可能なエコシステムを構築する傾向があります。 CACTI は、この分野での標準化を目指す既存の取り組みに参加するとともに、不足している標準化をさらに推進することを検討する必要があります。 OpenID Federation、OpenID4VCI、OpenID4VP などの新しい標準によってサポートされるモデルの展開とテストの分野では、多くの作業が必要です。 InCommon コミュニティは、既存の認証技術の導入の複雑さとコストを考慮して、これらの新しいシステムの価値を実証する価値の高いユースケースを選択し、認証システム、ウォレット、検証者、発行者、および信頼ファブリックのデモンストレーションまたはパイロットを検討する必要があります。 多くのデプロイ担当者にとって。 コミュニティは、強調されているもののまだ満たされていないニーズをサポートする既存のプロトコルの必要な拡張や修正を積極的に追求する準備を整える必要があります。 この作業は、国際的および分野を超えた協力と展開の互換性に重点を置いて進められなければなりません。

やっぱり多くのIdentity Providerをトラストフレームワークの中で運用してきた経験からもTrust Chainの構築にOpenID Federationを使うことを検討していくことになるんでしょうね。

相互運用性とエコシステムについても語られています。

商用製品との相互運用性は最も重要ですが、Google、Apple などの大手企業は、プライバシーを保護したり、容易な移植性や他のエコシステムとの相互運用性を実現したりすることを積極的に阻害しています。 Apple または Google ウォレット (それぞれ Apple Pay、Google ウォレット) の「壁に囲まれた庭園」に閉じ込められたことのある人なら、あるモバイル エコシステムから別のモバイル エコシステムに移行しようとするときに、これがどれほどイライラすることになるかを知っているでしょう。 したがって、InCommon コミュニティは、電子市民権、奨学金、その他の要件に向けた欧州委員会の資金提供による大規模ウォレットのパイロットなど、オープンウォレットの標準化における積極的な世界的な取り組みと協力することが重要です。 この作品の一例は「wwwallet」です。

なるほど、John Bradleyが入っていた理由の一つが「wwwallet」だったわけですね。

テクノロジーの相互運用性に加えてトラスト・モデルについても語られます。この辺りは長くトラストフレームワークを運用してきたInCommonならです。さすがです。

第 2 に、次世代のクレデンシャルでは、新しい信頼モデルの採用が必要になる可能性が高く、確実に新しい信頼インフラストラクチャが必要になります。 現在の信頼モデルでは、エンドユーザーは ID プロバイダーによる機密情報の開示に同意できる場合とできない場合があります。 現在のモデルでは、REFEDS Research and Scholarship (R&S) カテゴリなどの SAML エンティティ カテゴリを使用して、これをある程度安全にしようとしています。 これらのカテゴリはモノリシックで脆弱であり、認証/認可 (ログイン) トランザクションのコンテキストでユーザーに簡単に開示することはできません。 この古典的なモデルでは、ID プロバイダーがデータを管理しているため、機密データを含む証明書利用者に送信される内容を制御できます。 次世代のケースでは、保有者が情報の公開をコントロールします。 エコシステムがプライバシーを要件として構築されている場合、特に低遅延アキュムレータ スキームのようなシステムを介した失効チェックなどのアクションを集約する手段を通じて、発行者はユーザー/所有者による検証者への情報の公開を把握できなくなりますし、検証者による失効チェックについても把握できなくなります。

大規模な SAML ベースのシングル サインオン フェデレーションの現在の展開モデルは、非常に脆弱でモノリシックです。 XML に基づく脆弱な集計と非機敏な暗号化プロセスは、展開されている既存のエコシステムの長期的な存続可能性を損なう恐れがあります。 次世代モデルは、SAML と OAuth に関する数十年の経験から学んだ教訓に基づいて、標準を介して俊敏性と相互運用性を強化することで、この問題を軽減します。 これまで存在しなかったコンポーネントは、プライバシー、相互運用性 (標準/暗号化プリミティブ)、およびエンドユーザー エクスペリエンスのサポートと強制という点でおそらく最も重要な役割を果たしているため、このコンポーネントであるウォレットがその中核であり、おそらく最も重要な部分となります。 そしてそれはパイロット、標準化、教訓、および以前の作業の改良を通じて行われる作業などを通して実現されます。

SAMLでは事前のメタデータ交換に基づく（テクニカルな意味での）相互信頼に基づくため、確かにモノリシックであり、大規模環境下で運営するために大きな労力が必要となりますし、どうしてもIdPが強大な力を持つため、利用者による情報コントロールの面で難点があります。ここをウォレットを中心としたモデルで解決することが期待されます。

第３に、次世代のクレデンシャルは取り消し可能である必要があります。 資格情報には、発行時に有効期間が定義されている場合もあれば、発行者と所有者の両方が合意した将来の条件によって期限切れになる場合もあります。 取り消しは、イベントによって資格情報の再発行が必要になる場合や、個々のデータ要素が無効化され再発行する必要がある場合にも必要です。 クレデンシャル全体またはクレデンシャル内のデータ要素のアクティブでほぼリアルタイムの失効と再発行は、発行者、検証者、そして最も重要なことにウォレットによってサポートされている必要があります。 ユーザーの地理的隔離によるオフラインのウォレットおよび/または検証器の問題 (たとえば、インターネット アクセスが利用できない遠隔地のフィールド ステーションで消耗品を購入するためにウォレット内の資格情報を使用する) は、エッジ ケースであることが証明される可能性があります。 挑戦的。 解決策を追求するためにコミュニティの時間やその他のリソースへの投資を最適化する方法を決定する際には、パレートの法則を考慮する必要があります。

信頼モデルと資格情報の取り消しの両方に関するグループの議論により、信頼レジストリの必要性が確認されました。 これらのレジストリは、ある意味、InCommon Federation が現在運用している信頼フレームワークに似ていることに注意してください。 この既存の信頼フレームワークは、潜在的な将来の信頼モデルへの入力としてすでに学んだ教訓を活用する機会を提供する可能性があります。 とはいえ、これらのテクノロジーをサポートする新しい信頼レジストリ エコシステムのサポートはグリーンフィールドになる可能性が非常に高いため、慎重に計画して実装する必要があります。 エコシステム実現のこの側面は、真に相互運用可能で安全でユーザーフレンドリーなウォレットの作成と同じくらい困難なものになるでしょう。

なるほど、やはり既存のトラストフレームワークの考え方を踏襲しつつ、トラストリストや執行リストをレジストリに保管していくことになるわけですね。

しかし、このモデルは既存のSAMLメタデータをトラストフレームワークで管理していたモデルと何が違うのか？については注意深く見ていく必要があります。SAMLでいいじゃないか？という話になりがちなわけです。その点については後半に述べられているようにオフラインのユースケースを考慮する、というところで違いを出しているわけですね。

最後に、次世代のクレデンシャルでは、発行者と検証者の両方を検証し信頼する責任がユーザーに課されます。 ユーザーエクスペリエンスは、ユーザーが何を、誰に、どのような目的で、どのような範囲と制約で開示するよう求められているかを簡単に理解し、ユーザーの誠実で情報に基づいた決定に柔軟に対応して、ユーザーの好みや決定に対応できるものでなければなりません。 。 取引を完了するために必要な最小限の開示は、ユーザーに明確に伝えなければなりませんが、ユーザーが選択した場合には追加の属性のリリースも許可する必要があります。 このタイプのユーザー エクスペリエンスのサポートは、エコシステム内のすべての関係者 (発行者、検証者、ウォレット、および信頼レジストリ) に義務付けられていますが、おそらく最も中心に位置し、ウォレット自体内でユーザーに直接表示されます。

ここも信頼モデルがどう変わるのか、問題です。これまでも本ブログや各所で話をしてきたことですが、ユーザがIssuer/Verifierの正当性を検証しなければならないモデルになってしまうので、どうしても使う人を選んでしまいそうな点は懸念です。

次回はパイロット、ユースケース選定あたりを見ていきましょう。