こんにちは、富士榮です。
いよいよIdentiverseも最終日です。
ようやく先週のFIDOプレナリー@大阪から始まったデジタルID世界ツアーも中盤を過ぎました。来週はベルリンでEuropean Identity & Cloud Conferenceです。私もこの後ベルリンへ移動する予定です。
ということではじめていきます。
Securing the Foundations of Verifiable Credential Ecosystems - Joseph Heenan
最初はJosephからです。ネタ的にはDanielなのですが今回は来れなかったということで来週のEICではDanielからも話が聞けるんじゃないかとは思います。
Verifiable CredentialsのエコシステムはIssuer/Holder/Verifierの3パーティモデルで構成され、要素としてはIssuance/Presentation Protocol、Credential Format、Trust Frameworkに分類されます。
セキュリティの観点ではそれらの要素を踏まえると、
- クレデンシャルの真正性
- キーバインディング
- セッションバインディング
- データの最小化
- アンリンカビリティ
- 二つのPresentationが紐づけられてしまわないようにすること
- 拒否・否認
- WalletがOAuthクライアント
- Issuerが認可サーバ
- VerifierがOAuthクライアント(リラインパーティ)
- Walletが認可サーバ
- vp_token
- response_mode=direct_post
- client_id_scheme
- Replay Attack
- sessionにバインドされたnonceを使う
- RPへ提供する際は署名されたnonceをクレデンシャルと一緒に渡す
- Phishing Attack
- direct_postを使うことで偽フロント画面へ誘導されてもクレデンシャルは正しいバックエンドへ直接POSTされるので一定の対策になり得る
- W3Cと検討を進めているBrowser APIを使うとWebAuthnと同じでOriginのチェックを行うことになるため非常に有効
なお、こちらも結局はプラットフォームサポートが重要な世界になってくるのでBrowser APIに期待するところです。途中コメントとしてmDLのセキュリティはOS側のサポートが前提となっているので、VC/VPについてもブラウザプラットフォームが対応することで同じようにセキュアになっていく、という話もありました。
Final Footprints: Shaping Digital Legacies - Dean Saxe
先日のIIWの前日に開催されたOpenID Foundation Workshopで同じくDeanが語った件と同じです。死後のデジタルIDを含むアセットに関する話です。
テーマは「Digital dead-man switch」です。
パスワードからパスキーにトランジションが進むにつれ人間がオンラインのクレデンシャルマネージャとしての役割を果たすようになったわけで、ますます問題は複雑化していますね。
Vittorioが亡くなる前にこの件に取り組みたいね、という議論をしていた最中にVittorioがなくなってしまったこともあり、DeanはPamやHeatherをはじめ様々な人たちの意見をもらいながらこの活動を本格的に開始している、という状態です。
今回はゲストとしてMike Kiser、Eve Maler、Kaliya Youngをステージに呼びディスカッションも行われました。
Authorizationの文脈でも長く活動してきたEveからは相続はヘルスケアから学ぶことが多いと言うコメントがありました。確かにUMAも一つの第3者への移譲のプロファイルですしね。
なお、エンジニアが死後のアセットに関して目を向けるためにはBCPをアナロジーとして考えるとリアリティが出るのかもしれない、という話もあります。
OAuthトークンが死んだらアクティベートされて後継者がアセットにアクセスできるようになる、という世界観もあり得るかもしれない、なんて言うコメントもありました。
最後に、この議論を進めるにあたり、ここにレポジトリを作ったので、Issueなどを挙げてもらえれば、とコメントがありました。関心がある方はぜひとも。
https://github.com/dhs-aws/death-and-the-digital-estate
The Future of Authorization - Sarah Cecchetti, Pieter Kasselman Kasselman, George Roberts
Sarahさん、AWSのCedarのPMの方なんですね。
アクセス制御用のオープンソース言語 Cedar の紹介
https://aws.amazon.com/jp/about-aws/whats-new/2023/05/cedar-open-source-language-access-control/
Okta(Auth0)のOpenFGAを含め最近は認可フレームワーク(OAuthとは違った意味の認可)が流行ってきていますね。
次にゲストのマクドナルドのGeorgeさんからはマクドナルドにおける認可に関するチャレンジについて紹介がありました。
私の唯一の望みは簡単にIGAシステムに組み込めで認可が実現できる標準、とのこと。わかります。沼です。
同じくゲストスピーチでは、AIの文脈では人間意外のエンティティに関する認可を考えると、人間に対して以上に制限を行う必要があるとのこと。ここからはMicrosoftのPieterさんが話してくれました。
成長が加速、マルチクラウド、ヘテロジーニアスなソリューション、セキュリティ、エキスパート、などが存在する中で認可に関するスタンダードが必要となっている、という話です。
なお、新たな取り組みとして、CLOUD NATIVE Computing FoundationとIETFとOpenID Foundationでエコシステムを構成しているそうです。
それぞれの役割は以下の通りです。
- CLOUD NATIVE Computing Foundation
- spiffe
- IETF
- OAuth
- TX Tokens
- ID Chaining
- Attestation
- WIMSE
- OpenID Foundation
- AuthZEN
最後に出てきたOpenID FoundationのAuthZEN WGでも協力者を募集しているので、参加してペーパーを書いたりコードを書いたり、それができなくても議論に参加してくれれば、なんて話もありました。
なお、先にもOpenFGAの話は書きましたが、他にも関連するOSSプロジェクトがたくさんあります。
ALFAはXACMLがわかる人にはとっつきやすいよ、と言われてもw
セッションはこれで終わりです。コンテンツ企画メンバのみなさん、お疲れ様でした!
次回もラスベガス開催です。
2025年6月3日〜6日、場所はMandalay Bay Resort and Casinoです。
投稿
0 件のコメント:
コメントを投稿