none
GetAttestationAsync 利用時の認証について RRS feed

  • 質問

  • Windows 10 Mobile でのアプリ開発時、GetAttestationAsyncを利用して取得した値には、どのような情報が含まれており、この情報をサーバに送信し、
     認証時に比較することで、セキュリティがどのように強化されるのか教えて頂けないでしょうか?


    例:AttestationBufferの情報は、Authenticatorのモデル毎の固有のIDに紐付いており、サーバ側でこれを比較することにより、異なるモデルのAuthenticatorを使ってのなりすまし攻撃を阻止することができるなど。

    セキュリティ面についてグレー部分があるとリリース出来ないかもしれないので、確認させて頂けると助かります。

    よろしくお願い致します。

    2016年3月8日 12:55

回答

  • 英語ですが、探されている内容に近いものではないかと思われる記載がありました。

    http://stackoverflow.com/questions/35858090/about-getattestationasync-value-with-windows10-mobile

    http://mtaulty.com/2016/01/04/windows-hello-microsoft-passport-and-the-keycredentialmanager-api

    これらからとAPIの説明からすると、モデル(デバイス?)毎の固有IDが含まれていて、サーバ側との相互確認によりなりすまし等のスプーフィング攻撃に対処することができるということではないかと思います。

    実際の部分は実装テストで確認してみてはどうでしょう?

    • 回答の候補に設定 星 睦美 2016年3月28日 4:26
    • 回答としてマーク 星 睦美 2016年4月19日 2:36
    2016年3月24日 11:27