SecurityInsight | セキュリティインサイト

産総研、従来方式より安全で高機能な二種類のパスワード認証方式が国際標準化

産業技術総合研究所(産総研)は11月9日、同所がISO/IEC JTC 1/SC 27に提案していた、パスワードのみを用いてユーザーとサーバーが安全に相互認証することでフィッシングなどの攻撃検知が可能となる「AISTパスワード認証方式」が標準技術の一つとして掲載された、国際標準規格ISO/IEC 11770-4:2017が発行されたと発表した。

また、安全性は確保しつつ、ユーザーを特定せずに特定の権限や属性を有していることを認証する「AIST匿名パスワード認証方式」を同じくISO/IEC JTC 1/SC 27に提案し、同様に、この方式が標準技術の一つとして掲載された国際標準規格ISO/IEC 20009-4:2017が発行されたという。

AISTパスワード認証方式(AKAM3)は、パスワードのような短い秘密情報のみでユーザーとサーバーの相互認証を安全に実現するため、現在ウェブにおけるサーバーの認証に広く利用されているSSL/TLS通信のような公開鍵証明書を使った認証方式と異なり、公開鍵証明書の検証処理が不要になり、また同じレベルの安全性を保証するISO/IEC 11770-4(第一版)に掲載の既存の認証方式に比べて少ない計算量で相互認証を実現できる。今回AKAM3が国際標準規格として発行されたことにより、今後、計算能力が低い機器を含む端末などにおけるさまざまなアプリケーションへの本方式の導入が期待されるという。

AIST匿名パスワード認証方式(SKI mechanism)は、パスワード認証時に、ユーザーが誰であるかを特定せずにユーザーがある集団に属しているか否かをサーバーが確認できる匿名認証であるため、容易に匿名サービスを提供・利用することが可能となる。今回、AIST匿名パスワード認証方式が国際標準規格として発行されたことにより、今後、ユーザーのプライバシーを確保しつつ安全な相互認証を必要とするさまざまなインターネットサービスへの導入が期待されるとしている。
 

関連リンク

プレスリリース