[fixed?] トークン認証

登録日: 2006年9月 25日 記事: 693

/security/manager/chrome/pippki/pippki.dtd

Code:

<!ENTITY protectedAuth.msg "トークン認証を行ってください。認証方法は使用するトークンの種類によって異なります。">

原文: Please authenticate to the token. Authentication method depends on the type of your token.

「トークン認証を行う」のであれば "authenticate to the token" とは言わないような気がする…

よく知らないので想像ですが、「トークン認証」を行うのではなく、トークン自体に対しての認証を行う(そうすると、そのトークンがトークン認証に使えるようになる)、
例えばセキュリティトークン - Wikipedia

Quote:

カードサイズのトークンには、暗証番号を入力するための小さいキーパッド(中略)を備えるものもある。

の「キーパッド」で暗証番号を入力すると、トークン認証ができるようになると思うのですがどうでしょうか。

詳しい人の意見募集^^;

登録日: 2003年10月 05日 記事: 1744

どういう振る舞いをする機能なのか調べる余裕がなかったため、取り敢えず動作や挙動未確認のまま日本語にするだけしてみた感じです。

ドキュメント(or 実装した bug)探すかコード読むかするつもりですが、これはこういう機能でこんな振る舞いをするってのを知っている、またはその説明のある場所を知っている人がいたら教えてください。m(_ _)m

登録日: 2006年9月 25日 記事: 693

dynamis wrote:

ドキュメント(or 実装した bug)探すかコード読むかするつもりですが、これはこういう機能でこんな振る舞いをするってのを知っている、またはその説明のある場所を知っている人がいたら教えてください。m(_ _)m

まず、実装した bug は Bug 110062 -- PKCS#11 CKF_PROTECTED_AUTHENTICATION_PATH token flag not supported で、じゃあ PKCS#11 CKF_PROTECTED_AUTHENTICATION_PATH とはなんなのかというと
PKCS #11 v2.20

Quote:

True if token has a “protected authentication path”, whereby a user can log into the token without passing a PIN through the Cryptoki library

Quote:

If the token has a “protected authentication path”, as indicated by the
CKF_PROTECTED_AUTHENTICATION_PATH flag in its CK_TOKEN_INFO
being set, then that means that there is some way for a user to be authenticated to the
token without having the application send a PIN through the Cryptoki library. One such
possibility is that the user enters a PIN on a PINpad on the token itself, or on the slot
device. To initialize a token with such a protected authentication path, the pPin
parameter to C_InitToken should be NULL_PTR. During the execution of
C_InitToken, the SO’s PIN will be entered through the protected authentication path.

ということで、トークンについているパッド等から暗証番号を入力(アプリケーション経由ではなく)してログインするようなトークンのようです。
ここでは、"log into the token" と書かれていますので、「トークンを使った認証をする(=トークン認証を行う)」ではなく「トークンにログイン」するようです。

コードは読んでませんが、パッチ作者のコメントによると

Quote:

- NSS triggers a callback, and we display a message on screen, that the user
should do the login.
- NSS internally blocks on some code in the PKCS#11 library, and waits for the
login even to complete.
- As soon as the login completes, or an error is triggered, we must quit that
information box.

ということなので、トークンのパッド等から暗証番号等を入力(なのかどうかはトークンによって異なるが)してトークンにログインするようユーザーに促して、入力が完了すれば閉じるような UI なのではないでしょうか。

登録日: 2003年10月 09日 記事: 69 所在地: 東京

私も専門家ではないので、調べた範囲の事だけ。

RSAセキュリティ RSA SecurID ハードウェアトークンにある RSA SecurID 520 が
「トークンについているパッド等から暗証番号を入力」する製品だと思います。
右サイドバーの Flash オンラインチュートリアルも参照した限りでは、PIN コードを入力するようですが。

ただ、Bug 110062 が立てられた理由は；

Quote:

Current implementation is really annoying for use with PKCS #11 libraries written for biometric devices or PIN-less cards.

生体認証や PIN-less カードを使っているのにいちいち PIN を聞かれてウザい、というものですから
RSA SecurID 520 の動作を元に解釈するべきではないでしょう。

銀行 ATM の生体認証システムに指をかざすのは「トークン認証」って言うのかな？？

登録日: 2006年9月 25日 記事: 693

「トークン」の製品がどういうものかという方向から行くといろんなものがありすぎて、どのようなものが Mozilla 製品で扱うものなのかが見えてこないので、Mozilla 製品でどう扱うかという方向から見ていくと、
http://www.mozilla.org/projects/security/pki/psm/help_21/using_certs_help.html#using_certs_devices
等を見る限り、「トークン」は "security device" とも呼ばれ、ツール → オプション → 詳細 → 暗号化 → セキュリティデバイスで出てくる(Firefox の場合) [デバイスマネージャ] で扱うもののようです。(ここに "PKCS #11" の文字も見えます。)

ここで扱っているものの中で "Software Security Device" はすぐに試したりできるのでこれを例に出すと、この中には鍵が入っていて、プロファイルに記録されているパスワード等はその鍵を使って暗号化されています。
この "Software Security Device" に対してパスワードを設定しておくと、パスワードを入力しないことにはその鍵が使えません。
つまり、プロファイルに保存されたパスワードを使用するには、"Software Security Device" のパスワードを入力して、これに対して「ログイン」しないとその鍵は使えません。
…と、ここまで説明しましたが、これは実は「マスターパスワード」です。

このように、通常のセキュリティデバイスでは Firefox 等の UI に対してパスワードを入力するとそれがセキュリティデバイスに伝えられて、その中にある鍵などが使えるようになるわけですが、
ここからは想像。
CKF_PROTECTED_AUTHENTICATION_PATH の場合は、そのトークンの中にある鍵等を使えるようにする手段が、Firefox 等の UI ではなくて、トークンについているパッドから入力するとか、生体認証だったりするのではないでしょうか？

登録日: 2003年10月 09日 記事: 69 所在地: 東京

あ wrote:

ここからは想像。
CKF_PROTECTED_AUTHENTICATION_PATH の場合は、そのトークンの中にある鍵等を使えるようにする手段が、Firefox 等の UI ではなくて、トークンについているパッドから入力するとか、生体認証だったりするのではないでしょうか？

「群盲象をなでる」になりつつあるような気が。
実際にこのウィンドウが出るようなトークンを使ってみないと判断のつかない部分がありそうです。

私なら、パッド入力でも生体認証でも違和感がないと思われる文言にしておきます。

"トークンで認証を行ってください。認証方法は使用するトークンの種類によって異なります。"

# 曖昧でも文章が成立するのが日本語の良いところ (^^;

登録日: 2006年9月 25日 記事: 693

池田 wrote:

私なら、パッド入力でも生体認証でも違和感がないと思われる文言にしておきます。

"トークンで認証を行ってください。認証方法は使用するトークンの種類によって異なります。"

# 曖昧でも文章が成立するのが日本語の良いところ (^^;

パッド入力や生体認証の場合は、トークンと、認証するための操作を行うところは一体になっているわけですが、仕様的にはそのような制限はかかっていませんので(実際にそんな製品が実在するのかは不明ですが、仕様上は)トークンと認証するための操作を行うところが別になっているものも考えられます。
# 例えば、トークンはハードウェアで、操作するのは PC 上とか。
# Firefox の UI にパスワードを入力するというのは仕様上ありえないですが、それ以外ならあり得ます。

そのようなものでも違和感のないようにすると、「で」を「の」に変えて、

"トークンの認証を行ってください。認証方法は使用するトークンの種類によって異なります。"

でしょうか。
# さらに曖昧になっていく^^;

ゲスト

私も実物を触ったことはないですが、私の認識もみなさんと同じです。

Quote:

"トークンの認証を行ってください。認証方法は使用するトークンの種類によって異なります。"

主観的になりますが、「～の認証」という場合、「ユーザの認証」のように認証される側(?)が入る場合もあり曖昧（文脈を考えれば明らかなのですが）なので「トークンに対して認証を～」とする方法もあると思います。

登録日: 2003年10月 05日 記事: 1744

えー、一番曖昧な

トークンの認証を行ってください。認証方法は使用するトークンの種類によって異なります。

でいきましょう。取り敢えず状況から言いたいことは伝わるでしょう。(^^;

ゲスト

実物を触る機会があり、「認証方法」の部分が「認証手順」のほうが合ってるかな？というくらいで文章に不都合はありませんでした。

ところで、「トークン」と「セキュリティデバイス」が混在しているのが気になっています。多分指しているものは同じです。例えばここ：

Quote:

Choose Token Dialog
Please choose a token.
セキュリティデバイスの選択
セキュリティデバイスを選択してください。

登録日: 2009年2月 26日 記事: 2

ここで言われているトークンっていうのはRSAセキュリティのもの（ジャパンネット銀行などで利用している）トークンなども含まれるんでしょうか。
それともスマートカードのような直接的なデバイスだけでしょうか。

ゲスト

kiyo4_k wrote:

ここで言われているトークンっていうのはRSAセキュリティのもの（ジャパンネット銀行などで利用している）トークンなども含まれるんでしょうか。

これ？
ワンタイムパスワードを生成するだけのトークンは含まれません。
直接もしくはスロット経由・非接触でパソコンと接続され、公開鍵暗号を使ってうんぬんかんぬんするものだけです。

登録日: 2009年2月 26日 記事: 2

tes wrote:

ワンタイムパスワードを生成するだけのトークンは含まれません。
直接もしくはスロット経由・非接触でパソコンと接続され、公開鍵暗号を使ってうんぬんかんぬんするものだけです。

なるほど。同じ”トークン”という名称で紛らわしいですね。