論文の概要: QES-Backed Virtual FIDO2 Authenticators: Architectural Options for Secure, Synchronizable WebAuthn Credentials
- arxiv url: http://arxiv.org/abs/2601.06554v1
- Date: Sat, 10 Jan 2026 12:47:44 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-01-13 19:08:00.874188
- Title: QES-Backed Virtual FIDO2 Authenticators: Architectural Options for Secure, Synchronizable WebAuthn Credentials
- Title(参考訳): QESが支援する仮想FIDO2認証:セキュアで同期可能なWebAuthnクレデンシャルのためのアーキテクチャオプション
- Authors: Kemal Bicakci, Fatih Mehmet Varli, Muhammet Emir Korkmaz, Yusuf Uzunay,
- Abstract要約: FIDO2とWebAuthn標準はフィッシングに耐性があり、公開鍵ベースの認証を提供する。
最近のパスキーデプロイメントでは、プラットフォーム固有のクラウドエコシステムを通じて同期されたマルチデバイス認証を有効にすることで、この制限に対処している。
本稿では、QESグレードのPKCSキーを持つ仮想FIDO2認証器をセキュアにすることで、これらの技術をブリッジするためのアーキテクチャオプションについて検討する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: FIDO2 and the WebAuthn standard offer phishing-resistant, public-key based authentication but traditionally rely on device-bound cryptographic keys that are not naturally portable across user devices. Recent passkey deployments address this limitation by enabling multi-device credentials synchronized via platform-specific cloud ecosystems. However, these approaches require users and organizations to trust the corresponding cloud or phone providers with the protection and availability of their authentication material. In parallel, qualified electronic signature (QES) tokens and smart-card--based PKCS#11 modules provide high-assurance, hardware-rooted identity, yet they are not directly compatible with WebAuthn flows. This paper explores architectural options for bridging these technologies by securing a virtual FIDO2 authenticator with a QES-grade PKCS#11 key and enabling encrypted cloud synchronization of FIDO2 private keys. We first present and implement a baseline architecture in which the cloud stores only ciphertext and the decryption capability remains anchored exclusively in the user's hardware token. We then propose a hardened variant that introduces an Oblivious Pseudorandom Function (OPRF)-based mechanism bound to a local user-verification factor, thereby mitigating cross-protocol misuse and ensuring that synchronization keys cannot be repurposed outside the intended FIDO2 semantics; this enhanced design is analyzed but not implemented. Both architectures preserve a pure WebAuthn/FIDO2 interface to relying parties while offering different trust and deployment trade-offs. We provide the system model, threat analysis, implementation of the baseline architecture, and experimental evaluation, followed by a discussion of the hardened variant's security implications for high-assurance authentication deployments.
- Abstract(参考訳): FIDO2とWebAuthn標準は、フィッシングに耐性があり、公開鍵ベースの認証を提供するが、伝統的にユーザーデバイス間で自然に移植できないデバイスバウンド暗号鍵に依存している。
最近のパスキーデプロイメントでは、プラットフォーム固有のクラウドエコシステムを通じて同期されたマルチデバイス認証を有効にすることで、この制限に対処している。
しかしながら、これらのアプローチでは、ユーザや組織は、認証資料の保護と可用性を、対応するクラウドまたは電話プロバイダーを信頼する必要がある。
並行して、有資格電子署名(QES)トークンとスマートカードベースのPKCS#11モジュールは、高い保証とハードウェアルートのIDを提供するが、WebAuthnフローと直接互換性はない。
本稿では、QESグレードのPKCS#11キーで仮想FIDO2認証器を確保し、FIDO2プライベートキーの暗号化クラウド同期を可能にすることにより、これらの技術をブリッジするためのアーキテクチャオプションについて検討する。
まず,クラウドは暗号文のみを格納し,復号化能力はユーザのハードウェアトークンにのみ固定される,ベースラインアーキテクチャを提示し実装する。
そこで我々は,Oblivious Pseudorandom Function (OPRF) ベースのメカニズムをローカルなユーザ検証係数に結合し,プロトコール間の誤用を軽減し,同期キーを意図したFIDO2セマンティクスの外部で再利用できないことを保証し,この拡張設計は解析されるが実装されていない。
両方のアーキテクチャは、異なる信頼とデプロイメントのトレードオフを提供しながら、当事者に依存する純粋なWebAuthn/FIDO2インターフェースを保持します。
本稿では,システムモデル,脅威分析,ベースラインアーキテクチャの実装,実験評価を行い,高信頼度認証システムへのセキュリティの影響について論じる。
関連論文リスト
- Binding Agent ID: Unleashing the Power of AI Agents with accountability and credibility [46.323590135279126]
BAID(Binding Agent ID)は、検証可能なユーザコードバインディングを確立するための総合的なアイデンティティ基盤である。
ブロックチェーンベースのID管理とzkVMベースの認証プロトコルの実現可能性を実証し、完全なプロトタイプシステムの実装と評価を行った。
論文 参考訳(メタデータ) (2025-12-19T13:01:54Z) - Zero Trust Security Model Implementation in Microservices Architectures Using Identity Federation [0.0]
記事自体は、マイクロサービスエコシステムのゼロトラストセキュリティモデルの必要性に関するケースである。
ソリューションフレームワークは,業界標準の認証と認証とエンドツーエンドの信頼識別技術に基づくことが提案されている。
研究結果は、フェデレートされたアイデンティティとZero Trustの基本が組み合わさって、認証と認可に関するルールが保証されるだけでなく、マイクロサービスデプロイメントの最新のDevSecOps標準に完全に準拠する、というオーバーレイの結果だ。
論文 参考訳(メタデータ) (2025-11-07T02:03:05Z) - The Qey: Implementation and performance study of post quantum cryptography in FIDO2 [0.18416014644193066]
FIDO2はパスワードレス認証の業界標準である。
現在のFIDO2標準では、SHA-256 (ES256)、RS256 (SHA-256) と類似の暗号署名アルゴリズムを用いている。
本稿では,FIDO2の量子暗号署名標準としてCrystals Dilithiumをベースとしたモジュール格子型デジタル署名アルゴリズム(ML-DSA)の有用性について検討する。
論文 参考訳(メタデータ) (2025-10-24T11:30:15Z) - Building a robust OAuth token based API Security: A High level Overview [0.0]
本稿では,このようなトークンベースのAPIセキュリティシステムを構築するために必要な基礎について述べる。
その意図は、セキュアでスケーラブルなトークンベースのAPIセキュリティシステムを構築するために必要な基礎知識を開発者に提供することである。
論文 参考訳(メタデータ) (2025-07-22T06:14:14Z) - EAP-FIDO: A Novel EAP Method for Using FIDO2 Credentials for Network Authentication [43.91777308855348]
EAP-FIDOは、WPA2/3エンタープライズ無線ネットワークやMACSec対応の有線ネットワークを使ってFIDO2のパスワードレス認証を利用することができる。
このアプローチの実現性をサポートするための総合的なセキュリティおよびパフォーマンス分析を提供する。
論文 参考訳(メタデータ) (2024-12-04T12:35:30Z) - Advocate -- Trustworthy Evidence in Cloud Systems [39.58317527488534]
動的に相互接続するサービスによって特徴付けられるクラウドネイティブアプリケーションの急速な進化は、信頼性と監査可能なシステムを維持する上で重要な課題を提示します。
従来の検証と認証の方法は、クラウドコンピューティングで一般的な高速でダイナミックな開発プラクティスのため、しばしば不十分である。
本稿では、クラウドネイティブなアプリケーション操作の検証可能な証拠を生成するために設計された、エージェントベースの新しいシステムであるAdvocateを紹介する。
論文 参考訳(メタデータ) (2024-10-17T12:09:26Z) - A Novel Protocol Using Captive Portals for FIDO2 Network Authentication [45.84205238554709]
FIDO2CAP: FIDO2 Captive-portal Authentication Protocolを紹介する。
本研究では,FIDO2CAP認証のプロトタイプをモックシナリオで開発する。
この研究は、FIDO2認証に依存する新しい認証パラダイムにネットワーク認証を適用するための最初の体系的なアプローチである。
論文 参考訳(メタデータ) (2024-02-20T09:55:20Z) - A Universal System for OpenID Connect Sign-ins with Verifiable
Credentials and Cross-Device Flow [4.006745047019997]
自己主権アイデンティティ(Self-Sovereign Identity、SSI)は、新しくて有望なアイデンティティ管理パラダイムである。
我々は、OpenID ConnectやOAuth 2.0プロトコルをサポートするサービスに対して、SSIベースのサインインを可能にする比較的単純なシステムを提案する。
論文 参考訳(メタデータ) (2024-01-16T16:44:30Z) - On Cryptographic Mechanisms for the Selective Disclosure of Verifiable Credentials [39.4080639822574]
認証資格は、物理的資格のデジタルアナログである。
検証者に提示して属性を明らかにしたり、クレデンシャルに含まれる属性を述語することも可能だ。
プレゼンテーション中にプライバシを保存する1つの方法は、クレデンシャル内の属性を選択的に開示することである。
論文 参考訳(メタデータ) (2024-01-16T08:22:28Z) - Blockchain-based Zero Trust on the Edge [5.323279718522213]
本稿では,ブロックチェーンに拡張されたゼロトラストアーキテクチャ(ZTA)に基づく新たなアプローチを提案し,セキュリティをさらに強化する。
ブロックチェーンコンポーネントは、ユーザの要求を格納するための不変データベースとして機能し、潜在的に悪意のあるユーザアクティビティを分析して識別することで、信頼性を検証するために使用される。
スマートシティにおけるその実現可能性と適用性を検証するために,テストベッド上で実施したフレームワーク,アプローチのプロセス,実験について論じる。
論文 参考訳(メタデータ) (2023-11-28T12:43:21Z) - Combining Decentralized IDentifiers with Proof of Membership to Enable Trust in IoT Networks [44.99833362998488]
本稿は、同じ管理ドメイン下でのIoTノードの代替(相互)認証プロセスを提案し、議論する。
第一の考え方は、分散ID(Decentralized IDentifier, DID)に基づく秘密鍵所有権の検証と、DIDが進化した信頼された集合に属するという証明の検証を組み合わせることである。
論文 参考訳(メタデータ) (2023-10-12T09:33:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。