2024-03-29T08:42:28Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:001784852023-04-27T10:00:04Z01164:06389:09100:09101
第三者を用いた認証情報発行時の不正発行を防止するシステムアーキテクチャA system architecture that prevents fraud issue using third parties to issue authentication informationjpn認証,暗号http://id.nii.ac.jp/1001/00178397/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=178485&item_no=1&attribute_id=1&file_no=1Copyright (c) 2017 by the Institute of Electronics, Information and Communication Engineers This SIG report is only available to those in membership of the SIG.NTTセキュアプラットフオーム研究所NTTセキュアプラットフオーム研究所NTTセキュアプラットフオーム研究所NTTセキュアプラットフオーム研究所松井, 政裕永井, 彰小林, 鉄太郎奥山, 浩伸近年,web サービスからユーザの認証情報 (パスワード等) が漏洩する事件が発生している.そこで,筆者らはサービサがユーザの認証情報を保有せずにユーザを認証できる MILAGRO-MFA という認証システを提案している.しかし,現行の MILAGRO-MFA におけるユーザ秘密鍵の発行方法では,サービサが所有する鍵でユーザ秘密鍵の発行依頼を行う必要がある.そのため,攻撃者がサーピサから鍵を取得できれば,攻撃者はユーザ秘密鍵を自由に発行できてしまう.本稿では,ユーザ秘密鍵を発行する際に,サービサとは独立してユーザ秘密鍵の発行依頼を行う 「発行依頼局」 を新たにフローに導入する.そして,サービサと発行依頼局が発行を依頼した場合にユーザ秘密鍵が発行される新しいシステムアーキテクチャを提案し,その安全性について考察する.Nowadays, leakages of authentication information such as password from web service are happened frequently. MILAGRO-MFA is user authentication that third parties issue user's secret key and servicer can authenticate users without user's authentication information. MILAGRO-MFA could prevent the leakages. However, on the previous key issue method of MILAGRO-MFA, servicer has to make issue request by key that the servicer holds. So, if an adversary gets or misuses the key for the issue request, he can issue user's secret key freely. In this paper, I add a new server "issue request authority" to the previous system architecture of MILAGRO-MFA. I propose a new system architecture which user's secret key is issued when a servicer and issue request authorities make an issue request. Then, I evaluate the safety of the proposal system architecture. As a result, the proposed system architecture has the safety of prevention of issue request that an adversary issue.AA12628305研究報告セキュリティ心理学とトラスト(SPT)2017-SPT-2235162017-03-062188-86712017-03-03