この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
国際規格は、ISO/IEC 指令Part に規定されている規則に従って草案されています。
合同技術委員会の主な任務は、国際規格を作成することです。合同技術委員会によって採択された国際規格草案は、投票のために各国機関に配布されます。国際規格として発行するには、投票を行っている国家機関の少なくとも 75% による承認が必要です。
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
ISO/IEC 20009-1 は、合同技術委員会 ISO/IEC JTC 1, 情報技術、分科会 SC 27, IT セキュリティ技術によって作成されました。
ISO/IEC 20009 は、 「情報技術 - セキュリティ技術 - 匿名エンティティ認証」という一般タイトルのもと、次の部分で構成されています。
- Part 1: 一般
- 第2 Part :グループ公開鍵を用いた署名による仕組み
以下の部分が準備中です。
- Part 3: ブラインド署名に基づくメカニズム
- Part 4: 弱い秘密に基づくメカニズム
さらに別の部分が続く場合があります。
導入
通信パートナーの認証は、最も重要な暗号化サービスの 1 つです。このサービスをサポートする暗号化メカニズムは多岐にわたります。たとえば、ISO/IEC 9798 [ 2] で指定されたエンティティ認証メカニズム、ISO/IEC 9796 [ 1] および ISO/IEC 14888 で指定されたデジタル署名メカニズムなどです。 [ 4]
匿名認証通信には、検証者がその通信パートナーが本物であると確実に判断できるという特性を保持しながら、認証されたエンティティの識別子をその通信パートナーおよび/または第三者に対して隠すことが含まれます。匿名エンティティ認証メカニズムは、このような匿名通信をサポートするように設計されています。このメカニズムは、エンティティ間の情報交換ここで, 必要な、信頼できる第三者との情報交換として定義されます。
匿名エンティティ認証メカニズムでは、認証されるエンティティ (申請者) は、その識別子を権限のないエンティティに明かすことなく、秘密を知っているという証拠を検証者に提供します。つまり、当事者間で交換されるメッセージを完全に知っているとすると、権限のないエンティティは、認証されているエンティティ (つまり、要求者) の識別子を発見できません。同時に、認可された検証者は、申請者が本物である、つまり、申請者が特定の属性、たとえば、事前に定義されたエンティティのグループのメンバーシップを所有しているという保証を得ることができます。ただし、認可された検証者であっても、認証されるエンティティの識別子を学習する権限が与えられていない場合があります。匿名エンティティ認証メカニズムでは、許可された当事者が、メカニズムの特定のインスタンスに関与したエンティティの ID を知ることができるプロセスであるオープンの実行を許可する場合があります。オープンを許可するメカニズムは、部分匿名エンティティ認証メカニズムと呼ばれます。
匿名エンティティ認証は、電子ビジネス、電子投票、電子 I, ソーシャル ネットワーク、モバイル決済、トラステッド コンピューティングなどのさまざまなシナリオに適用できます。このようなサービスの多くでは、クライアントの個人識別情報 (PII) が認証プロセスの一部としてサービス プロバイダーに公開されます。その結果、サービスプロバイダーは、必ずしも PII 主体の利益のためではなく、さまざまな目的で PII を使用できる立場になる可能性があります。サービス プロバイダーによる PII へのアクセスを制限する 1 つの方法は、匿名認証メカニズムを使用することです。匿名エンティティ認証のいくつかの使用例は、ISO/IEC 29191:2012 の付録 A に説明されています。 [ 6]
ISO/IEC 20009 では、匿名エンティティ認証のための一般的なモデルと多くのメカニズムを指定しています。認証交換のメカニズムと内容の詳細は、ISO/IEC 20009 のこの部分では規定されていませんが、ISO/IEC 20009 の以下の部分で規定されています。
1 スコープ
ISO/IEC 20009 のこの部分では、エンティティの正当性の裏付けを可能にする匿名エンティティ認証メカニズムのモデル、要件、および制約を指定します。
2 用語と定義
この文書の目的上、次の用語と定義が適用されます。
2.1
匿名性の強さ
無許可のエンティティが特定の署名から真の署名者を正しく判断できる確率から導出される数値
注記 1:匿名性の強度がn であるということは、権限のないエンティティが署名から真の署名者を正しく推測できる確率が 1/ n であることを意味します。
[出典:ISO/IEC 20008‑1:—]
2.2
匿名エンティティ認証
この実体を同じ属性を持つ他の実体と区別することなく、ある実体が特定の属性を所有していることの裏付け
2.3
匿名のデジタル署名
グループ公開鍵または複数の公開鍵を使用して検証でき、署名検証者を含む無許可のエンティティによって署名者の識別識別子まで追跡できない署名。
[出典:ISO/IEC 20008‑1:—]
2.4
チャレンジ
データ項目はランダムに選択され、検証者によって申請者に送信されます。このデータ項目は、検証者に送信される応答を生成するために、申請者が保持する秘密情報と組み合わせて使用されます。
[出典:ISO/IEC 9798‑1:2010]
2.5
請求者
認証を目的としたプリンシパルである、またはプリンシパルを表すエンティティ
[出典:ISO/IEC 9798‑1:2010]
2.6
鍵
暗号変換の操作を制御する一連のシンボル
[出典:ISO/IEC 9798‑1:2010]
2.7
左翼
リンクを実行するエンティティ、つまり匿名エンティティ認証の 2 つ以上のインスタンスをリンクするエンティティ
2.8
リンクする
匿名エンティティ認証の 2 つ以上のインスタンスが同じエンティティによって実行されたことが示されるプロセス
2.9
オープナー
オープンを実行する承認されたエンティティ、つまり匿名エンティティ認証メカニズムの特定のインスタンスに関与した当事者の身元を学習するエンティティ
注記 1:オープナーは、ISO/IEC 29191 では指定オープナーと呼ばれます。
2.10
オープニング
認可されたエンティティが、匿名エンティティ認証メカニズムの特定のインスタンスに関与した当事者の身元を学習するプロセス
注記 1: ISO/IEC 29191 では、オープニングは再識別と呼ばれます。
2.11
相互匿名認証
両方のエンティティにもう一方のエンティティの正当性を保証する匿名エンティティ認証
2.12
部分的に匿名の認証
匿名エンティティ認証により、許可されたエンティティによるオープンが許可されます。
2.13
主要
正当性が証明できる主体
2.14
乱数
値が予測できない時間変動パラメータ
[出典:ISO/IEC 9798‑1:2010]
2.15
シーケンス番号
特定の期間内に繰り返されない指定されたシーケンスから値が取得される時間変化パラメータ
[出典:ISO/IEC 9798‑1:2010]
2.16
タイムスタンプ
共通の基準に対する時点を示す時間変化パラメータ
[出典:ISO/IEC 9798‑1:2010]
2.17
時間変化パラメータ
メッセージがリプレイではないことを検証するために使用されるデータ項目 (乱数、シーケンス番号、タイムスタンプなど)
[出典:ISO/IEC 9798‑1:2010]
2.18
トークン
特定の通信に関連するデータ フィールドで構成され、暗号化技術を使用して変換された情報を含むメッセージ
[出典:ISO/IEC 9798‑1:2010]
2.19
信頼できる第三者
セキュリティ関連活動に関して他の団体から信頼されているセキュリティ当局またはその代理人
[出典:ISO/IEC 9798‑1:2010]
2.20
一方的な匿名認証
匿名エンティティ認証。一方のエンティティにもう一方のエンティティの正当性を保証しますが、その逆はありません。
2.21
一方的匿名相互認証
一方向での匿名エンティティ認証と他の方向でのエンティティ認証を同時に提供する 2 者間のプロセスの結果
2.22
検証者
他の主体(申立人)の正当性の保証を必要とする主体
3 つの記号と略語
3.1 記号
| A | 匿名エンティティ認証メカニズムに参加しているエンティティ |
| B | 匿名エンティティ認証メカニズムに参加しているエンティティ |
3.2 略語
| TTP | 信頼できるサードパーティ |
参考文献
| 1 | ISO/IEC 979, 情報技術 - セキュリティ技術 - メッセージ回復を可能にするデジタル署名スキーム |
| 2 | ISO/IEC 979, 情報技術 - セキュリティ技術 - エンティティ認証 |
| 3 | ISO/IEC 9798-1:2010, 情報技術 - セキュリティ技術 - エンティティ認証 - Part 1: 一般 |
| 4 | ISO/IEC 1488, 情報技術 - セキュリティ技術 - デジタル署名 (付録付き) |
| 5 | ISO/IEC 20008-1: —1 、情報技術 — セキュリティ技術 — 匿名デジタル署名。 — Part 1: 一般 |
| 6 | ISO/IEC 29191:2012, 情報技術 - セキュリティ技術 - 部分的に匿名、部分的にリンク不可能な認証の要件。 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 20009-1 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
ISO/IEC 20009 consists of the following parts, under the general title Information technology — Security techniques — Anonymous entity authentication:
- Part 1: General
- Part 2: Mechanisms based on signatures using a group public key
The following parts are under preparation:
- Part 3: Mechanisms based on blind signatures
- Part 4: Mechanisms based on weak secrets
Further parts may follow.
Introduction
Authenticating communicating partners is one of the most important cryptographic services. There are a wide variety of cryptographic mechanisms supporting this service, e.g. the entity authentication mechanisms specified in ISO/IEC 9798 [2] and the digital signature mechanisms specified in ISO/IEC 9796 [1] and ISO/IEC 14888.[4]
Anonymous authenticated communication involves hiding the identifier of an authenticated entity to its communicating partner and/or to a third party, while retaining the property that a verifier can reliably determine that its communication partner is authentic. Anonymous entity authentication mechanisms are designed to support such anonymous communications. The mechanisms are defined as exchanges of information between entities and ここで, required, exchanges with a trusted third party.
In an anonymous entity authentication mechanism, the entity to be authenticated (the claimant) provides evidence to a verifier that it has knowledge of a secret without revealing its identifier to any unauthorized entity. That is, given complete knowledge of the messages exchanged between the parties, an unauthorized entity cannot discover the identifier of the entity being authenticated (i.e. the claimant). At the same time, an authorized verifier can obtain assurance that the claimant is authentic, i.e. that it possesses certain attributes, e.g. membership of a predefined group of entities. However, even an authorized verifier may not be authorized to learn the identifier of the entity being authenticated. Anonymous entity authentication mechanisms may permit an authorized party to perform opening, a process which enables the authorized party to learn the identity of the entity that engaged in a particular instance of the mechanism. Mechanisms which permit opening are referred to as partially anonymous entity authentication mechanisms.
Anonymous entity authentication can be applied in a range of scenarios including electronic business, electronic voting, electronic identities (such as e-driving licences, e-health IDs and e-passports), social networks, mobile payments and trusted computing. In many such services, a client’s personally identifiable information (PII) is revealed to a service provider as part of the authentication process. As a result the service provider may be in a position to use the PII for a range of purposes, not necessarily in the interests of the PII subject. One way of restricting access by service providers to PII is through the use of anonymous authentication mechanisms. Some use cases of anonymous entity authentication are described in Annex A of ISO/IEC 29191:2012.[6]
ISO/IEC 20009 specifies a general model and a number of mechanisms for anonymous entity authentication. The details of the mechanisms and the contents of the authentication exchanges are not specified in this part of ISO/IEC 20009, but in the following parts of ISO/IEC 20009.
1 Scope
This part of ISO/IEC 20009 specifies a model, requirements and constraints for anonymous entity authentication mechanisms that allow the legitimacy of an entity to be corroborated.
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
2.1
anonymity strength
number derived from the probability that an unauthorized entity can correctly determine the true signer from a given signature
Note 1 to entry: An anonymity strength of n means that the probability that an unauthorized entity can correctly guess the true signer from a signature is 1/n.
[SOURCE:ISO/IEC 20008‑1:—]
2.2
anonymous entity authentication
corroboration that an entity possesses certain attributes, without distinguishing this entity from other entities with the same attributes
2.3
anonymous digital signature
signature which can be verified using a group public key or multiple public keys, and which cannot be traced to the distinguishing identifier of its signer by any unauthorized entity including the signature verifier
[SOURCE:ISO/IEC 20008‑1:—]
2.4
challenge
data item chosen at random and sent by the verifier to the claimant, which is used by the claimant, in conjunction with secret information held by the claimant, to generate a response which is sent to the verifier
[SOURCE:ISO/IEC 9798‑1:2010]
2.5
claimant
entity which is or represents a principal for the purposes of authentication
[SOURCE:ISO/IEC 9798‑1:2010]
2.6
key
sequence of symbols that controls the operation of a cryptographic transformation
[SOURCE:ISO/IEC 9798‑1:2010]
2.7
linker
entity which performs linking, i.e. which links two or more instances of anonymous entity authentication
2.8
linking
process by which two or more instances of anonymous entity authentication are shown to have been performed by the same entity
2.9
opener
authorized entity which performs opening, i.e. which learns the identity of the party that engaged in a particular instance of an anonymous entity authentication mechanism
Note 1 to entry: An opener is referred to as a designated opener in ISO/IEC 29191.
2.10
opening
process by which an authorized entity learns the identity of the party that engaged in a particular instance of an anonymous entity authentication mechanism
Note 1 to entry: Opening is referred to as re-identification in ISO/IEC 29191.
2.11
mutual anonymous authentication
anonymous entity authentication that provides both entities with assurance of the legitimacy of the other entity
2.12
partially anonymous authentication
anonymous entity authentication permitting opening by authorized entities
2.13
principal
entity whose legitimacy can be authenticated
2.14
random number
time variant parameter whose value is unpredictable
[SOURCE:ISO/IEC 9798‑1:2010]
2.15
sequence number
time variant parameter whose value is taken from a specified sequence which is non-repeating within a certain time period
[SOURCE:ISO/IEC 9798‑1:2010]
2.16
time stamp
time variant parameter which denotes a point in time with respect to a common reference
[SOURCE:ISO/IEC 9798‑1:2010]
2.17
time variant parameter
data item used to verify that a message is not a replay, such as a random number, a sequence number, or a time stamp
[SOURCE:ISO/IEC 9798‑1:2010]
2.18
token
message consisting of data fields relevant to a particular communication and which contains information that has been transformed using a cryptographic technique
[SOURCE:ISO/IEC 9798‑1:2010]
2.19
trusted third party
security authority or its agent, trusted by other entities with respect to security related activities
[SOURCE:ISO/IEC 9798‑1:2010]
2.20
unilateral anonymous authentication
anonymous entity authentication that provides one entity with assurance of the legitimacy of the other entity, but not vice versa
2.21
unilateral-anonymous mutual authentication
result of a process between two parties which simultaneously provides anonymous entity authentication in one direction and entity authentication in the other direction
2.22
verifier
entity which requires assurance of the legitimacy of another entity (the claimant)
3 Symbols and abbreviated terms
3.1 Symbols
| A | entity participating in an anonymous entity authentication mechanism |
| B | entity participating in an anonymous entity authentication mechanism |
3.2 Abbreviations
| TTP | Trusted Third Party |
Bibliography
| 1 | ISO/IEC 9796 (all parts), Information technology — Security techniques — Digital signature schemes giving message recovery |
| 2 | ISO/IEC 9798 (all parts), Information technology — Security techniques — Entity authentication |
| 3 | ISO/IEC 9798-1:2010, Information technology — Security techniques — Entity authentication — Part 1: General |
| 4 | ISO/IEC 14888 (all parts), Information technology — Security techniques — Digital signatures with appendix |
| 5 | ISO/IEC 20008-1:—1 , Information technology — Security techniques — Anonymous digital signatures. — Part 1: General |
| 6 | ISO/IEC 29191:2012, Information technology — Security techniques — Requirements for partially anonymous, partially unlinkable authentication. |