OAuthを将来にわたって安全にするためには~OAuthセキュリティ・ワークショップ2017

OAuth Security Workshop 2017で発表をしてきました。(2017/7/14)

何しろ、Basin教授(ETH Zurich)とCremers教授(オックスフォード大学)が揃い踏みするところ1だったので、良い機会なので、無謀にも彼らの論文2を元にして、RFC6749をセキュアにするにはどうしたらよいかということを発表してまいりました。

いや、最初は、去年同様論文審査だけ演る予定だったんですが、審査委員長のLodderstedt博士から出してくれと頼まれたので、FAPIの設計のときに考えていたことを数時間でポジション・ペーパーの形にまとめて提出したのです。

ここでBCM Principle と言っているものの読み方があまり定かでなく、多分こうだろうという形で解釈してだしたのですが、解釈は正しかったようなので安心しました。

ちなみに、ここで論じられていることの多くがFAPI Part 2に活かされています。というか、これを読むと、FAPIがなぜああなっているのか、何となく分かってくると思います。また、参加していた2つの大学の方々が、これをきっかけにFAPIの安全証明に取り掛かってくださるらしいのでとても期待しています。もしここで安全性が証明されれば良いし、もし何か出てきたら、Final前に修正をすれば、アカデミクスとスタンダダイゼーションのコラボレーションの良い例になると思っています。

他の発表については、NRIセキュアの工藤さん (@tkudo) がまとめてくださっていますので、参考にしていただければとおもいます。

 

なお、OAuth Security Workshop 2017はイタリアで開催される予定です。

OAuth Security Workshop 2017 Group Photo
OAuth Security Workshop 2017 Group Photo – Workshopが終わって人が帰り始めてから気がついて取ったので、一部の参加者だけですが…。

脚注

  1. というか、そもそも今回彼らに主催していただいたきっかけはわたしが、Anthony Nadalinに「この論文読んだ?」と、昨年のOAuth Security Workshop 内で投げかけたのが始まりですが。
  2. Basin, D., Cremers, C., Meier, S.: Provably Repairing the ISO/IEC 9798
    Standard for Entity Authentication. Journal of Computer Security – Security and Trust Principles archive Volume 21 Issue 6, 817-846 (2013)

コメントを残す

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください