このドキュメントは、”OpenID Federation 1.0: The Trust Chain vs The x.509 Certificate Chain – OpenID Summit Tokyo 2024″ の発表内容に基づき、その主要なテーマ、重要なアイデア、事実をまとめたものです。
スピーカー: Vladimir Dzhuvinov
全体テーマ:
OpenID Federation で導入される Trust Chain と、長年使用されてきた x.509 証明書チェーンを比較し、Trust Chain の利点と将来の可能性について議論する。
キーポイント:
- x.509 証明書の普及と歴史: x.509 証明書は、クレジットカードやスマートフォンに広く組み込まれており、非常に普及している。しかし、この規格は1988年に策定され、World Wide WebやAPIといった概念が登場する以前のものであった。
- 「if I reach into my pocket where my credit card is there’s a chip in here and inside this chip there is an x509 certificate so everybody here has one in his uh card and there are probably billions of cards around the world with such certificates inside」
- x.509 証明書の成功要因: x.509 証明書の成功は、名前と公開鍵を結びつけるというシンプルな概念と、信頼できる認証局までチェーンを構築できる点にある。
- 「what is the certificate it is a very simple binding cryptographic binding between a name this could be the name of a website and a public key and these bindings can be changed all the way up to a trusted certificate Authority」
- OpenID Trust Chain の登場: OpenID Connect を利用した Federation において、OpenID プロバイダーと Relying Party 間の信頼を確立するために Trust Chain が開発された。 Trust Chain は JWT (JSON Web Token) で構成される。
- Trust Chain と x.509 証明書の構造の類似点: Trust Chain は、issuer、subject、有効期限、制約といった x.509 証明書と同様のフィールドを持つ。
- Trust Chain の追加機能: Trust Chain は、メタデータ、メタデータポリシー、トラストマークを埋め込むことができる。 メタデータは、OpenID プロバイダーとの連携に使用され、トラストマークは追加の認証情報を提供する。
- 「we have a field which is required for the metadata and the metadata is in there so that we Ed with the open ID Provider by presenting the trust chain then we also have metadata policies now the trust anchor The Authority might want to assert or Define policies in order to make the entities for example uh comply with the puppy profile right and we also have a bunch of embedded jots which can be thought of as accreditations which are called trust marks so they provide an additional Dimension」
- Trust Chain の利点: Trust Chain は、より複雑な信頼関係 (多国間 Federation など) を表現でき、トラストマークの挿入が可能である。 また、well-known URL と Web API を利用して、リアルタイムで Trust Chain を構築し、信頼関係のツリーを探索できる。
- 「the trust chains enable much more complex trust relationships to be represented things like multilateral federations and they also enable the insertion of stress marks and this is good because it gives security Architects the ability to um to sort of represent and express real world trust relationships」
- 2035年の未来予測: 発表者は、2035年に OAuth 2.0 の新バージョンが登場し、x.509 証明書チェーンが Trust Chain に置き換えられるという未来を予測している。 IRS(内国歳入庁)がトラストアンカーとなり、企業のウェブサイトの証明書から企業の法的な情報にアクセスできるような未来を描いている。
- 「the IRS then turn intern Revenue Service of the United States has decided to become a trust hker so every company or nonprofit in the states that is registered um Can automatically also enroll its public keys and when it does that what happens the websites when you click on the padlog you can immediately see what the legal entity is behind the website and you can find things like tax tax number」
- OpenID Foundation の未来: OpenID Foundation が複数の Federation に参加し、銀行口座や ISO 認証、カーボンニュートラル、サバイバル訓練の修了といったトラストマークを表示する可能性が示唆されている。
結論:
発表者は、OpenID Federation で導入される Trust Chain が、x.509 証明書チェーンの限界を克服し、より柔軟で表現力豊かな信頼モデルを提供すると主張している。 Trust Chain は、Web API との連携により、リアルタイムな信頼関係の構築を可能にし、セキュリティアーキテクトが現実世界の信頼関係をより正確に表現できる。
補足:
発表者は、この内容は未来予測であり、現時点での確定的な情報ではないことを強調している。