NTT、NTT Innovation Institute、MIRACLは5月9日、サーバでのパスワード管理や専用の認証デバイスを必要としない安全な認証システムを開発したことを発表した。
今回、NTTが暗号プロトコルの設計を、NTT Innovation Instituteがシステムデザインを、 MIRACLが暗号プログラムの実装を担当し、3社共同で安全性が高くかつ容易に利用できる認証技術を開発した。
同認証システムの認証では、「エンドユーザーが入力したパスワード」「端末内に保存された秘密情報」「乱数」の3つの情報から計算された認証情報が認証サーバに送信される。認証サーバは受信した認証情報が正しいかどうかをペアリング暗号の演算により判断し、エンドユーザーを認証する。
この時、認証サーバはぺアリング暗号の性質により、認証に必要な情報をエンドユーザーごとに持つ必要がない。エンドユーザーの入力したパスワードとエンドユーザーの持つ端末内に保存された秘密情報が正しい組であるかどうかのみを判断し、認証を行う。そのため、システム運用者は、定期更新をエンドユーザーに促す手間などのパスワード管理が不要となる。
端末に保存される秘密情報は分散された鍵発行局から発行される。信頼の起点である鍵発行局を分散することで、強固なシステムを実現している。
|
NTTらが開発したパスワード管理が不要な認証システムの概要 |
開発されたプログラムは、Apache Milagro(incubating)を通じて5月中にOSSとして公開され、誰でも無償で使えるようになる。OSSに加えて、NTTソフトウェアなどのNTTグルーブ会社やMIRACLから、関連したサービスや製品の提供も予定されている。
