WebAuthn
WebAuthn は公開鍵暗号を利用した認証方式であり,二要素認証において 所有要素に基づく認証を実現するための方法の一つです.
FIDO2と呼ばれる規格に適合しているものであれば,パソコン・スマートフォン・USBセキュリティトークンなどさまざまなデバイスを 認証器として利用することができます.
認証サーバ(神戸大学の場合はKNOSSOS)に認証器を登録すると,秘密鍵が認証器側に保存され,公開鍵が認証サーバ側に保存されます.
認証時には,認証サーバが発行したチャレンジと呼ばれる文字列に対して,認証器側の秘密鍵で電子署名を行い,サーバ側の公開鍵で署名の検証を行うことで 登録された認証器を保持していることを確認します.
秘密鍵にアクセスする際,指紋認証や顔認証またはPINコードなどで追加の認証を行うことができる認証器もあります. この場合でも,生体情報や鍵情報はインターネット上には流れません.
WebAuthnは比較的最近(2019年)に仕様が策定された規格なので,古いデバイスでは利用できない場合があります.
https://ja.wikipedia.org/wiki/WebAuthn の図を改変
WebAuthn
WebAuthn is an authentication method using public key cryptography and is one of the methods to realize two-factor authentication based on possessing factors. '' Various devices such as PCs, smartphones, and USB security tokens can be used as authenticators if they conform to a standard FIDO2.
When the authenticator is registered with the authentication server (KNOSSOS in the case of Kobe University), the private key is stored in the authenticator, and the public key is stored in the authentication server.
When authentication is done, the private key on the authenticator side is used to digitally sign a string called a challenge issued by the authentication server, and the public key on the server side is used to verify the signature, thereby confirming that the registered authenticator is being held.
Some certifiers can use fingerprint authentication, facial recognition, or PIN codes for additional authentication when accessing the private key. Even in this case, biometrics, PINs, and private key information are not transmitted over the Internet.
WebAuthn is a relatively recent standard (2019), so older devices and browsers may be unable to use it.