FIDO 2.0 Attestation：模型与语句详解

"FIDO 证明 (Attestation) 是一种身份验证机制，主要涉及FIDO UAF协议。本文深入解析了FIDO2.0中的四种证实模型，上下文数据的作用，以及证实语句的结构和内容。" 在FIDO联盟制定的FIDO2.0标准中，"FIDO 证明 (Attestation)" 是一个关键概念，用于确保用户设备（如手机、电脑等）上的认证器（如指纹传感器或面部识别模块）生成的公钥是可信的。这种验证过程涉及到不同类型的证实模型，以适应不同安全需求和设备能力。 1. **证实模型**： - **完全基础证实**：所有同模型认证器共享同一证实私钥，这可能导致安全性问题，因为如果私钥泄露，所有认证器的安全都将受到威胁。 - **代理基础证实**：认证器不存储特定的证实私钥，而是使用认证密钥对消息签名，增加了安全性，但要求认证器有良好的密钥保护。 - **隐私CA**：认证器持有背书密钥，并通过可信的第三方CA获取证书，支持多证实密钥，增强了隐私保护。 - **直接匿名证实 (DAA)**：基于椭圆曲线ECDAA算法，通过DAA凭证防止滥用，同时保持匿名性。 2. **上下文数据**： FIDO协议栈分为三层：第三方应用、客户端平台和认证器。这些层次之间传输的数据被称为上下文数据，用于签名和验证过程。客户端数据经过摘要后传递给认证器，确保数据完整性和效率。上下文数据分为客户端数据和证实数据，前者由应用或平台添加，后者由认证器生成。 3. **证实类型**： 证实类型决定了数据序列化的形式，允许支持各种设备和平台，如TPM。每种类型都包含公钥、认证模型信息以及远程上下文数据的验证机制。 4. **证实语句**： 证实语句是认证器生成的包含头对象（签名算法和验证信息）、客户端数据摘要和认证器自身的证实数据的结构。这个语句是服务端验证认证器公钥和认证过程的关键依据。 FIDO 证明机制的目的是提供强身份验证，同时尽量减少用户操作复杂性。通过选择合适的证实模型和处理上下文数据，FIDO2.0试图平衡安全性和用户体验，以实现更安全的在线身份验证。这一框架对于打击欺诈、保护用户隐私和增强网络服务的安全性具有重要意义。