Une spécification émerge pour des authentifiants FIDO interopérables
Publié par La rédaction le - mis à jour à
Des ébauches de spécifications pour l'échange sécurisé entre fournisseurs d'authentifiants émergent à la FIDO Alliance.
Vers un protocole et un format standardisés pour les échanges sécurisés entre gestionnaires d'authentifiants ? La FIDO Alliance a fait un pas dans ce sens en publiant deux brouillons de spécifications.
Le protocole, dit CXP (Credential Exchange Protocol), peut fonctionner en ligne et hors ligne. Il n'encadre pas les canaux de transfert utilisés. Et n'aborde pas non plus la destruction des authentifiants après migration. Dans les grandes lignes, il se présente comme suit :
- Le service importateur crée une demande d'exportation incluant un challenge, un périmètre et une déclaration du schéma de chiffrement à utiliser. Le plus souvent, il s'agira de Diffie-Hellman, auquel cas le service importateur fournira une clé publique (autre option : du chiffrement hybride où le service importateur connaît la clé avant de générer la requête).
- Si un utilisateur final et/ou une tierce partie autorisée valide la requête, le service exportateur utilise la clé publique pour générer ou récupérer la clé de migration, utilisée pour chiffrer les authentifiants.
- Le service exportateur collecte et chiffre les authentifiants et signe le challenge.
- Le tout est envoyé au service importateur, avec la clé publique.
- Le service importateur valide le challenge et récupère la clé de migration pour déchiffrer les authentifiants, qu'il peut alors stocker.
La spécification CXF (Credential Exchange Format) a pour objectif de normaliser la structure de ces authentifiants.
Les attributs les plus communs ont des champs dédiés et il est possible d'en ajouter en tant qu'extensions. Chaque authentifiant est chiffré individuellement et le tout est placé dans un zip, au format JWE (JSON Web Encryption). Quatre types de secrets sont gérés : authentification basique (mots et phrases de passe), passkeys, TOTP et clés cryptographiques.
En l'état - premier brouillon, donc -, le service exportateur peut utiliser une version de protocole inférieure à celle de l'importateur. Pas l'inverse. C'est à l'exportateur que revient le choix des paramètres de chiffrement.
La spécification CXF introduit une forme d'organisation des authentifiants à travers le concept de "collections".
Illustration générée par IA