うーん、まんまなタイトル。
大ざっぱに言ってしまうと、ID情報を保護する技術なのですが。
大きく分けると、3つのテクノロジーで構成されています。
・OTP 対応インテル® IPT
OTPとはワンタイムパスワードのこと。ワンタイムパスワードは、金融機関やVPNの認証などで利用されています。
以前は、ハードウェアのトークンを利用していましたが、配布にも コストがかかるし、電池が切れると配布しなおさないといけない。管理も面倒。そういったわけで、モバイル端末を利用したものも増えてきています。しかし、 PCでログインするのに、モバイル端末を確認したり、トークンを見たりするのは面倒。だって、目の前にデバイスがあるのに・・・。
もちろん、PCのソフトウェアとしてトークンを実装することは技術的には可能です。しかし、ソフトウェアで作るということは、コードが丸見え。いつか解析されるかもしれません。そこて、IPTの利用となります。IPTでは、ハードウェア内でワンタイムパスワードを生成します。OSの管理外で生成するため、メモリ上に展開されずに、不正なプログラムから読み取ることが困難になります。
・PKI 対応インテル® IPT
これは、3rd GenerationのCore vProプロセッサーから追加された技術です。PKIのサポート機能が追加されていて、秘密鍵をハードウェア内に保持することが可能になります。
・プロテクテッド・トランザクション・ディスプレイ
不正なソフトウェアにより、ユーザーの入力を監視されたりすることのないように、CPU内部のグラフィックモジュールがOSを介さずに直接ディスプレイに出力を行い、PIN情報などを入力させることが可能になります。出力している情報は、OS外で描画されているため、OS上で動作するマルウェアなどからアクセスできません。こちらも3rd Generation Core vProプロセッサーからサポートされています。OTP・PKIと連係して動作します。
あんまり大したこと検証できませんでした。
IPTは楽勝かと思っていたら、大きな落とし穴。
対応アプリも、対応サイトもたいへん少ないです。
また、PKIなどは試したくても1台では無理な感じです。
ますは、インテルのサイトで何ができる再確認
1台で関係つするのは「Protect Your Identiy」になるでしょう。
対応しているソリューションとしてはSymantecのVIP AccessとVASCOのMYDIGIPASSが紹介されています。
VIPアクセスに関してダウンロードして、インストーラをのぞいてみると、IPTとVIP Accessのインストーラが分かれていました。IPTがなくてもパスワードの生成が行えるようなので、IPTの検証としにくいので除くことにします。
そうなると、残るのはMYDIGIPASSです。
準備編(その前に)
いつも通り、入れるならば最新版のドライバがいいよね、ってことでIntelのサイトを探してみたのですが、DQ77MK用の最新版のIPTが見つかりません。IPTの最新版の適用範囲はWin7まで。実際にインストールしても「IPTが見つかりません」とエラーとなってしまいます。
ためしに、VIP Accessに収録された古いバージョンをインストールしてみましたが、MYDIGIPASSではIPTを検出できません。悩んでいたところ、同じチームの愛生さんはできたとのこと。こちらの環境の何が悪いのか考えます。
しばらく調べていくと、MEドライバがDQ77MK用として配布されているものより新しいものであることに気が付きます。念のためにバージョンダウンしようとアンインストールを試みたところ、MEドライバのアンインストール項目の中にIPTが含まれています。アンインストールしても、VIP Accessからインストールした旧バージョンはそのまま。
このあたりで「あれっ」と思うことになります。
結局、IPTの旧バージョンもアンインストールしてから、MEドライバの8.0をインストール。そのまま別配布のIPTを入れずにMYDIGIPASSのサイトチェックをかけると、ようやくパスしました。
準備編(本番)
MEドライバをインストール後の流れは下記の通りです。
まず、http://www.mydigipass.com/に行きます。
ここでSign up nowをクリックします。
登録するデバイスを選択します。ここでは当然右下のIPTを選びます。
IPTのチェック画面になります。Check to Intel IPTを押します。
Javaが起動してチェックが走ります。
チェックが完了すると、アカウント作成画面です。名前、メールアドレス、マスターパスワード、誕生日、国名を入力します。
アカウント作成が終わるとMYDIGIPASSの設定画面になります。
My DIGIPASS画面でデバイスが登録されているのが確認できます。
IPTのほかに携帯電話などを追加することも可能です。
対応サイト一覧かと思ったのですが、こちらは単なるブックマーク用の画面。
ブックマークしたいサイトを選んでアカウント情報を入力します。
設定したサイトをLaunchPad画面からクリックすると、保存していたアカウント情報が表示されます。表示をクリックすると、クリップボードにコピーされます。けっして、自動で入力はしてくれません。
IPTの有無でどのように違うのかです。
IPTがないときにMYDIGIPASSにLOGINするときはこのように、IDとワンタイムパスワードが必要になります。ワンタイムパスワードは、PC以外のデバイス(モバイルデバイスやトークン)に表示されているものを入力することになります。
IPTが搭載されているデバイスの場合(上の画面でIPT対応PCを選択した時も同様)は、IPTのチェック用のJavaが起動し、IPTをサポートしている場合にはメールアドレスとトークンの代わりにマスターパスワードを入力することになります。
ここで、先ほどのブックマークはログイン情報を持ってくれているだけですが、Applicationと呼ばれるMYDIGIPASS対応サイトがあります。もっとも、8種類のほとんどがMYDIGIPASSのメーカー関連なのですが・・・・。
ためしに、開発者用のhttp://developer.mydigipass.com/を開いてみます。
対応サイトなので、MYDIGIPASSを使用してサインアップをするかの確認が表示されます。
OKすると、MYDIGIPASSの保存情報から、どの項目を利用してよいかの確認画面が表示されます。
選択をして、次に進みます。
フルネーム、メールアドレスなど、MYDIGIPASSのアカウントを作成した時に入力した情報が自動的に反映されます。
LaunchPadの画面を見ます。この中で左下のものだけが連係ログインが可能です。後のものはブックマークになります。
これだけだと、いまいちIPTが便利なのか微妙です。全部ログインが連動してくれたりするとずいぶん違うのですが、そもそも、デバイス自身が認証キーになって全自動になると守ってくれる機構がOSのログイン時だけになってしまうので、セキュリティの意味がないといった問題もあるのでしょう。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。