コンコーディアムは日立ソリューションズと日立の公開型生体認証基盤(PBI : Public Biometric Infrastructure)を活用したコンコーディアムウォレットでの技術実証(PoT)の報告を受けるために、日立製作所の研究施設にPBIチームを訪問しました。
研究施設では実際に社員たちがPBIをオフィス生活の中で活用していました。PBIを活用した(生体認証によって復元される秘密鍵と、登録された公開鍵を、一致させることによって本人認証をする)2つのキャッシュレス決済を確認することができました。ひとつは有人カフェでの利用です。指静脈認証装置に指をかざすだけで、あらかじめ登録してあるクレジットカード情報に基づいて決済できます。
もうひとつはIoTも活用した「CO-URIBA」と呼ばれる無人店舗です。入り口ではPBIの顔認証により利用者を確認した上で、商品を手に取ると上部にある3D LiDARと棚にある重量センサーが商品を特定して、商品の情報がデジタルサイネージに表示されます。CO-URIBAでは、利用者に応じたデジタルサイネージを表示させることもできるようです。支払いも手ぶらで、登録済みのクレジットカード情報に基づき決済されます。
技術実験を行ったPBIチームにインタビュー
PBIチームを主導する研究開発グループの高橋健太主管研究員(以下、高橋氏)
コンコーディアム:
コンコーディアムウォレットとの技術実証で活用したPBIについて教えてください。
高橋氏:
一言でいうとPBIが解決しようとしている問題は、オンラインでの非対面状況でユーザーが本当に正しい人物であるかを認証することです。この課題は、1980~90年代にインターネットが普及し始めた頃から現在に至るまで未解決の問題です。その原因は、オンラインでは認証情報を含むすべての情報をデータとして扱う必要がある一方で、データは複製や偽造が容易なためです。
もう少し詳しく見ていきましょう。ユーザー認証には主に三つの方法があります。一つ目は知識認証、二つ目は所有物認証、三つ目は生体認証です。これらを単独または組み合わせて本人認証を行うのが現状ですが、オンライン認証に適用する場合、いずれの方法も課題を抱えています。パスワードや暗号の秘密鍵、生体データなどの認証データをどう安全に保存・管理するかという課題です。これらのデータが漏洩して悪用されると、なりすましによる経済的・社会的な被害や、プライバシー侵害のリスクに繋がります。
現在のオンラインバンキングなどで使われているFIDO(Fast Identity Online)という技術は、スマートフォンなどのユーザデバイスの安全な領域に生体データと秘密鍵を格納し、その秘密鍵に対応する公開鍵のみを認証サーバーに登録しておくことで、安全なオンライン認証を実現しています。しかし、FIDOにも弱点があり、デバイスを失ったり盗まれたりすると認証が行えなくなる問題があります。
PBIは、デバイスに依存しない安全性と利便性を提供しつつ、オンラインでは公開鍵認証を用い、ユーザーと端末間では生体認証を用います。端末内には生体情報や秘密情報を一切保持せず、生体情報から直接秘密鍵を生成し、認証完了後にはその情報を端末から完全に消去します。この方式では、生体データを保存することなく、安全な形に一方向変換されたPBI公開鍵だけを保存することで認証が可能です。また、PBIは従来の暗号システムの課題である鍵管理問題を解決し、Web3のウォレットの鍵管理にも適しています。
コンコーディアム:
日本の企業でもWeb3とアイデンティティ、Verifiable Credentialなど、に取り組んでいますが、PBIとWeb3アイデンティティとの相性はどうでしょうか。
高橋氏:
世界的にも自己主権型アイデンティティ(SSI)の管理モデルへのシフトが潮流になってきています。個人のアイデンティティとは、その個人がどんな人なのかという属性情報の集まりとして定義される概念であり、本来、世界中のすべての人が持っているものです。SSIの考え方は、ユーザが自分のアイデンティティを、特定の大企業や中央集権的なシステムに支配されることなく、自身の権利でコントロールし、安全かつ自由に活用できるようにすべき、という考え方です。現状のSSIの実装の多くは、スマホアプリやPCのブラウザで提供されるウォレットので自分のアイデンティティデータを管理しています。しかし我々は現状のSSIの実装には大きく2つの問題があると考えています。
1つ目はインクルージョン(包摂性)の課題です。SSIが唱えるユーザの権利は、本来ユーザがスマホを持っているかとかPCを使いこなせるかに関わらず保証されなければなりません。スマホがなくても自分の体一つあれば自分自身を証明できる仕組みを作っていかないと、真の自己主権型アイデンティティにはならないと考えています。
2つ目はセキュリティの課題です。自己主権型アイデンティティの肝は、ユーザー自身の権限でアイデンティティを管理可能としつつ、その権限を他の誰にも侵されないよう安全に保護することです。Verifiable Credentialと呼ばれる電子証明証として発行されたユーザーのアイデンティティデータをクラウド上のウォレットで管理可能なサービスなどがあります。しかしシステムのアーキテクチャ上、その気になればサービス提供者やクラウド事業者がデータにアクセスできてしまうため、本来のSSIとは言えません。中央集権から独立した安全なSSIを実現するためには、強固なユーザー認証と、アクセス権限や開示権限の認可とを、暗号学的に安全な形で密結合し、割り込む隙をなくす必要があるでしょう。そうすることで、ユーザの権限をコードレベルで保証する。それが我々の考えていることです。アイデンティティのコントロール権を、デバイスやクラウドに握られることなく、ユーザーの肉体にまで取り戻そうというのがPBIならではの実現できる新しい価値だと考えています。
今回の技術実証でコンコーディアムウォレットとのシステム連携を担当した研究開発グループの川名のん研究員(以下、川名氏)
コンコーディアム:
今回の技術実証での川名さんの担当を教えてください。
川名氏:
システム構成図や技術的な部分、デモに関するところをチームとともに担当しました。
コンコーディアム:
事前の想定や目標と違ったことはありましたか。また今後はコンコーディアムウォレットとPBIはどの部分での活用ができそうでしょうか。
川名氏:
当初はいろいろとPBIの使い道を探っている状態でしたが、シードフレーズの生成でやろうとコンコーディアムチームと意見が一致して進められました。今後としては、シードフレーズを暗号化・復号化して保存することや、ウォレット設定時のパスコードにPBIを適用させるなど、コンコーディアムのウォレットとPBIとでコラボレーションできる部分は考えられると思います。
コンコーディアムウォレットでのPBIによるシードフレーズ生成と復元に関する技術実証のデモを体験
参考:「コンコーディアムが日立ソリューションズと共同で日立の公開型生体認証基盤(PBI)を用いたWeb3ウォレットの復元に関する技術検証を開始」
指静脈認証装置とPBI技術からシードフレーズの生成
1. 名前を登録する
2. 指を指静脈認証装置に置くように指示が出る
3. 指を指静脈認証装置に置く
4. シードフレーズが生成される
PBIで生成されたシードフレーズで新しいコンコーディアムウォレットとアカウントを作成してテストネットトークンを取得する
1. コンコーディアムウォレットをインストールする
2. パスコードを設定する
3. PBIで生成したシードフレーズを入力する
4. アカウント(テストネット上)を作成し、テストトークンを取得する
PBIと生体認証からウォレットとアカウントの復元
*コンコーディアムウォレットをPCから削除
1. コンコーディアムウォレットを再インストール
2. 指静脈認証装置とPBIで同じシードフレーズが生成される
3. そのシードフレーズでウォレットとアカウントを復元する
4. テストネットトークンの残高を確認
技術実証の結果から、生体認証技術の組み合わせによるコンコーディアムウォレットの復元は、セキュリティと利便性の大幅な向上を示しています。特に、生体データに基づくシードフレーズの生成が、ウォレットの保護とプライバシー保持に対して新たな解決策を提供する可能性とデジタルアイデンティティの安全な管理が期待されます。
問い合わせ
mak アット concordium.com(日本語)
コンコーディアム財団について
コンコーディアム財団はブロックチェーンと暗号資産の事業規制環境で世界をリードするスイスを拠点にしています。コンコーディアムブロックチェーンはIDレイヤーとゼロ知識証明により、プライバシーと説明責任のバランスをとるように設計された、科学に裏付けられたパーミッションレス・レイヤー1ブロックチェーンです。コンコーディアムのチームには、暗号学の巨匠であり「Merkle–Damgård構造」の共同発案者のIvan Damgård教授やゼロ知識証明のモデルとなるペダーセン・コミットメントの父であるTorben Pryds Pedersen博士を含む約50名のサイエンスチーム(外部または内部)および開発メンバーが参加しています。
ウェブサイト:https://concordium.com
公式日本語ツイッター:https://twitter.com/Concordium_JP