人間性の暗号的証明
Cloudflareは、CAPTCHA認証の代替手段として、暗号的証明(CAP)を開発しました。
CAPは、CAPTCHAパズルを解く代わりにハードウェアキーに触れることで、正当なウェブサイト訪問者であることを証明できます。
この記事では、使いやすさやプライバシーに関する一般的な質問への回答を提供します。
また、デモサイト ↗にアクセスしてCAPをテストすることもできます。
ほとんどのプライバシーに関する懸念の回答は、以下の表にまとめられています:
| プロパティ | Cloudflareができること | Cloudflareが行うこと |
|---|---|---|
| バイオメトリクス(指紋や顔写真)を収集する | いいえ | 該当なし |
| ハードウェア認証器に関する情報を収集する | はい、バッチ内のキーの数に制限される | はい、利用可能な場合 |
いいえ、Cloudflareはバイオメトリクスを収集することはできません。私たちのCAPプロセスはWebAuthn APIを使用しており、デフォルトでバイオメトリクスの収集を防ぎます ↗。デバイスがバイオメトリクス認証を要求すると(指紋センサーを介してなど)、すべてがローカルで行われます。
そのため、私たちはあなたのバイオメトリクスデータを見ることはありません:それはあなたのデバイスに残ります。デバイスが一致を確認すると、基本的な証明メッセージのみを送信します。実際には、あなたのデバイスは「はい、誰かがこの信頼できるデバイスで正しく指紋を入力しました」と証明するメッセージを送信し、指紋自体は送信しません。
はい、Cloudflareはあなたのキーに関する限られたデータを収集します。私たちは、検証目的のためにあなたのキーの製造元とバッチ識別子(バッチごとに最低100,000 ↗キー)を保存します。私たちの視点から見ると、あなたのキーはバッチ内の他のすべてのキーと同じように見えます。
一部の自己署名キーや特定の製造元のキーは、この要件を満たさないことが判明しています ↗ので、オンラインプライバシーリスクを最小限に抑えたい場合は避けるべきです。
私たちが人間性の暗号的証明をどのように設定しているかの詳細については、紹介ブログ記事 ↗を参照してください。
CAPは、さまざまなハードウェア認証器をサポートしています:
- ローミング(クロスプラットフォーム)認証器:
- サポートされている: FIDOメタデータサービス3.0 ↗に見つかるすべてのセキュリティキー。ただし、セキュリティ上の理由で取り消されていない場合。
- 例: YubiKeys、HyperFIDOキー、Thetis FIDO U2Fキー
- プラットフォーム認証器:
- 例: iOSモバイルデバイスおよびmacOSラップトップのApple Touch IDおよびFace ID; 指紋リーダーを搭載したAndroidモバイルデバイス; Windows Hello
ほとんどのウェブブラウザとWebAuthn対応認証器の組み合わせは機能しますが、CAPが正常に動作しない可能性のあるWebAuthn証明に関する既知の互換性の問題があります:
- 基本CAP:
- macOSデスクトップ: TouchIDの場合、ブラウザはSafariでなければなりません
- Android: ブラウザはChromeでなければなりません
- ゼロ知識証明を使用したCAP:
- Appleプラットフォーム認証器(例:Touch ID/Face IDを搭載したiPhone)は、ゼロ知識証明システム ↗と互換性がありません。これが失敗した場合、追加のアクションを取ることなく、基本CAPルートに即座にリダイレクトされます。Appleは、トラッキングを防ぎながら認証器が有効であることを示すプライバシー保護のApple匿名証明 ↗を使用しているため、この方法は高いプライバシー基準を維持します。
私たちは、エコシステムが進化し、さまざまな組み合わせをテストし続ける中で、このリストを更新しています。
CAPは、ボットを特定してブロックするための多くの技術の1つです。これまでのところ、CAPのセキュリティシステムをテストする試みがいくつか見られました。たとえば、慎重に実行された、よく文書化されたテスト ↗があります。このテストを議論するブログ記事では、この方法がCloudflareの脅威モデルを破らないことが特に指摘されています。
これは、CAPが壊れていることを意味するのではなく、現在のCAPTCHAモデルに対する攻撃のコストを引き上げることを示しています。
必要なハードウェア(Yubikeyなど)がない場合でも、通常のCAPTCHAチャレンジ(例:画像を選択する)を解決できます。
- Unsupported_att_fmt:
- 原因: あなたの認証器がサポートされていない証明形式(ブラウザとキーの組み合わせ)を使用しています。また、Firefoxを使用して「キーを匿名化する」オプションを選択した場合にも発生します。
- 解決策: このエラーがゼロ知識版のCAP ↗中に発生した場合、基本CAPフローに自動的にリダイレクトされます。基本CAPが失敗した場合は、サポートされているハードウェアデバイスとブラウザの別の組み合わせを試すか、CAPTCHAを選択してください。
- Unsupported_issuer:
- 原因: あなたのキーは現在サポートされていません。
- 解決策: サポートされているキーを使用してください。
- https://cloudflarechallenge.com ↗(デモサイト)
- 人間性の暗号的証明の紹介 ↗(ブログ)
- 人間性の暗号的証明の拡張 ↗(ブログ)
- ゼロ知識証明の紹介 ↗(ブログ)