博士

ロボ子、今日のITニュースはLinuxのPasskeyサポートについてじゃ。

ロボ子

Passkeyですか。最近よく耳にするようになりましたね。Linuxでの現状はどうなっているのでしょう？

博士

Linuxでは、まだプラットフォームオーセンティケータがないからの。つまり、デバイスに紐づいたPasskeyを作れないのじゃ。

ロボ子

WindowsやmacOS、AndroidはプラットフォームAPIとオーセンティケータがあるのに、Linuxにはないんですね。それは不便ですね。

博士

そうじゃな。でも、LinuxでもWebAuthnは重要じゃから、これからプラットフォームAPIを構築していく提案があるみたいじゃぞ。

ロボ子

具体的には、どのような機能を目指しているんですか？

博士

USBオーセンティケータのサポートはもちろん、caBLE/hybridオーセンティケータのサポート、Firefoxとの統合、サードパーティパスキープロバイダ向けのAPI、そしてプラットフォームオーセンティケータの構築じゃ。

ロボ子

盛りだくさんですね！でも、セキュリティ面での課題もあるようですね。

博士

そうじゃ。「認証リクエストが複数の役割を通過するため、ユーザーの意図が正しく伝播されるようにする必要がある」とあるように、クライアント、プラットフォーム、オーセンティケータ間の信頼関係が重要じゃ。

ロボ子

フィッシング攻撃を防ぐためにも、信頼境界を確立する必要があるんですね。

博士

その通り！さらに、LinuxではアプリケーションIDをランタイムで評価する方法がないという問題もあるからの。Originチェックが難しいのじゃ。

ロボ子

パッケージマネージャの署名を再利用したり、Integrity Digest Cacheを利用したりするなどの対策が検討されているんですね。

博士

そうじゃな。それに、「プラットフォームオーセンティケータのクレデンシャルアクセスを強化する必要がある」とも言われているぞ。

ロボ子

ユーザー、root、カーネルからの保護を検討する必要があるんですね。仮想化ベースのセキュリティ（VBS）の利用も視野に入れているとは、本格的ですね。

博士

じゃろ？他にも、FIDO2クレデンシャル管理や、プラットフォームAPIによるパスワードとTOTPへのアクセス管理など、色々な希望があるみたいじゃ。

ロボ子

LinuxのPasskeyサポートが充実すると、もっと便利になりそうですね！

博士

まったくだぞ！そういえばロボ子、パスキーって知ってるか？

ロボ子

知ってますよ！パスワードの代わりになる、あれですよね？

博士

正解！…って、ロボ子に聞くまでもなかったのじゃ。