産業技術総合研究所(産総研)は2017年11月9日、以前から提唱していた「AISTパスワード認証方式」及び「AIST匿名パスワード認証方式」が国際標準規格ISO/IEC 11770-4:2017、ISO/IEC 20009-4:2017として発行されたことを発表した。
従来のID/パスワード認証は通信経路から情報を抜き取るスニッフィング被害の危険性があるため、通信内容の暗号化や公開鍵証明書を用いたサーバー認証を行うTLS(Transport Layer Security)を利用してきた。産総研によれば、従来のパスワード認証方式として用いるDiffie-Hellman鍵交換などと比較して、クライアント及びサーバーの計算量(べき剰余演算の回数)を軽減した「AugPAKE」に基づいたのが、AISTパスワード認証方式。
公開鍵証明書を用いずとも、同レベルの安全性を担保する本認証方法を使えば、IoTなどの計算能力の乏しいデバイスでも利用できる。また、認証時に乱数を用いることで、パスワード総当たり攻撃やフィッシング攻撃によるパスワード取得も未然に防ぐ。
他方で企業が匿名アンケートを実施する際、イタズラを防ぐために認証を必要とする場面は少なくない。一定の匿名性を確保したいという需要に応えるため、パスワード送信時にサーバーに利用者の所属を通知するが、個人を特定しないAIST匿名パスワード認証方式を開発した。産総研は匿名カウンセリングや匿名通信路、秘匿検索などの利用シーンを想定している。両者の国際標準規格化によって、暗号解除と数学的証明のコストを示す証明可能安全性が高まり、セキュリティ対策のあり方を一変させる可能性は高い。