Порівняння PKI та FIDO
PKI та FIDO використовують той самий криптоалгоритм — цифрового підпису. І у PKI і у FIDO наявні сертифікати. Для PKI це зазвичай кваліфікований сертифікат, у випадку FIDO Enterprise – атестаційний сертифікат.
На схемі пояснено принцип «персонального зв’язування» – кваліфікований сертифікат пов’язує персональні дані особи та криптографічний ключ електронного підпису.
Використовуючи кваліфікований сертифікат, сервіс перевіряє підпис та отримує гарантію, що підпис накладено саме тою особою, яка відповідальна за використання вказаного ключа та яку зазначено у сертифікаті.
У випадку FIDO Enterprise атестаційний сертифікат не містить персональних даних людини, але містить унікальний серійний номер Автентифікатора.
Тому цей принцип отримав назву «зв’язування пристрою». Атестаційний сертифікат не містить та не розголошує особистих даних власника.
Розглянемо, як саме працює Автентифікатор, що підтримує версію FIDO Enterprise (CTAP 2.1).
Автентифікатор зберігає наперед визначений перелік серверів корпорації – «Зелений список».
На малюнку до «зеленого списку» належать сервери з ідентифікаторами 7bc4..2b9cdc та 5ecc…9d84ad. Ці ідентифікатори відповідають серверам workspace.company.net та resources.company.net. Якщо виконується автентифікація із сервером з цього списку, автентифікатор повертає атестаційний сертифікат, що містить його унікальний серійний номер.
Використовуючи атестаційний сертифікат, сервер із «зеленого списку» перевіряє підпис та отримує гарантію, що підпис накладено саме тим автентифікатором, який згенерував цей ключ та серійний номер якого зазначено у сертифікаті.
Тобто сервер непрямим чином отримує інформацію, яка особа виконала автентифікацію.