WebAuthnには秘密鍵がどのデバイスに由来するかどうかのAttestationを取ることが仕様上可能になっている。

というわけでYubicoのデモサイトで取ってみた https://demo.yubico.com/ 。

iPad

• http://lapo.it/asn1js/#MIICQzCCAcmgAwIBAgIGAYKNIYMvMAoGCCqGSM49BAMCMEgxHDAaBgNVBAMME0FwcGxlIFdlYkF1dGhuIENBIDExEzARBgNVBAoMCkFwcGxlIEluYy4xEzARBgNVBAgMCkNhbGlmb3JuaWEwHhcNMjIwODEwMTMzOTE5WhcNMjIwODEzMTMzOTE5WjCBkTFJMEcGA1UEAwxAZjY2NDM0YjFiZjIyZTk1YjNkYTNmZjdiNzNhMWExYmI3MjA4NTJhOTAxZWU1YzQxY2M3MmI3ZjM0N2JhYjMyZjEaMBgGA1UECwwRQUFBIENlcnRpZmljYXRpb24xEzARBgNVBAoMCkFwcGxlIEluYy4xEzARBgNVBAgMCkNhbGlmb3JuaWEwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAATxJ799309daLwZyIqU_WoV00kgBwEdFFjtaIlTt0aPR01JJ1_MDqHGwwbLAZAweao9cf0LE1HJHM7ijoe0aC9do1UwUzAMBgNVHRMBAf8EAjAAMA4GA1UdDwEB_wQEAwIE8DAzBgkqhkiG92NkCAIEJjAkoSIEID6RAIm79Dfwq4l55ZoQt4ynTV7oPAd4r3crHshjeivuMAoGCCqGSM49BAMCA2gAMGUCMQCWm4Je8DKfv8RKBBkCBgDWlnkExmhobIGEAGgQo3HHsjSaee1m0Z1kvjGlhUOS8mICMG7ahNDonyui7CNe_ii-d_BwPhvnjJW6AaAvS2VUPPt-ABMgbI2o7FnVeTlOL76nWQ

有効期限がめっちゃ短いな。。僅か3日。

仕様としては、Apple Anonymous Attestationのものになっていて、特徴的な AppleAnonymousAttestation = 1.2.840.113635.100.8.2 にnonceを含んでいる。

https://github.com/w3c/webauthn/pull/1491

attestationObjectは fmt=apple で、 x5c が拡張されて追加の証明書 Apple WebAuthn CA 1 が提供され:

• http://lapo.it/asn1js/#MIICNDCCAbqgAwIBAgIQViVTlcen-0Dr4ijYJghTtjAKBggqhkjOPQQDAzBLMR8wHQYDVQQDDBZBcHBsZSBXZWJBdXRobiBSb290IENBMRMwEQYDVQQKDApBcHBsZSBJbmMuMRMwEQYDVQQIDApDYWxpZm9ybmlhMB4XDTIwMDMxODE4MzgwMVoXDTMwMDMxMzAwMDAwMFowSDEcMBoGA1UEAwwTQXBwbGUgV2ViQXV0aG4gQ0EgMTETMBEGA1UECgwKQXBwbGUgSW5jLjETMBEGA1UECAwKQ2FsaWZvcm5pYTB2MBAGByqGSM49AgEGBSuBBAAiA2IABIMuhy8mFJGBAiW59fzWu2N4tfVfP8sEW8c1mTR1_VSQRN-b_hkhF2XGmh3aBQs41FCDQBpDT7JNES1Ww-HPv8uYkf7AaWCBvvlsvHfIjd2vRqWu4d1RW1r6q5O-nAsmkaNmMGQwEgYDVR0TAQH_BAgwBgEB_wIBADAfBgNVHSMEGDAWgBQm12TZxXjCWmfRp95rEtAbY_HG1zAdBgNVHQ4EFgQU666CxP-hrFtR1M8kYQUAvmO9d4gwDgYDVR0PAQH_BAQDAgEGMAoGCCqGSM49BAMDA2gAMGUCMQDdixo0gaX62du052V7hB4UTCe3W4dqQYbCsUdXUDNyJ-_lVEV-9kiVDGMuXEg-cMECMCyKYETcIB_P5ZvDTSkwwUh4Udlg7Wp18etKyr44zSW4l9DIBb7wx_eLB6VxxugOBw

さらにコレが Apple WebAuthn Root CA に署名されている。

https://www.apple.com/certificateauthority/private/

VeriMark DT

先日買った奴 https://zenn.dev/okuoku/scraps/0ddc6114a8e4a5 。

• https://lapo.it/asn1js/#MIICPDCCAeGgAwIBAgICBuswCgYIKoZIzj0EAwIwgZkxCzAJBgNVBAYTAlVTMQswCQYDVQQIDAJDQTERMA8GA1UEBwwIU2FuIEpvc2UxGDAWBgNVBAoMD1N5bmFwdGljcywgSW5jLjEMMAoGA1UECwwDUENEMRUwEwYDVQQDDAxTeW5hcHRpY3MgQ0ExKzApBgkqhkiG9w0BCQEWHGNlcnQtYXV0aG9yaXR5QHN5bmFwdGljcy5jb20wIBcNMjAwNjA5MDIwMDA5WhgPMjA1MDA2MDkwMjAwMDlaMH8xCzAJBgNVBAYTAlVTMQswCQYDVQQIDAJDQTERMA8GA1UEBwwIU2FuIEpvc2UxGDAWBgNVBAoMD1N5bmFwdGljcywgSW5jLjEiMCAGA1UECwwZQXV0aGVudGljYXRvciBBdHRlc3RhdGlvbjESMBAGA1UEAwwJU3luYXB0aWNzMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEwBoKLFuqhPyIFYX_fKNbC-HSUntkUAPAzwmZieAljXJoGghuVRZ56WB3z03PgxtvOxnFeDuBFaHYg3_XNG1C-qMwMC4wIQYLKwYBBAGC5RwBAQQEEgQQ2Uop2VLdQkecLYuBi2EDiTAJBgNVHRMEAjAAMAoGCCqGSM49BAMCA0kAMEYCIQDykhnCv-kMYhjFzGKKgd0gjr6C_R_uaqacfEsW8j4c2QIhAJIjT32K8ni6n76-4N06JKiY7fzwVKwLr40hygileDqM

1.3.6.1.4.1.45724.1.1.4 つまりAAGUIDを含んでいる。ただFIDOの配布しているリスト https://fidoalliance.org/metadata/ には掲載されていなかった ...これFIDO2のデバイスしか含んでないのかな。。

Yubikey NEO

もう旧モデルだよなぁ

• https://lapo.it/asn1js/#MIICQzCCAS2gAwIBAgIEF_DtRjALBgkqhkiG9w0BAQswLjEsMCoGA1UEAxMjWXViaWNvIFUyRiBSb290IENBIFNlcmlhbCA0NTcyMDA2MzEwIBcNMTQwODAxMDAwMDAwWhgPMjA1MDA5MDQwMDAwMDBaMCkxJzAlBgNVBAMMHll1YmljbyBVMkYgRUUgU2VyaWFsIDQwMTY2NTM1MDBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABEPqOukfQCYHiqB-oNxSP1l5r3cVBcv_0wK3iW55eORN9qygi0DMtp5ypZWbNVX2V9d-hX_6UC4VK9gQdAuvUaWjOzA5MCIGCSsGAQQBgsQKAgQVMS4zLjYuMS40LjEuNDE0ODIuMS4yMBMGCysGAQQBguUcAgEBBAQDAgQwMAsGCSqGSIb3DQEBCwOCAQEAL8JwapHJJDrkN-UvUyTQx0rgKncEMESW3heCgQxBt2TR3W9QHEuRi9RX8whiIggGFaTL2kGUoRMYr0QttOD5Su8o-MywhXbNHhe1Ohh_YeiTcWZy1xnFwQApOud5M5BwZ-y7yyKbOFPvudCtsNIAULuRzPgdXr_113NDAw-FlsJbGNUnS_8PzhUPo6Oblgg_7Lq5kviKnLuVZWZ7Vsz3SKUnhc5xho-3aRsweu-n0LEDos4IBAdIpFprq_Eqoo5azXDBQJb6tHjQM1jUQwru_G-mndWp8KwBCnGp6kA64eAWxD3pfT_xrOhbfeB2D8ZHyxTxXmjCXcAEjHl3VfEmFQ

証明書は https://developers.yubico.com/U2F/yubico-u2f-ca-certs.txt で公開されている。