Mutual

Mutual

[7] Mutual は、 HTTP認証用に提案されている方式の一種です。

仕様書

プロトコル

[11] HTTP認証のための要求応答を何往復か使います。

auth-scheme

[10] HTTP認証における auth-schemeMutual です >>5

サーバー

[12] 起源サーバーの認証にも、プロキシ認証にも使えます >>5

実装

[9] 開発者の実装 (>>2) 以外の実装例があるのかは不明です。

[15] 開発者の実装 (>>2) も2015年以来更新されていません。 Webサイトには RFC が出版されたことも言及されていませんし、 デモサイトも接続できない状態のようです。

[19] 開発元の RCIS という組織は改組で消滅したらしい。 Mutual がどうなったのかは不明。

関連

[8] TLS相互認証とは無関係です。

歴史

[1] Mutual Authentication Protocol for HTTP ( ( 版)) <https://www.rcis.aist.go.jp/special/MutualAuth/files/spec/draft-oiwa-http-mutualauth-08.html>

[2] 産総研 RCIS: フィッシング対策のためのHTTP相互認証プロトコル ( ( 版)) <https://www.rcis.aist.go.jp/special/MutualAuth/>

[3] 産総研 RCIS: MutualAuth: MutualTestFox: 相互認証プロトコル試験用Webブラウザ ( ( 版)) <https://www.rcis.aist.go.jp/special/MutualAuth/software/MutualTestFox/index-ja.html>

[4] Networkキーワード - HTTP Mutualアクセス認証:ITpro ( 版) <http://itpro.nikkeibp.co.jp/article/Keyword/20080722/311233/?rt=nocnt>

[13] 産総研とヤフーが相互認証プロトコル「HTTP Mutual」の実装を公開 - @IT () <http://www.atmarkit.co.jp/news/200804/23/httpmutual.html>

2008/04/23

産業技術総合研究所(産総研)とヤフーは4月22日、新しい認証プロトコル「HTTP Mutualアクセス認証」を組み込んだWebブラウザ「MutualTestFox」と、同プロトコルに対応したApache用モジュール「mod_auth_mutual」を開発し、オープンソースで公開した。

MutualTestFoxは、Firefox 3のソースコードをベースとし、新認証プロトコルを機能追加したWebブラウザで、mod_auth_mutualを組み込んだApacheと組み合わせることで新プロトコルを試すことができる。

[14] AIST RCIS: WEBrick server () <https://www.rcis.aist.go.jp/special/MutualAuth/software/WEBrick/index-en.html>

This is an WEBrick implementation of Mutual authentication protocol.

[16] A PAKE – SRP6 BROWSER EXTENSION (Alexandru Gavril Bardas ) <ftp://ftp.repec.org/opt/ReDIF/RePEc/rau/jisomg/WI12/JISOM-WI12-A2.pdf>

Oiwa et. all address the drawbacks of TLS-SRP and propose to implement PAKE at the

application layer, over HTTPS. Similar to Engler et all, I will refer to this approach as

HTTPS-PAKE.

[17] 532127 - Implementation Proposal for Mutual HTTP authentication protocol () <https://bugzilla.mozilla.org/show_bug.cgi?id=532127>

>>17 2016年に WONTFIX

[18] Yahoo! JAPAN - プレスリリース () <https://about.yahoo.co.jp/pr/release/2008/0422a.html>

2008年4月22日

独立行政法人 産業技術総合研究所

ヤフー株式会社

パスワード相互認証プロトコルの技術評価用ソフトウェアを公開

―抜本的なフィッシング詐欺防止技術の実用化に向けて―

[20] Part 1: HTTP Mutual auth (Yutaka OIWA 7 November 2012 HTTPAUTH, IETF 85 ) <https://staff.aist.go.jp/y.oiwa/publications/IETF85-HTTPAUTH-oiwa.pdf>

[21] draft-irtf-cfrg-augpake-08 - Augmented Password-Authenticated Key Exchange (AugPAKE) () <https://tools.ietf.org/html/draft-irtf-cfrg-augpake-08>