数字认证(Digital Authentication)

以下是《数字身份准则》（NIST SP 800-63-3）的摘录：
. 在数字认证申请人拥有并控制一个或多个监定人已注册与CSP和用於证明申请人的身份。身份验证者包含秘密，索赔人可以使用这些秘密来证明他或她是有效的订户，索赔人通过证明他或她拥有并控制一个或多个身份验证者来通过网络对系统或应用程序进行身份验证。
. 认证者中包含的秘密基於公共密钥对（非对称密钥）或共享秘密（对称密钥）。公钥和相关的私钥构成公钥对。私钥存储在身份验证器上，并由索偿人用来证明对身份验证器的拥有和控制。验证者通过某种凭证（通常是公共密钥证书）知道索赔人的公钥，可以使用验证协议通过证明索赔人拥有并控制关联的私钥验证者来验证索赔人的身份。
. 存储在身份验证器上的共享机密可以是对称密钥或存储的机密（例如密码和PIN）与上述非对称密钥相反，订户无需与验证者共享。尽管密钥和密码都可以在类似的协议中使用，但两者之间的一个重要区别是它们与订户的关系。虽然对称密钥通常存储在用户控制的硬件或软件中，但是密码旨在由用户存储。由於大多数用户选择短密码以方便记忆和易於输入，因此密码通常比加密密钥具有更少的字符。此外，尽管系统随机选择密钥，但是尝试选择具有纪念意义的密码的用户通常会从给定长度的可能密码的很小一部分中进行选择，并且许多人会选择非常相似的值。因此，
. 在本卷中，身份验证者始终包含一个秘密。一些经典的身份验证因素并不直接适用於数字身份验证。例如，物理驾驶执照是您拥有的东西，在向人员（例如，安全警卫）进行身份验证时可能很有用，但其本身并不是用於数字身份验证的身份验证器。归类为您知道的身份验证因素也不一定是秘密。基於知识的身份验证（提示索赔人回答可能仅由索赔人知道的问题）也不构成数字身份验证的可接受机密。生物特徵识别也不构成秘密。因此，这些指南仅在与物理验证者紧密绑定时才允许将生物识别技术用於验证。

参考
数字身份准则（NIST SP 800-63-3）
密钥管理建议：第2部分–密钥管理组织的最佳做法（NIST SP 800-57第2部分R1）

资料来源：Wentz Wu QOTD-20201107