Security Level 2 requires, at a minimum, role-based authentication in which a cryptographic module authenticates the authorization of an operator to assume a specific role and perform a corresponding set of services.

Security Level 3 requires identity-based authentication mechanisms, enhancing the security provided by the role-based authentication mechanisms specified for Security Level 2.

Role-Based Authentication: If role-based authentication mechanisms are supported by a cryptographic module, the module shall require that one or more roles either be implicitly or explicitly selected by the operator and shall authenticate the assumption of the selected role (or set of roles). The cryptographic module is not required to authenticate the individual identity of the operator. The selection of roles and the authentication of the assumption of selected roles may be combined. If a cryptographic module permits an operator to change roles, then the module shall authenticate the assumption of any role that was not previously authenticated.

Identity-Based Authentication: If identity-based authentication mechanisms are supported by a cryptographic module, the module shall require that the operator be individually identified, shall require that one or more roles either be implicitly or explicitly selected by the operator, and shall authenticate the identity of the operator and the authorization of the operator to assume the selected role (or set of roles). The authentication of the identity of the operator, selection of roles, and the authorization of the assumption of the selected roles may be combined. If a cryptographic module permits an operator to change roles, then the module shall verify the authorization of the identified operator to assume any role that was not previously authorized.

1. 暗号モジュールでの authentication とは何でしょうか？たとえば、家庭用 Wi-Fi ルータの管理コンソールにアクセスする際に求められる認証がその一例でしょうか？
2. Security Level 2 では、Role-Based Authentication が求められています。一方で、Security Level 3 では、Identity-Based Authentication が求められています。Level 3 の方が Level 2 よりもセキュリティ・レベルが高いことになっています。また、Identity-Based Authentication は Level 2 の Role-Based Authentication をセキュリティ強化していると書かれています。 Identity があってこそ、そこに role を割り当てることができると理解しているため、むしろ Level 3 の認証に関する要求事項は、Level 2 より下がっているように思えてなりません。みなさんは、どのように理解されましたでしょうか？
3. Security Level 1 - 4 に該当する具体例は何を思いつきますでしょうか？家庭用Wi-Fiルータの管理コンソール、BitLocker は L1 でしょうか。S/MIME や PGP を使ったメールソフトは、L3でしょうか。L2 や L4 だと思いつきませんでした。