5. ※hashをCのSHA-256ハッシュ値とする 6. AuthenticatorResponse.attestationObjectをCBOR decodingし、fmt(attestation statement format), authData( authenticator data), attStmt(attestation statement)を取得する 7. authDataのrpIdHashがRPIDのSHA-256ハッシュであることを確認する 8. authData内のflagsのUser Presentビット, User Verifiedビットが1であることを確認する 9. authData内のattStmtのalgがnavigator.credentials.create()のパラメータで指定したalgと一致していることを確認 する 10. authData内のfmtからAttestation Statementのフォーマットを決定する 11. attStmtが正しい証明書であり、署名が有効であることを検証する 12. 検証が成功した場合、Authenticatorのルート証明書を取得する 13. (自己署名証明書でない場合)Attestationの公開鍵がルート証明書に正しくチェーンアップされているかを確認する 14. credentialIdがまだ他のユーザーに登録されていないことを確認する 15. 正常に検証されて信頼できることが判明したら新しいクレデンシャルをアカウントに登録する