「君の署名は」私的メモ

About

JNSA電子署名WG秋祭り 「君の署名は。」でとった私的メモ

マイナンバーカードによる認証と署名

個人番号カード

OpenSC

  • OS X はキーチェン->tokendから使える
  • ICカードでのデジタル署名の話
    • 秘密鍵が外に出ないのが特徴、カード内の秘密鍵で署名するから
    • トラストアンカでの検証の話
    • カードにとってはフローが署名も認証も一緒

署名用証明書

pkcs15-tool -r 2 -a 2 —verify-pin

認証用証明書

plcs15-tool -r 1 署名用と違ってセンシティブな情報が入ってないはずだが - CNに市町村コードが入っている - expireで誕生日がわかったり - NFCだから誰かに読まれる可能性あるよね

認証・署名の違い

  • User Consent ユーザーの同意があるかないか
  • Key Usage
  • 署名ごとにPINを入力
    • 認証の時は連続で署名できてもok
    • マイナンバーカードでは2回連続で署名が可能だった

マイナンバーカードでSSHの話

自分もやりました

マイナンバーカードでmacOSにログイン

法律的には検証者になるには総務省に届け出が必要だけど...

TLSクライアント認証

ブラウザによって動きがバラバラだったが、いまは殆ど動くようなった e-estoniaはSSLクライアント認証が導入されている

mynaコマンドとmynaqt

  • エストニアのDigiDocを目指して
  • 印鑑を買ったら陰影を見るために試し押しをする、マイナンバーカードでは試し署名ができないから普及の障害になっているのでは?

CMS署名

CMS署名する

PDF署名

  • JsignPdf
  • Poppler pdfsig 法務局の登記にPDF署名が必要だけどアクロバット使うのが嫌な人が使ってるらしい

XML署名

CMSの構造とあまり変わりない

XML security library

マイナンバーで動かなかった、ライブラリが鍵をファイルとして扱っているので改修する必要がある pemとかしか受け付けなかったのを

ROCA Vulnernability

  • エストニアのeIDカード
    • ダメな証明書をオンラインで更新ができる
  • YubiKeyの一部
  • 日本でも起こる可能性があるよね

RSAの鍵生成するには何回かやらなきゃいけない、カードが非力なのでスキップする機構がライブラリにあるが、そのせいで乱数が偏った模様

JPKIを活用してわかったこと

総務大臣認定取得

  • インフラとしてパブリッククラウド使えない
    • 物理的にどのサーバで動いているか示す必要がある
  • 時間がかかる、提出する調査票は70項目
  • 提出書類が膨大、20-30種類の書類、代表印が必要だったり

認定範囲からだしてはいけないもの

総務省:公的個人認証サービス利用のための民間ガイドライン ocsp電子証明書にシリアルが入っているから公開鍵も外に出せない

J-LISからの失効情報をゲット

NDA

犯収法上の本人確認

JPKIを利用すれば完全非対面でokかつ、転送不要郵便等がいらなくなる 証券口座作るときとかに便利そう 署名用電子証明書電子署名するだけでok

メリット

  • 紙税
  • 住民票・印鑑署名がコンビニで

J-LISの公開APIを読み解く

androidインテント機能

  • アプリケーション間やソフト内の機能間をつなぎ合わせる仕組み
  • アプリケーション間の画面遷移に利用
  • アプリをライブラリのように使用できるようになる
  • 本人の電子証明書は無料で検証できるから、何か転用できる方法はないか

組織認証と委任とその法律

法人で利用する電子証明

電子委任状法

  • 企業で一括でマイナンバーカードの申請ができる

こんなマイナンバーカードがほしい

  • 使いたいサービスがない
    • 認定・検証のハードル下げたり、、、
  • マイナンバー見られてもいいようにする
    • セクトラル方式にしたのはそのためでは
    • ICカードなんだから、券面表示じゃなくてviwer表示にしたり
  • 基本4情報っていうけど変わらないのは生年月日だけ

マイナポータルの今後の展開と、利用環境改善の取り組み

  • マイナポータルをオープンするときに完壁にしてからやるべきと悩んだ
    • スケジュール通りにリリースして、後から改修していった
  • マイナポのログインは設計者自身もマニュアル見ながら15分かかっていた
    • しかもJavaのupdateで動かなくなったり(version upで設定がリセット) tcpループバック、ブラウザのサンドボックスを越えるためにjavascriptでリッスンしてやる?cryptgtraphy key discovery
  • safariもnative massaging採用するのでは?
  • 今は共有コンテナ領域を用いてファイル連携
  • ユーザベースでいうと8割以上がInternet Explorer
  • macOSの対応を遅らせたのはアップデートが秋にあるから、最新OSで動くようにするため
  • JPKI以外の認証局への対応して行く必要
  • APIとして国からドンドン切り出して行く