公的個人認証ict2009
DESCRIPTION
久留米工業大学ICT講座2009の第4回目の講義です。公開鍵暗号基盤の話から、公的個人認証の話、実際に住基カードに証明書を入れて、あーだこーだと面倒でしたという経験談です。TRANSCRIPT
2009/12/09 久留米工業大学ICT講座2009 第4回 1
公的個人認証を知っていますか?公的個人認証を知っていますか?e-Taxe-Taxを実践してわかったことを実践してわかったこと......
佐 塚 秀 人久留米工業大学 情報ネットワーク工学科
電子認証局市民ネットワーク福岡
久留米工業大学久留米工業大学ICTICT講座講座20092009
2009/12/09 久留米工業大学ICT講座2009 第4回 2
この資料は公開しています● 今日使うスライドは
http://www.slideshare.net/hideto.sazuka/ict2009
で公開しております。
2009/12/09 久留米工業大学ICT講座2009 第4回 3
きょうのあらすじ● 電子証明書について● 公的個人認証は都道府県が発行する証明書● 住基カードと公的個人認証● 電子申請・申告について● 税金の申告(e-Tax)体験記
2009/12/09 久留米工業大学ICT講座2009 第4回 4
暗号技術と電子認証● 公開鍵暗号技術
● 秘密鍵と公開鍵の鍵ペアを使う暗号技術● 暗号通信にも電子署名にも利用できる● 公開鍵の証明書は電子証明書です
2009/12/09 久留米工業大学ICT講座2009 第4回 5
前回の復習??● 共通鍵暗号
● 暗号化と復号に共通の鍵を使う● インターネットでは鍵の共有が課題(難しい)
● 公開鍵暗号● 暗号化と復号に別の鍵を使う(鍵ペア)● 片方を公開することで任意の人と暗号通信が可能● 共通鍵暗号と組み合わせてハイブリッド鍵暗号
2009/12/09 久留米工業大学ICT講座2009 第4回 6
公開鍵の公開問題?● 偽物鍵は大問題!
● 公開鍵は相手本人のものであることが重要● 直接手渡しできればいいが不可能なことが多い● 偽物をでなりすましができる● 中間者攻撃(man in the middle attack)が容易にで
きる
2009/12/09 久留米工業大学ICT講座2009 第4回 7
Man in the middleの図Aさん Bさん
Cさん
Bさんの鍵と偽ってCさんの公開鍵を渡す
Aさんの鍵と偽ってCさんの公開鍵を渡す
盗聴改ざん
2009/12/09 久留米工業大学ICT講座2009 第4回 8
Man in the middle attack● AさんとBさんが暗号通信する● CさんはAさんにBさんの公開鍵ですよといってCさんの
公開鍵を渡す● BさんにもAさんの公開鍵ですよといってCさんの公開
鍵を渡す● AさんはBさんだと信じて送った内容をCさんは盗聴し、
CさんはBさんにAさんのふりをして再送する● AさんもBさんも盗聴や改ざんに気づかない
2009/12/09 久留米工業大学ICT講座2009 第4回 9
公開鍵の本人証明が必要● 公開鍵の本人証明が必要● 公開鍵に証明書をつけて公開する● 証明書には電子署名が必要● 電子署名の確認には署名者の公開鍵が必要● その公開鍵の本人証明が必要● いつまでたっても終わらない?
2009/12/09 久留米工業大学ICT講座2009 第4回 10
信用の起点を決める● 認証局をつくる● 最後の公開鍵証明書は自己署名とする● ルート証明書として、さまざまな方法で広く公開● 認証局は公開鍵対して本人証明書を発行する
2009/12/09 久留米工業大学ICT講座2009 第4回 11
認証局とPKI
公開鍵に証明書を発行
公開鍵証明書に電子署名をして公開
電子署名ファイルを送信
2009/12/09 久留米工業大学ICT講座2009 第4回 12
認証局(Certifcate Authority)● 電子証明書を発行する
● 本人確認● 本人情報+公開鍵⇒電子証明書● 電子証明書に電子署名を行う
● 証明書の失効情報(CRL)の提供● 期限前に失効した証明書の情報を提供する● CRL(Certifcate Revocation List)を署名公開
2009/12/09 久留米工業大学ICT講座2009 第4回 13
PKI 公開鍵暗号基盤● 認証局による公開鍵暗号運用の基盤環境● Public Key Infrastructure● 政府のPKIはGPKI● X.509により標準規格化
2009/12/09 久留米工業大学ICT講座2009 第4回 14
もう一度、電子証明書とは● 公開鍵の本人証明書
● 自由に公開配布可能● 秘密鍵の所持者とやりとりを保証可能
● 証明書の利用● 電子署名の確認が可能● 暗号送信が可能● 利用者の電子認証(本人確認)が可能
2009/12/09 久留米工業大学ICT講座2009 第4回 15
証明書を発行してもらうには● 鍵ペアの作成(秘密鍵+公開鍵)● 公開鍵と証明情報から発行依頼書(CSR)を作成
● CSR:Certifcate Signing Request● 本人の秘密鍵で署名をしCAに発行依頼する● 秘密鍵は外部には絶対公開せず秘匿する
2009/12/09 久留米工業大学ICT講座2009 第4回 16
秘密鍵の保持方法● 簡単には盗めない方法で保持● セキュリティディバイスの利用
● ICセキュリティカード● USBセキュリティディバイス
● ディバイス内部で暗号処理を行う● 外部には秘密鍵を取り出す必要のないディバイス● CPUを内蔵する
2009/12/09 久留米工業大学ICT講座2009 第4回 17
ICカードは証明書ではない● ICカードは秘密鍵の機能そのもの● 他人に決して渡してはいけない
● 実際は利用にパスワードなどを必要とする● 電子証明書は公開鍵の証明書のこと(配布可)● ICカードは秘密鍵の保持のためのディバイス● ICカードで身分証明書を兼ねることはできるが...
2009/12/09 久留米工業大学ICT講座2009 第4回 18
電子証明書の種類● 個人証明書
● 電子署名● SSL/TLSクライアント証明● メール証明書
● サーバ証明書(SSL/TLSサーバ証明書)● ソフトウェア証明書
2009/12/09 久留米工業大学ICT講座2009 第4回 19
証明書の価格● 個人証明書
● 年額数千円〜数万円● サーバ証明書
● 年額数千円〜数百万円● 規模や信頼性による
2009/12/09 久留米工業大学ICT講座2009 第4回 20
公的個人認証サービス JPKI● GPKI用の個人認証サービス
● 行政サービス用、個人間目的には使えない● 住民基本台帳ネットワークカードに秘密鍵を入れ
てもらえる● 500円/3年で安い!● 都道府県が発行
● 福岡県は福岡県知事の電子署名
2009/12/09 久留米工業大学ICT講座2009 第4回 21
住民基本台帳カード● 住民基本台帳ネットワークの個人カード● 総務省管轄● カードは市町村が発行(実はカードも異なる)● 非接触式近接型のICカード● 住基ネット機能以外のサービスに利用可能
2009/12/09 久留米工業大学ICT講座2009 第4回 22
新旧の住基カード
平成21年4月より
2009/12/09 久留米工業大学ICT講座2009 第4回 23
住基カードの機能● 実は多機能カードなのですね
2009/12/09 久留米工業大学ICT講座2009 第4回 24
住基カードのセキュリティ● 相互認証機能● パスワード照合● カードロック機能● カードの一時停止措置● 対タンパー機構● 強制アクセス制御機構
● セキュアICカード交付方式
● 輸送鍵の設定● パスワード設定による
カード有効化
2009/12/09 久留米工業大学ICT講座2009 第4回 25
GPKIとJPKI● GPKI:政府の各省庁のPKI
● 行政の業務のためのPKI● 省庁ごとに認証局をもち相互認証している
● JPKI:公的個人認証● 個人が行政サービスを受けるためのPKI● 都道府県単位に認証局をもつ● GPKIとは認証局が相互認証している● 個人間での利用は考えていない
2009/12/09 久留米工業大学ICT講座2009 第4回 26
ブリッジCAによる相互認証● 日本の認証ネットワークにはルートCAがない● ブリッジCAがCAサーバをSSL認証● CA同士(GPKI, JPKI, ...)が相互認証● JPKIのルートは都道府県のCA
● ルート証明書は県知事の自己署名● JPKIの証明書は県域を超えられない● ブリッジCAは個人には直接は見えない
2009/12/09 久留米工業大学ICT講座2009 第4回 27
個人から政府への認証のパス
自己署名自己署名自己署名
自己署名自己署名
相互認証
相互認証相互認証
相互認証
相互認証
相互認証
Z大臣からの署名文書
〇〇省の証明書
Aさん Z大臣
認証のパス
JPKIブリッジCA GPKIブリッジCA
F県CA T都CA 〇〇省CA
2009/12/09 久留米工業大学ICT講座2009 第4回 28
個人目的には使えないJPKI● 都道府県単位で他のドメインを辿れない● トップダウンの認証● 証明書を公開できない
● 証明書に個人情報が含まれている– 住所、年齢、性別、本名、...
● 本人の証明はできるがプライバシーは守れない● 結局、行政サービスにしか利用できない
2009/12/09 久留米工業大学ICT講座2009 第4回 29
さて、ここからの話● 住基カード発行の話● 公的個人認証、証明書発行の話● カードリーダー・ライターの話● GPKIと電子申請の話● e-Taxを利用した話
2009/12/09 久留米工業大学ICT講座2009 第4回 30
まずは住基カードが必要だ● まずはWebで手続きを
確認● Googleで検索して住基
カードのサイトへ● 小郡市のページを次に
みる
2009/12/09 久留米工業大学ICT講座2009 第4回 31
小郡市のサイト● 写真は撮ってくれる● 手数料は500円● 証明書は500円● あわせて1,000円● 書式のPDFがある● 書いていけば速い?
2009/12/09 久留米工業大学ICT講座2009 第4回 32
発行された住基カード
2009/12/09 久留米工業大学ICT講座2009 第4回 33
カードリーダライタ● カードリーダライタを購入する
● 市役所で一覧表をもらった● Amazonで調べた● 価格は千円台からあるが、よくわからない● カードに種類があるらしい
2009/12/09 久留米工業大学ICT講座2009 第4回 34
カードの種類● カードのハードは発行市町村ごとに異なる
● コンビ型と非接触型がある● 様々なカードが利用されている(Wikipediaで...)● 推奨のカードリーダ・ライターのリストが提供● しかし、古いものが...● 電極があるものは接触型=コンビ型???● 住基カードTypeI, TypeII ???
2009/12/09 久留米工業大学ICT講座2009 第4回 35
カードのタイプの結論● すべてのカードは非接触でアクセス可能
● コンビ型は接触型の機器を...は間違い● 以前は間違った情報が提供されていた???● 余計な情報を提供するな!
● 住基カード、e-Tax対応と書いてあればOK!● Felicaのカードリーダは違います。兼用型はOK!
● ほとんどのカードはコンビ型です!
2009/12/09 久留米工業大学ICT講座2009 第4回 36
振り回されそうな予感● 住基カード:総務省● 発行:市町村● 公的個人認証サービス:都道府県● カードリーダライタ:公的個人認証対応カード
リーダライタ普及推進協議会● e-Tax:国税庁
2009/12/09 久留米工業大学ICT講座2009 第4回 37
カードリーダライタ購入● ソニーのFelica兼用 RC-S330を購入● 非接触型(接触型ではFelicaは使えないので)
2009/12/09 久留米工業大学ICT講座2009 第4回 38
SONY RC-S330
3千円弱です。
2009/12/09 久留米工業大学ICT講座2009 第4回 39
ソフトインストールで混乱● e-Tax対応の書いてあっても詳細説明なし● 住基カード用対応の動作確認ソフトはなし
● 同梱のCDだけではカードの読み書きの認識テストはできない
● CDにはどうもアクティベータしか入っていない● CDのソフトは古く結局ダウンロード
● JPKIサイトに行ってソフトをダウンロード
2009/12/09 久留米工業大学ICT講座2009 第4回 40
カードリーダライタまとめ● 非接触式のカードリーダならすべて大丈夫● カード:コンビ型、非接触型● カードリーダライタ:接触型、非接触型、両用型● ソフトウェア:総務省公的個人認証サービスサイ
トで利用者ソフトウェアをダウンロード(メーカ側はドライバのみ)して動作確認
2009/12/09 久留米工業大学ICT講座2009 第4回 41
利用者クライアントソフトの入手● 公的個人認証ポータルサイトから入手
http://www.jpki.go.jp/● e-Taxの利用にも必要● Javaで記述● これで動作テスト
2009/12/09 久留米工業大学ICT講座2009 第4回 42
利用者クライアントソフトウェア
2009/12/09 久留米工業大学ICT講座2009 第4回 43
カードの動作テスト
2009/12/09 久留米工業大学ICT講座2009 第4回 44
知事によるルート証明書
2009/12/09 久留米工業大学ICT講座2009 第4回 45
個人証明書
2009/12/09 久留米工業大学ICT講座2009 第4回 46
有効性の確認後
2009/12/09 久留米工業大学ICT講座2009 第4回 47
利用できる行政サービス● e-Gov 電子政府の総合窓口
http://www.e-gov.go.jp/
2009/12/09 久留米工業大学ICT講座2009 第4回 48
e-Taxに行こう● またまた別サイトに導かれます
2009/12/09 久留米工業大学ICT講座2009 第4回 49
利用開始申請をしなくてはいけない● 利用開始申請の方法
● 開始届出書を管轄の税務署に送付する● オンラインで届け出る
● 利用者識別番号を取得する
2009/12/09 久留米工業大学ICT講座2009 第4回 50
はまり道● 開始申請
● Internet Explore 6 or 7でなくてはいけない– おっとIE8β入れちゃってたよ– きっとFirefoxでいけるに違いない(IE8βはきっと×)– ふふふ、俺はPKI詳しいんだ... Firefoxでやってみよう
● ルート証明書入れて...● サイトを開いて、必要事項を入れて送信● 画面には利用者番号が...
2009/12/09 久留米工業大学ICT講座2009 第4回 51
印刷不能● Firefoxでもちゃんと利用者番号を取得できた● しかし、印刷機能が動かない● 印刷機能がIE6,7に特化していた● 数値だけなので画面コピーをしてどうにか記録● やはりなめてはいけない
2009/12/09 久留米工業大学ICT講座2009 第4回 52
e-Taxソフト● 電子申告の専用ソフトをダウンロード● e-Taxソフト
● さまざなな税金申告ができる(らしい、ようだ)● フォーマットを追加してフォームを作成可能● 電子証明をして送信ができる
● 最初は、ほとんど使い方不明...● 普通の人ならここで十分にやる気がなくなるはず
2009/12/09 久留米工業大学ICT講座2009 第4回 53
実はe-Taxソフト不要● 個人の確定申告は確定申告サイトで作成可● e-Taxソフトは不要● 書類の簡単作成サイトで同じように作成可能● e-Taxって何も便利じゃなかったの...● とりあえずデータ作成...署名...送信...
2009/12/09 久留米工業大学ICT講座2009 第4回 54
やる気なくなる電子申告● e-Taxはなにも便利ではない
● 書類による申告と申告書作成はなんら変りない– 文書を印刷せず、署名して送信するだけ– 入力の支援などなにもなし...– 医療控除は1件1件手入力...
● 便利?だった点– 間違い後で発見。再送信ができた。– 紙でも送付前に、再印刷するので、同じだっただろうが...
2009/12/09 久留米工業大学ICT講座2009 第4回 55
e-Govは、イケてないよ● 仕組みが複雑すぎる● 情報が一元化されていない● 複数のサイトをたらい回しにされる
● 総務省、市役所、住基カードポータル、公的個人認証ポータル、カードメーカサイト、リーダライタ普及推進協議会、国税庁、e-Taxサイト、e-Govサイト、
ついでにWikipedia...
2009/12/09 久留米工業大学ICT講座2009 第4回 56
予算削減、廃止● 財務省は電子申請を廃止予定● 公的個人認証新規システム予算削減● わかりやすさを考えていない仕様とシステム● つかいやすいを考えていないソフトウェア
● 政府が提供するソフトなど使えたものではない
2009/12/09 久留米工業大学ICT講座2009 第4回 57
最後に● 最後が単なる愚痴ですみません● PKI, GPKIはまだまだ課題が多そうです● 日本のシステムは複雑すぎるようです● 景気が改善されたら再度検討してほしい