公的個人認証ict2009

2009/12/09 久留米工業大学ICT講座2009 第４回 1

公的個人認証を知っていますか？公的個人認証を知っていますか？e-Taxe-Taxを実践してわかったことを実践してわかったこと......

佐塚秀人久留米工業大学情報ネットワーク工学科

電子認証局市民ネットワーク福岡

久留米工業大学久留米工業大学ICTICT講座講座20092009


この資料は公開しています● 今日使うスライドは

http://www.slideshare.net/hideto.sazuka/ict2009

で公開しております。


きょうのあらすじ● 電子証明書について● 公的個人認証は都道府県が発行する証明書● 住基カードと公的個人認証● 電子申請・申告について● 税金の申告（e-Tax）体験記


暗号技術と電子認証● 公開鍵暗号技術

● 秘密鍵と公開鍵の鍵ペアを使う暗号技術● 暗号通信にも電子署名にも利用できる● 公開鍵の証明書は電子証明書です


前回の復習??● 共通鍵暗号

● 暗号化と復号に共通の鍵を使う● インターネットでは鍵の共有が課題（難しい）

● 公開鍵暗号● 暗号化と復号に別の鍵を使う（鍵ペア）● 片方を公開することで任意の人と暗号通信が可能● 共通鍵暗号と組み合わせてハイブリッド鍵暗号


公開鍵の公開問題？● 偽物鍵は大問題！

● 公開鍵は相手本人のものであることが重要● 直接手渡しできればいいが不可能なことが多い● 偽物をでなりすましができる● 中間者攻撃（man in the middle attack）が容易にで

きる


Man in the middleの図Aさん Bさん

Cさん

Bさんの鍵と偽ってCさんの公開鍵を渡す

Aさんの鍵と偽ってCさんの公開鍵を渡す

盗聴改ざん


Man in the middle attack● AさんとBさんが暗号通信する● CさんはAさんにBさんの公開鍵ですよといってCさんの

公開鍵を渡す● BさんにもAさんの公開鍵ですよといってCさんの公開

鍵を渡す● AさんはBさんだと信じて送った内容をCさんは盗聴し、

CさんはBさんにAさんのふりをして再送する● AさんもBさんも盗聴や改ざんに気づかない


公開鍵の本人証明が必要● 公開鍵の本人証明が必要● 公開鍵に証明書をつけて公開する● 証明書には電子署名が必要● 電子署名の確認には署名者の公開鍵が必要● その公開鍵の本人証明が必要● いつまでたっても終わらない？


信用の起点を決める● 認証局をつくる● 最後の公開鍵証明書は自己署名とする● ルート証明書として、さまざまな方法で広く公開● 認証局は公開鍵対して本人証明書を発行する


認証局とPKI

公開鍵に証明書を発行

公開鍵証明書に電子署名をして公開

電子署名ファイルを送信


認証局（Certifcate Authority）● 電子証明書を発行する

● 本人確認● 本人情報＋公開鍵⇒電子証明書● 電子証明書に電子署名を行う

● 証明書の失効情報（CRL）の提供● 期限前に失効した証明書の情報を提供する● CRL（Certifcate Revocation List）を署名公開


PKI 公開鍵暗号基盤● 認証局による公開鍵暗号運用の基盤環境● Public Key Infrastructure● 政府のPKIはGPKI● X.509により標準規格化


もう一度、電子証明書とは● 公開鍵の本人証明書

● 自由に公開配布可能● 秘密鍵の所持者とやりとりを保証可能

● 証明書の利用● 電子署名の確認が可能● 暗号送信が可能● 利用者の電子認証（本人確認）が可能


証明書を発行してもらうには● 鍵ペアの作成（秘密鍵＋公開鍵）● 公開鍵と証明情報から発行依頼書（CSR）を作成

● CSR：Certifcate Signing Request● 本人の秘密鍵で署名をしCAに発行依頼する● 秘密鍵は外部には絶対公開せず秘匿する


秘密鍵の保持方法● 簡単には盗めない方法で保持● セキュリティディバイスの利用

● ICセキュリティカード● USBセキュリティディバイス

● ディバイス内部で暗号処理を行う● 外部には秘密鍵を取り出す必要のないディバイス● CPUを内蔵する


ICカードは証明書ではない● ICカードは秘密鍵の機能そのもの● 他人に決して渡してはいけない

● 実際は利用にパスワードなどを必要とする● 電子証明書は公開鍵の証明書のこと（配布可）● ICカードは秘密鍵の保持のためのディバイス● ICカードで身分証明書を兼ねることはできるが...


電子証明書の種類● 個人証明書

● 電子署名● SSL/TLSクライアント証明● メール証明書

● サーバ証明書（SSL/TLSサーバ証明書）● ソフトウェア証明書


証明書の価格● 個人証明書

● 年額数千円〜数万円● サーバ証明書

● 年額数千円〜数百万円● 規模や信頼性による


公的個人認証サービス JPKI● GPKI用の個人認証サービス

● 行政サービス用、個人間目的には使えない● 住民基本台帳ネットワークカードに秘密鍵を入れ

てもらえる● ５００円／３年で安い！● 都道府県が発行

● 福岡県は福岡県知事の電子署名


住民基本台帳カード● 住民基本台帳ネットワークの個人カード● 総務省管轄● カードは市町村が発行（実はカードも異なる）● 非接触式近接型のICカード● 住基ネット機能以外のサービスに利用可能


新旧の住基カード

平成21年４月より


住基カードの機能● 実は多機能カードなのですね


住基カードのセキュリティ● 相互認証機能● パスワード照合● カードロック機能● カードの一時停止措置● 対タンパー機構● 強制アクセス制御機構

● セキュアＩＣカード交付方式

● 輸送鍵の設定● パスワード設定による

カード有効化


GPKIとJPKI● GPKI：政府の各省庁のPKI

● 行政の業務のためのPKI● 省庁ごとに認証局をもち相互認証している

● JPKI：公的個人認証● 個人が行政サービスを受けるためのPKI● 都道府県単位に認証局をもつ● GPKIとは認証局が相互認証している● 個人間での利用は考えていない


ブリッジCAによる相互認証● 日本の認証ネットワークにはルートCAがない● ブリッジCAがCAサーバをSSL認証● CA同士（GPKI, JPKI, ...）が相互認証● JPKIのルートは都道府県のCA

● ルート証明書は県知事の自己署名● JPKIの証明書は県域を超えられない● ブリッジCAは個人には直接は見えない


個人から政府への認証のパス

自己署名自己署名自己署名

自己署名自己署名

相互認証

相互認証相互認証

相互認証

相互認証

相互認証

Z大臣からの署名文書

〇〇省の証明書

Aさん Z大臣

認証のパス

JPKIブリッジCA GPKIブリッジCA

F県CA T都CA 〇〇省CA


個人目的には使えないJPKI● 都道府県単位で他のドメインを辿れない● トップダウンの認証● 証明書を公開できない

● 証明書に個人情報が含まれている– 住所、年齢、性別、本名、...

● 本人の証明はできるがプライバシーは守れない● 結局、行政サービスにしか利用できない


さて、ここからの話● 住基カード発行の話● 公的個人認証、証明書発行の話● カードリーダー・ライターの話● GPKIと電子申請の話● e-Taxを利用した話


まずは住基カードが必要だ● まずはWebで手続きを

確認● Googleで検索して住基

カードのサイトへ● 小郡市のページを次に

みる


小郡市のサイト● 写真は撮ってくれる● 手数料は500円● 証明書は500円● あわせて1,000円● 書式のPDFがある● 書いていけば速い？


発行された住基カード


カードリーダライタ● カードリーダライタを購入する

● 市役所で一覧表をもらった● Amazonで調べた● 価格は千円台からあるが、よくわからない● カードに種類があるらしい


カードの種類● カードのハードは発行市町村ごとに異なる

● コンビ型と非接触型がある● 様々なカードが利用されている（Wikipediaで...）● 推奨のカードリーダ・ライターのリストが提供● しかし、古いものが...● 電極があるものは接触型＝コンビ型？？？● 住基カードTypeI, TypeII ？？？


カードのタイプの結論● すべてのカードは非接触でアクセス可能

● コンビ型は接触型の機器を...は間違い● 以前は間違った情報が提供されていた？？？● 余計な情報を提供するな！

● 住基カード、e-Tax対応と書いてあればOK!● Felicaのカードリーダは違います。兼用型はOK!

● ほとんどのカードはコンビ型です！


振り回されそうな予感● 住基カード：総務省● 発行：市町村● 公的個人認証サービス：都道府県● カードリーダライタ：公的個人認証対応カード

リーダライタ普及推進協議会● e-Tax：国税庁


カードリーダライタ購入● ソニーのFelica兼用 RC-S330を購入● 非接触型（接触型ではFelicaは使えないので）


SONY RC-S330

３千円弱です。


ソフトインストールで混乱● e-Tax対応の書いてあっても詳細説明なし● 住基カード用対応の動作確認ソフトはなし

● 同梱のCDだけではカードの読み書きの認識テストはできない

● CDにはどうもアクティベータしか入っていない● CDのソフトは古く結局ダウンロード

● JPKIサイトに行ってソフトをダウンロード


カードリーダライタまとめ● 非接触式のカードリーダならすべて大丈夫● カード：コンビ型、非接触型● カードリーダライタ：接触型、非接触型、両用型● ソフトウェア：総務省公的個人認証サービスサイ

トで利用者ソフトウェアをダウンロード（メーカ側はドライバのみ）して動作確認


利用者クライアントソフトの入手● 公的個人認証ポータルサイトから入手

http://www.jpki.go.jp/● e-Taxの利用にも必要● Javaで記述● これで動作テスト


利用者クライアントソフトウェア


カードの動作テスト


知事によるルート証明書


個人証明書


有効性の確認後


利用できる行政サービス● e-Gov 電子政府の総合窓口

http://www.e-gov.go.jp/


e-Taxに行こう● またまた別サイトに導かれます


利用開始申請をしなくてはいけない● 利用開始申請の方法

● 開始届出書を管轄の税務署に送付する● オンラインで届け出る

● 利用者識別番号を取得する


はまり道● 開始申請

● Internet Explore 6 or 7でなくてはいけない– おっとIE8β入れちゃってたよ– きっとFirefoxでいけるに違いない（IE8βはきっと×）– ふふふ、俺はPKI詳しいんだ... Firefoxでやってみよう

● ルート証明書入れて...● サイトを開いて、必要事項を入れて送信● 画面には利用者番号が...


印刷不能● Firefoxでもちゃんと利用者番号を取得できた● しかし、印刷機能が動かない● 印刷機能がIE6,7に特化していた● 数値だけなので画面コピーをしてどうにか記録● やはりなめてはいけない


e-Taxソフト● 電子申告の専用ソフトをダウンロード● e-Taxソフト

● さまざなな税金申告ができる（らしい、ようだ）● フォーマットを追加してフォームを作成可能● 電子証明をして送信ができる

● 最初は、ほとんど使い方不明...● 普通の人ならここで十分にやる気がなくなるはず


実はe-Taxソフト不要● 個人の確定申告は確定申告サイトで作成可● e-Taxソフトは不要● 書類の簡単作成サイトで同じように作成可能● e-Taxって何も便利じゃなかったの...● とりあえずデータ作成...署名...送信...


やる気なくなる電子申告● e-Taxはなにも便利ではない

● 書類による申告と申告書作成はなんら変りない– 文書を印刷せず、署名して送信するだけ– 入力の支援などなにもなし...– 医療控除は１件１件手入力...

● 便利？だった点– 間違い後で発見。再送信ができた。– 紙でも送付前に、再印刷するので、同じだっただろうが...


e-Govは、イケてないよ● 仕組みが複雑すぎる● 情報が一元化されていない● 複数のサイトをたらい回しにされる

● 総務省、市役所、住基カードポータル、公的個人認証ポータル、カードメーカサイト、リーダライタ普及推進協議会、国税庁、e-Taxサイト、e-Govサイト、

ついでにWikipedia...


予算削減、廃止● 財務省は電子申請を廃止予定● 公的個人認証新規システム予算削減● わかりやすさを考えていない仕様とシステム● つかいやすいを考えていないソフトウェア

● 政府が提供するソフトなど使えたものではない


最後に● 最後が単なる愚痴ですみません● PKI, GPKIはまだまだ課題が多そうです● 日本のシステムは複雑すぎるようです● 景気が改善されたら再度検討してほしい

公的個人認証ict2009

Education