デジタル証明書の偽造には、デジタル署名を施す私有鍵を盗むか偽造する必要があって、偽造に対する強度は暗号アルゴリズムと鍵のビット数である程度知られているんだろうと思っています。盗む方は…JPKIの場合はちょっと不安があるのかしら…
https://yumetodo.hateblo.jp/entry/2018/02/28/232939
@zundan@mastodon.zunda.ninja えっと。僕は昔、政府に電子申請ができる電子証明書を販売していたことがあるエンジニアなのでPKIについては超専門家です。仕事でGPKIをやっていたと言えば、理解してもらえるだろうか。
携帯の店舗の手続きで、基本4情報の記載されている署名用電子証明書を使って署名、検証、事前に持っているマイナカードの認証局の電子証明書の公開鍵による検証。証明書の有効性確認。という手順は、僕はデジタル庁にお勧めしていません。
個人情報の漏洩の問題ではなくて、政府への税申告など、重要な用途で利用されている問題なのです。政府に申請した文書を改竄されることが問題。一方、利用者用証明書は認証のみである場合が多いのです。
@spinlock ご指摘ありがとうございます!例えば携帯電話会社が店頭で、顧客のマイナンバーカードで本人確認するときには、どのような手順が推奨されているのでしょうか?僕は報道からは読み取れず、公開鍵暗号の特長を生かすなら署名用電子証明書の検証をするしかなさそうだと感じたのでした。
@zundan@mastodon.zunda.ninja 利用者証明書を使って、政府サーバーから住所、氏名を、引っ張り出します。携帯電話会社の店頭なので、政府サーバー以外にアクセスできないようなネットワークの設定が、できるはずなので、比較的安全。これは僕が提案している方法。
@spinlock ありがとうございます。
政府サーバに利用者証明用電子証明書に記載されている発行番号で問い合わせると住所氏名を得られるということですね。この証明書が複製されていないことは、利用者証明書用秘密鍵によるデジタル署名を検証することで確認できそうです。