ざっと眺めてみても、マイナンバーカードに記録されてるだろう私有鍵が個人認証に使われるかどうかはっきりしないんだよな。「電子証明書」が、認証対象の個人情報と公開鍵と、それに認証局が私有鍵でデジタル署名したものだと思うと、認証局の公開鍵で内容が改ざんされていないことを検証できるし、失効リストやレスポンダで有効性の確認もできるんだけど、「電子証明書」がコピーされていないことの検証はできないよね。
「電子証明書」に私有鍵も含まれるなら、検証の過程でマイナンバーカードに例えば乱数へのデジタル署名をさせることによって、公開鍵に対応する私有鍵があることを、マイナンバーカードから私有鍵を取り出さずに検証できるよね。
公的個人認証サービス(JPKI)|デジタル庁 https://www.digital.go.jp/policies/mynumber/private-business/jpki-introduction#guidance5
未だにマイナンバーカードによるSIMスワップ(SIMの再発行による携帯電話番号の第三者による乗っ取り)帽子について考えています。総務省によるPDF https://www.soumu.go.jp/main_content/000528384.pdf を眺めると、民間サービスの例として「携帯電話購入に必要な本人確認時にカード利用(電子署名)」する応用としてSIMの再発行時の第三者によるなりすましの抑制が上げられるのかもしれない。んだけど、利点が「申込書の自動作成が可能となり、顧客の記載ミス防止や対応時間短縮」となっていて、それだけ?って。
なお、上記の例ではたぶんマイナンバーカードに格納されている署名用電子証明書が使われることになるのだろう。署名の対象とする文書が何なのかはっきりはしないのだけれど、デジタル署名がおこなれるのならば、私有鍵のコピーは難しいはずなので、公的個人認証の強度はマイナンバーカードの物理的な盗難と暗証番号の窃取の困難さで制限されることになりそう。SIMの再発行時の本人確認に署名用電子証明書を利用せず券面に記録されている情報のみを検証する場合には、公開情報が充分あれば適当な暗証番号でマイナンバーカードを偽造することができそう。
マイナンバーカードの語彙では電子証明書に私有鍵(秘密鍵)が含まれるみたいなのでちょっと混乱するね。上記PDFより、
- 署名用電子証明書には、
- 基本4情報(氏名、生年月日、性別、住所)、
- 発行番号、発行年月日、有効期間、発行者、
- 署名用秘密鍵が、
- 利用者証明用電子証明書には、
- 発行番号、発行年月日、有効期間、発行者、
- 利用者証明用秘密鍵が、
含まれるみたい。それぞれの証明書に署名用公開鍵と利用者証明用公開鍵も対になっているのだけれど、資料からは公開鍵が電子証明書に含まれるのかどうかわからなかった。
このPDFの6ページ (表紙を含めて7ページ)の、「署名用電子証明書の仕組み」は (1) マイナンバーカードに格納する秘密鍵で文書を暗号化 した内容を、(3) 発信者から送信された公開鍵で暗号化された文書を復号 (4) 文書本体と突合し改ざんの有無を検知 って書いてある手順は、文書を暗号化したいのではなくてデジタル署名を検証したいのだろうけれども、むっちゃRSAに依存した書き方になってるんよねしょんぼり
マイナンバーカードの署名用電子証明書に住所が含まれてるのやっぱりなんだか納得できないよなあ…
@zundan ダジャレを検出しました(検出ワード: ショウ, ショメイ, ショ, ハッコウ, ショメイ, ショ, ギゾウ, ショメイ, ショ)
@zundan ダジャレを検出しました(検出ワード: ショメイ, ヨウ, ショ, カギ, シャ)
@zundan ダジャレを検出しました(検出ワード: ショメイ, ショ)