Mais conteúdo relacionado
Semelhante a 公的個人認証Ict2009 (20)
公的個人認証Ict2009
- 1. 久留米工業大学ICT講座2009
公的個人認証を知っていますか?
e-Taxを実践してわかったこと...
佐塚秀人
久留米工業大学 情報ネットワーク工学科
電子認証局市民ネットワーク福岡
2009/12/09 久留米工業大学ICT講座2009 第4回 1
- 2. この資料は公開しています
● 今日使うスライドは
http://www.slideshare.net/hideto.sazuka/ict2009
で公開しております。
2009/12/09 久留米工業大学ICT講座2009 第4回 2
- 3. きょうのあらすじ
● 電子証明書について
● 公的個人認証は都道府県が発行する証明書
● 住基カードと公的個人認証
● 電子申請・申告について
● 税金の申告(e-Tax)体験記
2009/12/09 久留米工業大学ICT講座2009 第4回 3
- 4. 暗号技術と電子認証
● 公開鍵暗号技術
● 秘密鍵と公開鍵の鍵ペアを使う暗号技術
● 暗号通信にも電子署名にも利用できる
● 公開鍵の証明書は電子証明書です
2009/12/09 久留米工業大学ICT講座2009 第4回 4
- 5. 前回の復習??
● 共通鍵暗号
● 暗号化と復号に共通の鍵を使う
● インターネットでは鍵の共有が課題(難しい)
● 公開鍵暗号
● 暗号化と復号に別の鍵を使う(鍵ペア)
● 片方を公開することで任意の人と暗号通信が可能
● 共通鍵暗号と組み合わせてハイブリッド鍵暗号
2009/12/09 久留米工業大学ICT講座2009 第4回 5
- 6. 公開鍵の公開問題?
● 偽物鍵は大問題!
● 公開鍵は相手本人のものであることが重要
● 直接手渡しできればいいが不可能なことが多い
● 偽物をでなりすましができる
● 中間者攻撃(man in the middle attack)が容易にで
きる
2009/12/09 久留米工業大学ICT講座2009 第4回 6
- 7. Man in the middleの図
Aさん Bさん
盗聴
改ざん
Bさんの鍵と偽っ Aさんの鍵と偽っ
てCさんの公開鍵 てCさんの公開鍵
を渡す Cさん を渡す
2009/12/09 久留米工業大学ICT講座2009 第4回 7
- 8. Man in the middle attack
● AさんとBさんが暗号通信する
● CさんはAさんにBさんの公開鍵ですよといってCさんの
公開鍵を渡す
● BさんにもAさんの公開鍵ですよといってCさんの公開
鍵を渡す
● AさんはBさんだと信じて送った内容をCさんは盗聴し、
CさんはBさんにAさんのふりをして再送する
● AさんもBさんも盗聴や改ざんに気づかない
2009/12/09 久留米工業大学ICT講座2009 第4回 8
- 9. 公開鍵の本人証明が必要
● 公開鍵の本人証明が必要
● 公開鍵に証明書をつけて公開する
● 証明書には電子署名が必要
● 電子署名の確認には署名者の公開鍵が必要
● その公開鍵の本人証明が必要
● いつまでたっても終わらない?
2009/12/09 久留米工業大学ICT講座2009 第4回 9
- 10. 信用の起点を決める
● 認証局をつくる
● 最後の公開鍵証明書は自己署名とする
● ルート証明書として、さまざまな方法で広く公開
● 認証局は公開鍵対して本人証明書を発行する
2009/12/09 久留米工業大学ICT講座2009 第4回 10
- 11. 認証局とPKI
公開鍵に証 公開鍵証明書
明書を発行 に電子署名を
して公開
電子署名ファイルを送信
2009/12/09 久留米工業大学ICT講座2009 第4回 11
- 12. 認証局(Certifcate Authority)
● 電子証明書を発行する
● 本人確認
● 本人情報+公開鍵⇒電子証明書
● 電子証明書に電子署名を行う
● 証明書の失効情報(CRL)の提供
● 期限前に失効した証明書の情報を提供する
● CRL(Certifcate Revocation List)を署名公開
2009/12/09 久留米工業大学ICT講座2009 第4回 12
- 13. PKI 公開鍵暗号基盤
● 認証局による公開鍵暗号運用の基盤環境
● Public Key Infrastructure
● 政府のPKIはGPKI
● X.509により標準規格化
2009/12/09 久留米工業大学ICT講座2009 第4回 13
- 14. もう一度、電子証明書とは
● 公開鍵の本人証明書
● 自由に公開配布可能
● 秘密鍵の所持者とやりとりを保証可能
● 証明書の利用
● 電子署名の確認が可能
● 暗号送信が可能
● 利用者の電子認証(本人確認)が可能
2009/12/09 久留米工業大学ICT講座2009 第4回 14
- 15. 証明書を発行してもらうには
● 鍵ペアの作成(秘密鍵+公開鍵)
● 公開鍵と証明情報から発行依頼書(CSR)を作成
● CSR:Certifcate Signing Request
● 本人の秘密鍵で署名をしCAに発行依頼する
● 秘密鍵は外部には絶対公開せず秘匿する
2009/12/09 久留米工業大学ICT講座2009 第4回 15
- 16. 秘密鍵の保持方法
● 簡単には盗めない方法で保持
● セキュリティディバイスの利用
● ICセキュリティカード
● USBセキュリティディバイス
● ディバイス内部で暗号処理を行う
● 外部には秘密鍵を取り出す必要のないディバイス
● CPUを内蔵する
2009/12/09 久留米工業大学ICT講座2009 第4回 16
- 17. ICカードは証明書ではない
● ICカードは秘密鍵の機能そのもの
● 他人に決して渡してはいけない
● 実際は利用にパスワードなどを必要とする
● 電子証明書は公開鍵の証明書のこと(配布可)
● ICカードは秘密鍵の保持のためのディバイス
● ICカードで身分証明書を兼ねることはできるが...
2009/12/09 久留米工業大学ICT講座2009 第4回 17
- 18. 電子証明書の種類
● 個人証明書
● 電子署名
● SSL/TLSクライアント証明
● メール証明書
● サーバ証明書(SSL/TLSサーバ証明書)
● ソフトウェア証明書
2009/12/09 久留米工業大学ICT講座2009 第4回 18
- 19. 証明書の価格
● 個人証明書
● 年額数千円〜数万円
● サーバ証明書
● 年額数千円〜数百万円
● 規模や信頼性による
2009/12/09 久留米工業大学ICT講座2009 第4回 19
- 20. 公的個人認証サービス JPKI
● GPKI用の個人認証サービス
● 行政サービス用、個人間目的には使えない
● 住民基本台帳ネットワークカードに秘密鍵を入れ
てもらえる
● 500円/3年で安い!
● 都道府県が発行
● 福岡県は福岡県知事の電子署名
2009/12/09 久留米工業大学ICT講座2009 第4回 20
- 21. 住民基本台帳カード
● 住民基本台帳ネットワークの個人カード
● 総務省管轄
● カードは市町村が発行(実はカードも異なる)
● 非接触式近接型のICカード
● 住基ネット機能以外のサービスに利用可能
2009/12/09 久留米工業大学ICT講座2009 第4回 21
- 23. 住基カードの機能
● 実は多機能カードなのですね
2009/12/09 久留米工業大学ICT講座2009 第4回 23
- 24. 住基カードのセキュリティ
● 相互認証機能 ● セキュアICカード交
● パスワード照合 付方式
● カードロック機能
● 輸送鍵の設定
● カードの一時停止措置
● パスワード設定による
カード有効化
● 対タンパー機構
● 強制アクセス制御機構
2009/12/09 久留米工業大学ICT講座2009 第4回 24
- 25. GPKIとJPKI
● GPKI:政府の各省庁のPKI
● 行政の業務のためのPKI
● 省庁ごとに認証局をもち相互認証している
● JPKI:公的個人認証
● 個人が行政サービスを受けるためのPKI
● 都道府県単位に認証局をもつ
● GPKIとは認証局が相互認証している
● 個人間での利用は考えていない第4回
2009/12/09 久留米工業大学ICT講座2009 25
- 26. ブリッジCAによる相互認証
● 日本の認証ネットワークにはルートCAがない
● ブリッジCAがCAサーバをSSL認証
● CA同士(GPKI, JPKI, ...)が相互認証
● JPKIのルートは都道府県のCA
● ルート証明書は県知事の自己署名
● JPKIの証明書は県域を超えられない
● ブリッジCAは個人には直接は見えない
2009/12/09 久留米工業大学ICT講座2009 第4回 26
- 27. 個人から政府への認証のパス
認証のパス
自己署名 自己署名
相互認証
JPKIブリッジCA GPKIブリッジCA
相互認証 相互認証 相互認証
自己署名 自己署名
自己署名
F県CA T都CA 〇〇省CA
相互認証 相互認証
〇〇省の証明書
Aさん Z大臣
Z大臣からの署名文書
2009/12/09 久留米工業大学ICT講座2009 第4回 27
- 28. 個人目的には使えないJPKI
● 都道府県単位で他のドメインを辿れない
● トップダウンの認証
● 証明書を公開できない
● 証明書に個人情報が含まれている
– 住所、年齢、性別、本名、...
● 本人の証明はできるがプライバシーは守れない
● 結局、行政サービスにしか利用できない
2009/12/09 久留米工業大学ICT講座2009 第4回 28
- 29. さて、ここからの話
● 住基カード発行の話
● 公的個人認証、証明書発行の話
● カードリーダー・ライターの話
● GPKIと電子申請の話
● e-Taxを利用した話
2009/12/09 久留米工業大学ICT講座2009 第4回 29
- 30. まずは住基カードが必要だ
● まずはWebで手続きを
確認
● Googleで検索して住基
カードのサイトへ
● 小郡市のページを次に
みる
2009/12/09 久留米工業大学ICT講座2009 第4回 30
- 31. 小郡市のサイト
● 写真は撮ってくれる
● 手数料は500円
● 証明書は500円
● あわせて1,000円
● 書式のPDFがある
● 書いていけば速い?
2009/12/09 久留米工業大学ICT講座2009 第4回 31
- 33. カードリーダライタ
● カードリーダライタを購入する
● 市役所で一覧表をもらった
● Amazonで調べた
● 価格は千円台からあるが、よくわからない
● カードに種類があるらしい
2009/12/09 久留米工業大学ICT講座2009 第4回 33
- 34. カードの種類
● カードのハードは発行市町村ごとに異なる
● コンビ型と非接触型がある
● 様々なカードが利用されている(Wikipediaで...)
● 推奨のカードリーダ・ライターのリストが提供
● しかし、古いものが...
● 電極があるものは接触型=コンビ型???
● 住基カードTypeI, TypeII ???
2009/12/09 久留米工業大学ICT講座2009 第4回 34
- 35. カードのタイプの結論
● すべてのカードは非接触でアクセス可能
● コンビ型は接触型の機器を...は間違い
● 以前は間違った情報が提供されていた???
● 余計な情報を提供するな!
● 住基カード、e-Tax対応と書いてあればOK!
● Felicaのカードリーダは違います。兼用型はOK!
● ほとんどのカードはコンビ型です!
2009/12/09 久留米工業大学ICT講座2009 第4回 35
- 36. 振り回されそうな予感
● 住基カード:総務省
● 発行:市町村
● 公的個人認証サービス:都道府県
● カードリーダライタ:公的個人認証対応カード
リーダライタ普及推進協議会
● e-Tax:国税庁
2009/12/09 久留米工業大学ICT講座2009 第4回 36
- 37. カードリーダライタ購入
● ソニーのFelica兼用 RC-S330を購入
● 非接触型(接触型ではFelicaは使えないので)
2009/12/09 久留米工業大学ICT講座2009 第4回 37
- 39. ソフトインストールで混乱
● e-Tax対応の書いてあっても詳細説明なし
● 住基カード用対応の動作確認ソフトはなし
● 同梱のCDだけではカードの読み書きの認識テストはで
きない
● CDにはどうもアクティベータしか入っていない
● CDのソフトは古く結局ダウンロード
● JPKIサイトに行ってソフトをダウンロード
2009/12/09 久留米工業大学ICT講座2009 第4回 39
- 40. カードリーダライタまとめ
● 非接触式のカードリーダならすべて大丈夫
● カード:コンビ型、非接触型
● カードリーダライタ:接触型、非接触型、両用型
● ソフトウェア:総務省公的個人認証サービスサイ
トで利用者ソフトウェアをダウンロード(メーカ
側はドライバのみ)して動作確認
2009/12/09 久留米工業大学ICT講座2009 第4回 40
- 41. 利用者クライアントソフトの入手
● 公的個人認証ポータルサイトから入手
http://www.jpki.go.jp/
● e-Taxの利用にも必要
● Javaで記述
● これで動作テスト
2009/12/09 久留米工業大学ICT講座2009 第4回 41
- 47. 利用できる行政サービス
● e-Gov 電子政府の総合窓口
http://www.e-gov.go.jp/
2009/12/09 久留米工業大学ICT講座2009 第4回 47
- 48. e-Taxに行こう
● またまた別サイトに導かれます
2009/12/09 久留米工業大学ICT講座2009 第4回 48
- 49. 利用開始申請をしなくてはいけない
● 利用開始申請の方法
● 開始届出書を管轄の税務署に送付する
● オンラインで届け出る
● 利用者識別番号を取得する
2009/12/09 久留米工業大学ICT講座2009 第4回 49
- 50. はまり道
● 開始申請
● Internet Explore 6 or 7でなくてはいけない
– おっとIE8β入れちゃってたよ
– きっとFirefoxでいけるに違いない(IE8βはきっと×)
– ふふふ、俺はPKI詳しいんだ... Firefoxでやってみよう
● ルート証明書入れて...
● サイトを開いて、必要事項を入れて送信
● 画面には利用者番号が...
2009/12/09 久留米工業大学ICT講座2009 第4回 50
- 51. 印刷不能
● Firefoxでもちゃんと利用者番号を取得できた
● しかし、印刷機能が動かない
● 印刷機能がIE6,7に特化していた
● 数値だけなので画面コピーをしてどうにか記録
● やはりなめてはいけない
2009/12/09 久留米工業大学ICT講座2009 第4回 51
- 52. e-Taxソフト
● 電子申告の専用ソフトをダウンロード
● e-Taxソフト
● さまざなな税金申告ができる(らしい、ようだ)
● フォーマットを追加してフォームを作成可能
● 電子証明をして送信ができる
● 最初は、ほとんど使い方不明...
● 普通の人ならここで十分にやる気がなくなるはず
2009/12/09 久留米工業大学ICT講座2009 第4回 52
- 53. 実はe-Taxソフト不要
● 個人の確定申告は確定申告サイトで作成可
● e-Taxソフトは不要
● 書類の簡単作成サイトで同じように作成可能
● e-Taxって何も便利じゃなかったの...
● とりあえずデータ作成...署名...送信...
2009/12/09 久留米工業大学ICT講座2009 第4回 53
- 54. やる気なくなる電子申告
● e-Taxはなにも便利ではない
● 書類による申告と申告書作成はなんら変りない
– 文書を印刷せず、署名して送信するだけ
– 入力の支援などなにもなし...
– 医療控除は1件1件手入力...
● 便利?だった点
– 間違い後で発見。再送信ができた。
– 紙でも送付前に、再印刷するので、同じだっただろうが...
2009/12/09 久留米工業大学ICT講座2009 第4回 54
- 55. e-Govは、イケてないよ
● 仕組みが複雑すぎる
● 情報が一元化されていない
● 複数のサイトをたらい回しにされる
● 総務省、市役所、 住基カードポータル、 公的個人認証ポー
タル、カードメーカサイト、リーダライタ普及推進協議
会、国税庁、e-Taxサイト、e-Govサイト、
ついでにWikipedia...
2009/12/09 久留米工業大学ICT講座2009 第4回 55
- 56. 予算削減、廃止
● 財務省は電子申請を廃止予定
● 公的個人認証新規システム予算削減
● わかりやすさを考えていない仕様とシステム
● つかいやすいを考えていないソフトウェア
● 政府が提供するソフトなど使えたものではない
2009/12/09 久留米工業大学ICT講座2009 第4回 56
- 57. 最後に
● 最後が単なる愚痴ですみません
● PKI, GPKIはまだまだ課題が多そうです
● 日本のシステムは複雑すぎるようです
● 景気が改善されたら再度検討してほしい
2009/12/09 久留米工業大学ICT講座2009 第4回 57