パスワードを忘れた? アカウント作成
12822433 story
セキュリティ

マイナンバーカードの電子証明書を使ってSSHログインする 38

ストーリー by hylom
使えるのか 部門より

マイナンバーカードには公的個人認証サービスのための電子証明書が格納されていることは公表されているが(総務省の「公的個人認証サービスによる電子証明書」ページ)、これには2048ビットのRSA秘密鍵が使われており、これをSSHログインの際の認証に使うことができるという(AAA Blog:マイナンバーカードでSSHする)。

記事によると、OpenSSHでICカードを使った認証を利用するためのソフトウェアが公開されており、対応ICカードリーダーを使って認証用の公開鍵を取得したり、SSHサーバーから送られたNONCEに対してカード内の秘密鍵で署名して送り返すことで認証を行う、といったことが可能という。ちなみに、証明書の失効情報を得るには総務大臣の認可が必要、だそうだ。認証の際、PIN(数字4桁)の入力は必要となるが、ICカードをかざすだけでログイン認証ができるのは手軽ではある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • こわい (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2016年06月23日 20時01分 (#3034899)

    実験としては面白いけど、他人が生成した鍵をauthorized_keyに入れるのはちょっと怖い

    • by Anonymous Coward on 2016年06月23日 21時21分 (#3034943)

      同意。政府がバックドアを埋め込むことを要求するって話になると怖がるのに政府が生成した秘密鍵を使うのには抵抗がないのか?

      親コメント
      • by Anonymous Coward on 2016年06月23日 21時55分 (#3034966)

        秘密鍵がカードの外にもあるような悪意あるケースよりもPRNGのクオリティがうっかり低いようなケースが不安
        大量に公開鍵を集めれば検証できるでしょうか

        親コメント
      • by Anonymous Coward on 2016年06月24日 0時14分 (#3035033)

        カードの外で秘密鍵を生成して書き込むんじゃなくて、完全にカードの中で生成して物理的に取り出せなくなってるわけでしょ。
        まあ、そのあたりの仕様を公開してもらえないと信用できないってのは同感だが。

        親コメント
      • by Anonymous Coward

        そういったことに活用(悪用)できるほど柔軟な対応が出来る政府ではないような気がします。

        #書いてみてソ連時代のモスクワ駅の切符販売員の話を思い出した。

        • by Anonymous Coward

          発行した秘密鍵とPINコードと住所名前誕生日のセットをなぜかエクセルの台帳に転記していて、
          なぜかうっかりインターネットに公開しちゃったりしちゃう政府だったりしません?

          しかもマイナンバーは漏れていないから大丈夫とか、平気で言っちゃいそうな政府だったりしません?

          • by Anonymous Coward

            「被害は確認されておりません」

  • 電子証明書の有効期間と失効 : 公的個人認証サービス ポータルサイト [jpki.go.jp] より

    電子証明書が失効となる場合 【マイナンバーカード/住民基本台帳カードともに】

    • 電子証明書の失効申請をした場合。
    • 氏名、生年月日、性別、住所 が変更になった場合。
    • 電子証明書の有効期間が満了した場合。

    わたしのマイナンバーカードの電子証明書も既に失効済み。
    住民票にかかる手続きにはマイナンバーカードの提示や暗証番号の入力を求められるにも関わらず、電子証明書に関しては別途申請して新たに取得しなければならないようです。
    あまりにも不便。

    • by Anonymous Coward on 2016年06月23日 20時44分 (#3034929)

      そりゃ証明書の記載事項に住所が含まれてるんだから、住所が変わったら失効させるしかないわな
      再取得の手続きが面倒なのは責められてしかるべきだけど

      # しかし生年月日が変更になった場合ってどういう場合だ

      親コメント
      • by Anonymous Coward on 2016年06月23日 21時12分 (#3034938)

        生年月日が変更になった場合

        今どきはほとんど無いでしょうが、山奥や離島に住んでいて
        申請までに日数がかかってしまった場合や、
        台風や地震などの災害で申請が遅れてしまったりした場合、
        もしくは単純に申請時のミスなどで、本来の誕生日とは異なる日に
        なってしまっている人がごく稀にいらっしゃいます。

        パスポートなども、そういった理由から生年月日を書き換えることがあります。
        もちろん誰にでもできるものではありませんが。

        親コメント
        • なるほど。
          だけどそれは正確には「生年月日が変更になった場合」ではなく、「登録された生年月日が誤っていた場合」あるいは「登録された生年月日を訂正する場合」だな。

          親コメント
          • by Anonymous Coward

            家庭裁判所が戸籍訂正を許可するから、マイナンバーから見ると変更という表現なのかな。

            • by Anonymous Coward on 2016年06月24日 9時09分 (#3035096)

              何らかのミスで弟がいつのまにか戸籍上、三女になってたな、結婚するときになって気が付いたらしい
              このままでは結婚できない!とかw
              間違いとわかるのですぐに訂正してもらえたみたいだけど、男から女に変更した履歴がないのに
              女から男に訂正した履歴が残ってるw

              親コメント
          • by Anonymous Coward

            どんな事情があるにせよ戸籍に記録された生年月日は公的に正しいものとみなされます。
            だから正から正への「変更」であり、不正を正す「訂正」ではないんです。
            (みなす、というのが独特の概念ですが…)

        • by Anonymous Coward on 2016年06月24日 9時49分 (#3035115)

          沖縄のお年寄りには誕生日が不正確に登録されている人が結構います。

          うちの母親の兄弟数人が、みんな同じ誕生日になっているのですごい確率だなと思って聞いてみたら、戦争で戸籍の書類どころか役場の建物も跡形もなく吹っ飛ばされて、役場の人もみんな死んじゃってて、終戦後に戸籍を作り直すときに担当した人がその辺のおっさんがやってて、すごくいい加減だったからだそうな。

          「おまえらこの日でいいな?」とみんな同じ誕生日にされたと。
          たぶん戸籍を作り直した日付。

          親コメント
      • > # しかし生年月日が変更になった場合ってどういう場合だ

        技術的な理由で,単にデータベース上で
        「氏名、生年月日、性別、住所」の組み合わせを primary key として使っている
        という事だと思います

        親コメント
      • by Anonymous Coward

        ふと思ったが、EV SSL証明書は取得したあとに
        登記上の社名や所在地の変更があったときや、合併の継承企業は相手方でEV証明書を保有していた法人は解散のようなことが起きても失効しないのかな?

    • by Anonymous Coward

      住民票を移さなければいいと思ったけど、引っ越しでダメなんですね。
      てか、住民票を移さない=住所が変更ではないのか。

      引っ越しは関係ないのかな?

      関係ないけどウィークリー/マンスリーマンションに数か月住んでいた時NHK来ましたよ。
      NHKの受信料にマイナンバーひもづけろや!

      • 住民票に書かれている所番地=住所
        住所以外に実際に住んでいる所=居所

        なので、住民票動かさずの引っ越しは、住所はそのまま居所の変更となります。

        但し、これらを区別するのは法的な必要がある場合で、日常会話的には居所=住所で使われてますね。
        それに本来は引越し=住所変更なので住民票移動であるべきなようで(要確認)。

        親コメント
      • by Anonymous Coward

        そもそも民法で

        第22条
        各人の生活の本拠をその者の住所とする。

        となってます
        つまり、A県に住んでいるBさんが、C県にある家族の待つ自宅を生活の拠点と言い張り、実際週末ごとに帰宅しているなら、Bさんの住所がC県とすることがあります
        まあ判例は色々ありますけどね

  • どちらかというと公表してほしい方なのだけど。

    マイナンバーカードをリバースエンジニアリングしてよいと書いてない以上
    公表するのは微妙な気がするのですが。

    マイナンバーカードの民間利用は以下ですかね。。

    http://www.soumu.go.jp/kojinbango_card/kojinninshou-02.html [soumu.go.jp]

    • リバースエンジニアリングが、通常操作時の動作観察にとどまる程度なら、問題ないんじゃないでしょうか。
      これがだめなら、○○をしたら動いた、××をしたら動かなかった、というのも問題あることになりかねない。

      ICからプログラムを取り出して何かする場合は、プログラムの著作物に対する著作権法上の問題が生じうるのかもしれません。

      親コメント
    • by Anonymous Coward

      法律に詳しいわけでは無いけど、リバースエンジニアリングの具体的な項目を並べあげた上で、
      それらを禁ずると書かれない限り問題無いでしょう。

  • by Anonymous Coward on 2016年06月23日 19時39分 (#3034885)

    どれくらいの期間は安全なの?

  • 自分のPCのPINの代りというかなんというか、に利用できないかなぁ...

    # gpg-agentのパスフレーズ入力とかなんだけどね

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      パスワードにマイナンバー使うと、流出させた奴に刑事罰問えるね!

      • by Anonymous Coward

        それで罪に問われかねないのは第一にパスワードにマイナンバー使った本人じゃないかと

  • by Anonymous Coward on 2016年06月24日 6時37分 (#3035071)

    文章を見る限り、関連法規を一切チェックしないで公開しちゃってますよね

    会社のサーバーと実名で公開するにしては内容が稚拙するように感じます
    顧問弁護士を使って法的観点でチェックしてもらってから再公開したほうがいいです
    会社の取引先一覧見てみましたが、この件で切られても文句言えませんよ

    あと、公開前のツイッター上でのああいう発言はほんと控えましょうよ

    • by Y-taro (38255) on 2016年06月24日 11時43分 (#3035175)

      それで、法令違反に当たる箇所はどこでしょうか。

      たしかに法では一定の利用制限があって、際どそうなところはあるように思います。

      (署名用電子証明書又は利用者証明用電子証明書の発行の番号の利用制限等)
      第六十三条
       機構、署名検証者等、署名確認者又は利用者証明検証者以外の者は、何人も、業として、署名用電子証明書の発行の番号又は利用者証明用電子証明書の発行の番号の記録されたデータベース(自己以外の者に係る署名用電子証明書の発行の番号又は利用者証明用電子証明書の発行の番号を含む当該自己以外の者に関する情報の集合物であって、それらの情報を電子計算機を用いて検索することができるように体系的に構成したものをいう。以下この項において同じ。)であって、当該データベースに記録された情報が他に提供されることが予定されているものを構成してはならない
      電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律 第63条第1項 [e-gov.go.jp]

      (強調筆者)

      他人、事業、第三者提供、の3つがそろう場合、電子証明書の発行の番号は使えないことになります。
      「利用者証明検証者」とは、記事でいう「証明書の失効情報を得るにはなぜか総務大臣の認可が必要」の認可を受けた者、「電子証明書の発行の番号」とは、記事でいう「認証用証明書のCNは特に意味のないシリアル番号」のことですね。
      違反した場合は、勧告→命令→命令違反に刑事罰、の間接罰に当たります。

      記事では、自宅サーバーでの利用としているものの、自分の利用に限っているかは明らかではなく、また、企業サイト上での記載であることから、事業でないことも明らかではないといえそうです。これらに当たることが明らかともいえませんが。
      しかし、第三者提供については、行おうとしているとも、行われることを求めているともありませんので、これには当たらないでしょう。

      そして、そもそも記事には「今回はSSH認証なので証明書は使いませんでした」とあるので、当然に証明書の番号は使っていないことになり、番号の利用制限には当たらないことになりそうです。

      他方で、読者に向けた法的な注意書きがされていない点についての懸念も生じえますが、記事に沿う限りは適法とみられますし、記事の構成を見る限り、記事の行為が直接に社会で広まること求めるものではなく、総務省に対して環境整備を求めるものに感じます。
      そうすると、法的な注意書きを欠いていることが、法令違反を誘発する要因になるとはいえないように思います。

      親コメント
      • Re: (スコア:0, オフトピック)

        by Anonymous Coward

        法的に見てダメダメなことを書いているのはここです。

        今回はSSH認証なので証明書は使いませんでしたが、証明書の失効情報を得るにはなぜか総務大臣の認可が必要だそうなので証明書の検証が必要な場合は面倒ですが申請するしかないですね。

        総務省へ
        (略)
        本当に個人番号カードを普及させたいのなら、APDU仕様とOCSPレスポンダを公開したほうがよいでしょう。

        「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」に証明書失効情報の提供に関する規定があります。総務大臣の認可が必要なのも同法にて定められています。なので、総務省が勝手に証明書失効情報の提供をすることは違法行為になります。

        • by Y-taro (38255) on 2016年06月25日 0時34分 (#3035652)

          法律・総務省について
          日本は内閣にも法案提出権があり、当該法は、総務省で法案を検討の上で内閣が提出したもので、総務省が所管しています。
          したがって、総務省に対して、法改正について検討を求めることは、立法手続上で間違っていません。
          行為に法令違反が疑われるわけではない点については、共通の認識が得られたようで、よかったです。

          電子証明書について
          クライアント認証には電子証明書が必要かと思いますが、SSH鍵認証で必要なのは公開鍵と秘密鍵のペアであって、電子証明書は必要ないのではないでしょうか。
          電子証明書の発行の番号が無関係である点については、共通の認識が得られたようで、よかったです。

          プロトコルの正しさは知りません。
          公的個人認証は電子証明書を使いますが、記事の行為が電子証明書の内容を参照しないことをもって「証明書は使いません」と言っているのであったとしても、論旨に影響はありません。

          親コメント
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...