マイナンバーカードの電子証明書を使ってSSHログインする 38
ストーリー by hylom
使えるのか 部門より
使えるのか 部門より
マイナンバーカードには公的個人認証サービスのための電子証明書が格納されていることは公表されているが(総務省の「公的個人認証サービスによる電子証明書」ページ)、これには2048ビットのRSA秘密鍵が使われており、これをSSHログインの際の認証に使うことができるという(AAA Blog:マイナンバーカードでSSHする)。
記事によると、OpenSSHでICカードを使った認証を利用するためのソフトウェアが公開されており、対応ICカードリーダーを使って認証用の公開鍵を取得したり、SSHサーバーから送られたNONCEに対してカード内の秘密鍵で署名して送り返すことで認証を行う、といったことが可能という。ちなみに、証明書の失効情報を得るには総務大臣の認可が必要、だそうだ。認証の際、PIN(数字4桁)の入力は必要となるが、ICカードをかざすだけでログイン認証ができるのは手軽ではある。
こわい (スコア:3, すばらしい洞察)
実験としては面白いけど、他人が生成した鍵をauthorized_keyに入れるのはちょっと怖い
Re:こわい (スコア:1)
同意。政府がバックドアを埋め込むことを要求するって話になると怖がるのに政府が生成した秘密鍵を使うのには抵抗がないのか?
Re:こわい (スコア:1)
秘密鍵がカードの外にもあるような悪意あるケースよりもPRNGのクオリティがうっかり低いようなケースが不安
大量に公開鍵を集めれば検証できるでしょうか
Re:こわい (スコア:1)
カードの外で秘密鍵を生成して書き込むんじゃなくて、完全にカードの中で生成して物理的に取り出せなくなってるわけでしょ。
まあ、そのあたりの仕様を公開してもらえないと信用できないってのは同感だが。
Re: (スコア:0)
そういったことに活用(悪用)できるほど柔軟な対応が出来る政府ではないような気がします。
#書いてみてソ連時代のモスクワ駅の切符販売員の話を思い出した。
Re: (スコア:0)
発行した秘密鍵とPINコードと住所名前誕生日のセットをなぜかエクセルの台帳に転記していて、
なぜかうっかりインターネットに公開しちゃったりしちゃう政府だったりしません?
しかもマイナンバーは漏れていないから大丈夫とか、平気で言っちゃいそうな政府だったりしません?
Re: (スコア:0)
「被害は確認されておりません」
引っ越したら失効する不便な電子証明書 (スコア:3)
電子証明書が失効となる場合 【マイナンバーカード/住民基本台帳カードともに】
わたしのマイナンバーカードの電子証明書も既に失効済み。
住民票にかかる手続きにはマイナンバーカードの提示や暗証番号の入力を求められるにも関わらず、電子証明書に関しては別途申請して新たに取得しなければならないようです。
あまりにも不便。
Re:引っ越したら失効する不便な電子証明書 (スコア:1)
そりゃ証明書の記載事項に住所が含まれてるんだから、住所が変わったら失効させるしかないわな
再取得の手続きが面倒なのは責められてしかるべきだけど
# しかし生年月日が変更になった場合ってどういう場合だ
Re:引っ越したら失効する不便な電子証明書 (スコア:4, 参考になる)
生年月日が変更になった場合
今どきはほとんど無いでしょうが、山奥や離島に住んでいて
申請までに日数がかかってしまった場合や、
台風や地震などの災害で申請が遅れてしまったりした場合、
もしくは単純に申請時のミスなどで、本来の誕生日とは異なる日に
なってしまっている人がごく稀にいらっしゃいます。
パスポートなども、そういった理由から生年月日を書き換えることがあります。
もちろん誰にでもできるものではありませんが。
Re:引っ越したら失効する不便な電子証明書 (スコア:1)
なるほど。
だけどそれは正確には「生年月日が変更になった場合」ではなく、「登録された生年月日が誤っていた場合」あるいは「登録された生年月日を訂正する場合」だな。
Re: (スコア:0)
家庭裁判所が戸籍訂正を許可するから、マイナンバーから見ると変更という表現なのかな。
Re:引っ越したら失効する不便な電子証明書 (スコア:1)
何らかのミスで弟がいつのまにか戸籍上、三女になってたな、結婚するときになって気が付いたらしい
このままでは結婚できない!とかw
間違いとわかるのですぐに訂正してもらえたみたいだけど、男から女に変更した履歴がないのに
女から男に訂正した履歴が残ってるw
Re: (スコア:0)
どんな事情があるにせよ戸籍に記録された生年月日は公的に正しいものとみなされます。
だから正から正への「変更」であり、不正を正す「訂正」ではないんです。
(みなす、というのが独特の概念ですが…)
Re:引っ越したら失効する不便な電子証明書 (スコア:1)
まあ、そうしないと前の状態の時になされた契約とかが誤った状態の時の物となって困ったことになるものな
Re:引っ越したら失効する不便な電子証明書 (スコア:1)
沖縄のお年寄りには誕生日が不正確に登録されている人が結構います。
うちの母親の兄弟数人が、みんな同じ誕生日になっているのですごい確率だなと思って聞いてみたら、戦争で戸籍の書類どころか役場の建物も跡形もなく吹っ飛ばされて、役場の人もみんな死んじゃってて、終戦後に戸籍を作り直すときに担当した人がその辺のおっさんがやってて、すごくいい加減だったからだそうな。
「おまえらこの日でいいな?」とみんな同じ誕生日にされたと。
たぶん戸籍を作り直した日付。
Re:引っ越したら失効する不便な電子証明書 (スコア:1)
> # しかし生年月日が変更になった場合ってどういう場合だ
技術的な理由で,単にデータベース上で
「氏名、生年月日、性別、住所」の組み合わせを primary key として使っている
という事だと思います
Re: (スコア:0)
ふと思ったが、EV SSL証明書は取得したあとに
登記上の社名や所在地の変更があったときや、合併の継承企業は相手方でEV証明書を保有していた法人は解散のようなことが起きても失効しないのかな?
Re:引っ越したら失効する不便な電子証明書 (スコア:1)
SSLは証明書の失効を申請することができます
申請すると「証明書失効リスト(CRL)」に登録されます。
ブラウザなどはこのリストを適宜確認することで
失効した証明書を悪用したイタズラが回避できるような仕組みになっています。
http://www.infraexpert.com/study/sslserver13.html [infraexpert.com]
Re: (スコア:0)
CRLの取得に承認が必要って、失効のタイミングに情報が含まれるからなんだろうな
例えば転居していないかチェックできてしまうから
Re: (スコア:0)
住民票を移さなければいいと思ったけど、引っ越しでダメなんですね。
てか、住民票を移さない=住所が変更ではないのか。
引っ越しは関係ないのかな?
関係ないけどウィークリー/マンスリーマンションに数か月住んでいた時NHK来ましたよ。
NHKの受信料にマイナンバーひもづけろや!
Re:引っ越したら失効する不便な電子証明書 (スコア:1)
住民票に書かれている所番地=住所
住所以外に実際に住んでいる所=居所
なので、住民票動かさずの引っ越しは、住所はそのまま居所の変更となります。
但し、これらを区別するのは法的な必要がある場合で、日常会話的には居所=住所で使われてますね。
それに本来は引越し=住所変更なので住民票移動であるべきなようで(要確認)。
Re: (スコア:0)
そもそも民法で
となってます
つまり、A県に住んでいるBさんが、C県にある家族の待つ自宅を生活の拠点と言い張り、実際週末ごとに帰宅しているなら、Bさんの住所がC県とすることがあります
まあ判例は色々ありますけどね
リバースエンジニアリングの結果を公表していいんだっけ? (スコア:2)
どちらかというと公表してほしい方なのだけど。
マイナンバーカードをリバースエンジニアリングしてよいと書いてない以上
公表するのは微妙な気がするのですが。
マイナンバーカードの民間利用は以下ですかね。。
http://www.soumu.go.jp/kojinbango_card/kojinninshou-02.html [soumu.go.jp]
Re:リバースエンジニアリングの結果を公表していいんだっけ? (スコア:2)
リバースエンジニアリングが、通常操作時の動作観察にとどまる程度なら、問題ないんじゃないでしょうか。
これがだめなら、○○をしたら動いた、××をしたら動かなかった、というのも問題あることになりかねない。
ICからプログラムを取り出して何かする場合は、プログラムの著作物に対する著作権法上の問題が生じうるのかもしれません。
Re: (スコア:0)
法律に詳しいわけでは無いけど、リバースエンジニアリングの具体的な項目を並べあげた上で、
それらを禁ずると書かれない限り問題無いでしょう。
2048って (スコア:1)
どれくらいの期間は安全なの?
Re:2048って (スコア:2, 参考になる)
実質あと10年なのでそんなに長くはないかなという感じ。
(もちろん見込みなので何らかの要因で劇的に短くなる可能性アリ)
Re:2048って (スコア:4, 参考になる)
マイナンバーカードの有効期限自体が長くても10年 (Q3-13) [cas.go.jp] なので、特に問題は無いでしょうね。
直接鍵は入れないにしても (スコア:1)
自分のPCのPINの代りというかなんというか、に利用できないかなぁ...
# gpg-agentのパスフレーズ入力とかなんだけどね
M-FalconSky (暑いか寒い)
!ひらめいた (スコア:0)
パスワードにマイナンバー使うと、流出させた奴に刑事罰問えるね!
Re: (スコア:0)
それで罪に問われかねないのは第一にパスワードにマイナンバー使った本人じゃないかと
コンプライアンス? (スコア:1)
文章を見る限り、関連法規を一切チェックしないで公開しちゃってますよね
会社のサーバーと実名で公開するにしては内容が稚拙するように感じます
顧問弁護士を使って法的観点でチェックしてもらってから再公開したほうがいいです
会社の取引先一覧見てみましたが、この件で切られても文句言えませんよ
あと、公開前のツイッター上でのああいう発言はほんと控えましょうよ
Re:コンプライアンス? (スコア:4, 参考になる)
それで、法令違反に当たる箇所はどこでしょうか。
たしかに法では一定の利用制限があって、際どそうなところはあるように思います。
(強調筆者)
他人、事業、第三者提供、の3つがそろう場合、電子証明書の発行の番号は使えないことになります。
「利用者証明検証者」とは、記事でいう「証明書の失効情報を得るにはなぜか総務大臣の認可が必要」の認可を受けた者、「電子証明書の発行の番号」とは、記事でいう「認証用証明書のCNは特に意味のないシリアル番号」のことですね。
違反した場合は、勧告→命令→命令違反に刑事罰、の間接罰に当たります。
記事では、自宅サーバーでの利用としているものの、自分の利用に限っているかは明らかではなく、また、企業サイト上での記載であることから、事業でないことも明らかではないといえそうです。これらに当たることが明らかともいえませんが。
しかし、第三者提供については、行おうとしているとも、行われることを求めているともありませんので、これには当たらないでしょう。
そして、そもそも記事には「今回はSSH認証なので証明書は使いませんでした」とあるので、当然に証明書の番号は使っていないことになり、番号の利用制限には当たらないことになりそうです。
他方で、読者に向けた法的な注意書きがされていない点についての懸念も生じえますが、記事に沿う限りは適法とみられますし、記事の構成を見る限り、記事の行為が直接に社会で広まること求めるものではなく、総務省に対して環境整備を求めるものに感じます。
そうすると、法的な注意書きを欠いていることが、法令違反を誘発する要因になるとはいえないように思います。
Re: (スコア:0, オフトピック)
法的に見てダメダメなことを書いているのはここです。
「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」に証明書失効情報の提供に関する規定があります。総務大臣の認可が必要なのも同法にて定められています。なので、総務省が勝手に証明書失効情報の提供をすることは違法行為になります。
Re:コンプライアンス? (スコア:3)
法律・総務省について
日本は内閣にも法案提出権があり、当該法は、総務省で法案を検討の上で内閣が提出したもので、総務省が所管しています。
したがって、総務省に対して、法改正について検討を求めることは、立法手続上で間違っていません。
行為に法令違反が疑われるわけではない点については、共通の認識が得られたようで、よかったです。
電子証明書について
クライアント認証には電子証明書が必要かと思いますが、SSH鍵認証で必要なのは公開鍵と秘密鍵のペアであって、電子証明書は必要ないのではないでしょうか。
電子証明書の発行の番号が無関係である点については、共通の認識が得られたようで、よかったです。
プロトコルの正しさは知りません。
公的個人認証は電子証明書を使いますが、記事の行為が電子証明書の内容を参照しないことをもって「証明書は使いません」と言っているのであったとしても、論旨に影響はありません。