パスワードを忘れた? アカウント作成
13895862 story
セキュリティ

外務省、公開鍵の情報公開請求を拒否する 365

ストーリー by hylom
公開されているのに公開されない不思議 部門より
あるAnonymous Coward曰く、

マイナンバーカードの読み出しライブラリを開発したことで知られるOSSTechの濱野司氏によると、パスポートの真正確認アプリを開発するため外務省に対しCSCA証明書(公開鍵)の情報公開請求を行ったところ、安全性及び国際慣行上の理由で不開示の決定を下されたとのこと(AAA Blog)。

しかし、公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もないという。最終的にはドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出すことで無事アプリを開発できたとのことだが、日本のPKIはどこへ向かっているのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年04月25日 19時32分 (#3605921)

    https://note.mu/note_s/n/nf501174502fa [note.mu]
    ・外務省の不開示決定
    ・IPA認証PP及び同解説
    ・ICAO Doc 9303 第6版 (2006)
    ・ICAO Doc 9303 第7版 (2015)
    ・公開済みのCSCA証明書
    ・外務省 公文書監理室
    ・外務省 旅券課
    ・情報公開法
    一通りすべてに触れたまとめ

  • by Anonymous Coward on 2019年04月25日 18時49分 (#3605869)

    公開鍵暗号方式ってのはその技術の名前であって、公開しなきゃならないって意味じゃないよね。
    技術者のくせに、技術の方式と制度を混同しているイタい人がいるってだけじゃ無い?

    例えば、どこかの会社が、自社の装置に公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵は公開される必要はないよね。機能的にその必要は無い。
    そして、その鍵を公開するかどうかはその会社の専権事項だし、決める権利もある。
    もちろんそれは公開した事による問題が発生したら責任をとると言うことと表裏一体なわけだけども。だから「公開したからにはサポートをしろ」というような輩にも対応する義務が発生するし、今の技術ではゼロではないと言うレベルのリスクを懸念して公開しないのも通常の話。

    今回もそう言う話だよね。

    外務省が、パスポートに公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵を公開する必要はないよね。パスポートという機能からはその必要は無い。どっかのオッサンが売名行為だかなんだかしらんがアプリを作るってのはパスポートと言う仕組みの機能ではない。
    公開非公開の基準は責任と表裏一体だから、その職権の範疇で決める権限があるし、その責任は取ることになるのだから、その範囲での決定としては何の問題も無いでしょう。

    どっかのオッサンが「公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もない」と盲信していることを外務省が鵜呑みにして、何かの時に問題が発生しても、どっかのオッサンが責任を取ってくれる訳でもないのだから、外務省の判断は当然。

    最近こういう例は非常に多いと思う。
    こういう人がいると、技術者と言うだけで「相手を突然一方的に罵倒する頭がおかしい人」って扱いになるので勘弁して欲しい。

    • by Anonymous Coward on 2019年04月25日 19時49分 (#3605946)

      技術の方式と制度を混同しているイタい人って親コメのことじゃん。

      「公開鍵だから公開しても問題はない」とは言ったけど、
      「公開鍵だから公開しなきゃならない」なんて言ってないよ。
      「行政文書だから公開しなきゃならない」って言ってるんだよ。

      親コメント
      • じゃあ、「行政文書」として公開してまえばいいよね。
        鍵部分は、セキュリティを理由にして黒塗りにしとけば、形式的には文句も言えないやろし。

        セキュリティの問題は絶対にあり得ない、という主張は正しくないので、拒絶してよし。解決!

        親コメント
    • by Anonymous Coward on 2019年04月25日 18時50分 (#3605871)

      批判したいがために内容になってますよね

      親コメント
  • 大臣のスケジュールがすぐさま廃棄されたり、国民に知らせる気はないってこった。
    何か問題が起こっても責任を痛感してます、だけで済ませて支持率も下がらないし、
    政権交代可能な野党も育ってないし、まさしくやりたい放題

    とりあえずネット工作には余念がないようなのはこのスレッドを見てもわかるがw

  • by Anonymous Coward on 2019年04月25日 18時58分 (#3605882)

    そりゃ公開鍵は公開しても構わないから公開鍵なわけだが、鍵の取り扱い方法によっては誤って秘密鍵を公開してしまうミスはあり得る。
    単純に公開鍵・秘密鍵双方の管理者が一人で、アクセス権限としても分かれていないなら公開鍵の公開はある程度リスキーだ。
    情報公開は外国籍でも可能だしかなりの量請求される事もある。
    「~に関する情報全て」のような請求方法はよくある事だし。
    別々の場所で別々の人が管理している公開鍵を何万件と請求されれば、ミスによっていくつかの秘密鍵が公開されるという事は十二分に考えられるだろう。

    実際に過去に何度か黒塗りのミスは起きている。
    本件の場合はミスがもたらす結果が重大過ぎる上、別チャンネルで既に公開されている情報でもある。

    そう考えるとセキュリティーとしては予備的に公開鍵に対するアクセスを制限するというのはあり得る。
    問題はそれが情報公開法での規定(行政機関の保有する情報の公開に関する法律 第五条 3号4号6号)に合致するかだろう。引用すると

    三 公にすることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあると行政機関の長が認めることにつき相当の理由がある情報
    四 公にすることにより、犯罪の予防、鎮圧又は捜査、公訴の維持、刑の執行その他の公共の安全と秩序の維持に支障を及ぼすおそれがあると行政機関の長が認めることにつき相当の理由がある情報
    六 国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業に関する情報であって、公にすることにより、次に掲げるおそれその他当該事務又は事業の性質上、当該事務又は事業の適正な遂行に支障を及ぼすおそれがあるもの

    なのだが、基本「おそれ」なのが微妙なラインだと思う。行政機関の長が認めればいいようにも読めるが、正当な理由がなければ裁量の範囲とは言えないかもしれない。
    ともあれ、不服申立てや訴訟の提起ができるし、別の手段で必要な情報が得られたなら問題はないはずだ。

    仮に情報公開するべき内容を誤って公開しなかったというならば、当然逆の事も起きえそうだ。
    安全側で考えるのがセキュリティーの基本だし、一国民としてもこれほど重要な件に関しては公開鍵も秘密にするというのは必要な処置かもしれない程度には思う。
    もちろん公開鍵を省内で別の人が適切なクリアランスの分割を行った上で管理するのが望ましいだろうが、外務省として秘密鍵の管理はそれほど頻繁にある業務でもないはずだ。当然、不慣れで知識も不足しているだろう。
    法律上許される範囲なら予備的に非公開という処置はあり得る。

    こういう自分が持っている知識で分かりやすく非難できるような話が出てくると
    「公開鍵って公開してもいいんでしょ。知ってる。」みたいなノリで妙にフレーミングする事はよくあるが少し落ち着いて考えた方が良い。
    もちろん公開鍵は公開して構わないから公開鍵なわけだが、それだけで終わる話ではない。

  • by Anonymous Coward on 2019年04月25日 21時53分 (#3606114)

    ICAOのルールによれば、IC旅券(MRTD)の検証者(DV)は、まず、国のIC旅券検証証明機関(CVCA)から端末証明書の発行を受けなければならない。端末証明書のない端末では、いくらCSCA証明書マスターリストを搭載してIC旅券のデータを検証できても、検証結果の真正性は認められない。ドイツがCSCA証明書のマスターリストをWebサイトで公開しているのも、あくまで、CVCAの署名ツリー下にある端末で利用することが前提となっている。

    AAA Blogさんは端末証明書の発行を受けたのでしょうか?持たないのであれば、開発中のパスポート真正確認アプリ(DV)は、ICAOのルールに違反することになるのでは?CVCAに関するルールは、まさに、国家に認めれていない野良端末(=不正な操作をする可能性があり得る)の脅威を排除することなのだから。

    参考:German PKI for Machine Readable Travel Documents (MRTD) based on mtG‐CARA p.4 [www.mtg.de]

  • by Anonymous Coward on 2019年04月26日 9時51分 (#3606397)

    (自分も含め)暗号ってよくわからん上にチョイと間違えただけで酷い目に会うのが分かっているせいか200+コメントの時点でもACばっかり。
    外務省の担当者も「暗号、触らぬ神に祟りなし」を実践出来てるって考えればスラド民と同レベル…?

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...