外務省、公開鍵の情報公開請求を拒否する 365
ストーリー by hylom
公開されているのに公開されない不思議 部門より
公開されているのに公開されない不思議 部門より
あるAnonymous Coward曰く、
マイナンバーカードの読み出しライブラリを開発したことで知られるOSSTechの濱野司氏によると、パスポートの真正確認アプリを開発するため外務省に対しCSCA証明書(公開鍵)の情報公開請求を行ったところ、安全性及び国際慣行上の理由で不開示の決定を下されたとのこと(AAA Blog)。
しかし、公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もないという。最終的にはドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出すことで無事アプリを開発できたとのことだが、日本のPKIはどこへ向かっているのだろうか。
日本外務省がCSCA証明書(公開鍵)の公開に応じない件に関するまとめ (スコア:5, 参考になる)
https://note.mu/note_s/n/nf501174502fa [note.mu]
・外務省の不開示決定
・IPA認証PP及び同解説
・ICAO Doc 9303 第6版 (2006)
・ICAO Doc 9303 第7版 (2015)
・公開済みのCSCA証明書
・外務省 公文書監理室
・外務省 旅券課
・情報公開法
一通りすべてに触れたまとめ
Re: 日本外務省がCSCA証明書(公開鍵)の公開に応じない件に関するまとめ (スコア:1)
0が1になることは十分なリスクでしょう。
どんな作業でも人間が絡むならばミスは起こり得て、リスクを伴います。
それを理由にできる、というなら、どんなものでも公開を拒否できますね。
問題は、その「0が1になる」リスクが、どのくらいのリスクなのかを、外務省が理解していないことなんじゃないでしょうか?
つまり、その発生確率とか、発生した場合の対処策とそのコストとかですね。
Re: 日本外務省がCSCA証明書(公開鍵)の公開に応じない件に関するまとめ (スコア:1)
ついでに言うと、外国の大使館などで発行されたICがついてない日本国のパスポートもあるんで、公開鍵で証明できなかったら偽物とか言っちゃう馬鹿に対しても対応しなきゃいけないのが外務省
公開鍵とは仕組みの名前でしかない (スコア:2, 興味深い)
公開鍵暗号方式ってのはその技術の名前であって、公開しなきゃならないって意味じゃないよね。
技術者のくせに、技術の方式と制度を混同しているイタい人がいるってだけじゃ無い?
例えば、どこかの会社が、自社の装置に公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵は公開される必要はないよね。機能的にその必要は無い。
そして、その鍵を公開するかどうかはその会社の専権事項だし、決める権利もある。
もちろんそれは公開した事による問題が発生したら責任をとると言うことと表裏一体なわけだけども。だから「公開したからにはサポートをしろ」というような輩にも対応する義務が発生するし、今の技術ではゼロではないと言うレベルのリスクを懸念して公開しないのも通常の話。
今回もそう言う話だよね。
外務省が、パスポートに公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵を公開する必要はないよね。パスポートという機能からはその必要は無い。どっかのオッサンが売名行為だかなんだかしらんがアプリを作るってのはパスポートと言う仕組みの機能ではない。
公開非公開の基準は責任と表裏一体だから、その職権の範疇で決める権限があるし、その責任は取ることになるのだから、その範囲での決定としては何の問題も無いでしょう。
どっかのオッサンが「公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もない」と盲信していることを外務省が鵜呑みにして、何かの時に問題が発生しても、どっかのオッサンが責任を取ってくれる訳でもないのだから、外務省の判断は当然。
最近こういう例は非常に多いと思う。
こういう人がいると、技術者と言うだけで「相手を突然一方的に罵倒する頭がおかしい人」って扱いになるので勘弁して欲しい。
Re:公開鍵とは仕組みの名前でしかない (スコア:5, すばらしい洞察)
技術の方式と制度を混同しているイタい人って親コメのことじゃん。
「公開鍵だから公開しても問題はない」とは言ったけど、
「公開鍵だから公開しなきゃならない」なんて言ってないよ。
「行政文書だから公開しなきゃならない」って言ってるんだよ。
Re:公開鍵とは仕組みの名前でしかない (スコア:2)
じゃあ、「行政文書」として公開してまえばいいよね。
鍵部分は、セキュリティを理由にして黒塗りにしとけば、形式的には文句も言えないやろし。
セキュリティの問題は絶対にあり得ない、という主張は正しくないので、拒絶してよし。解決!
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
まあ、不利益はあるかもしれないね。
公開鍵から計算によって秘密鍵を得ることは、不可能と言うわけではありませんからね。
しかし、そんな天文学的に低いリスクを「不利益」として公開しない、ということが許されるのなら、
どんな情報でも屁理屈を捏ねて「不利益」に結び付けて公開を拒否することができちゃいそうです。
ところで、「「公開鍵って名前だから公開しろ」って言うイタい人」ってどのくらい居ますか?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
今回の情報公開請求に限らず、何らかの理由で更新が必要になる場合はあるよね。
有効期限切れとか、それこそスパイとか手違いとかによる秘密鍵の流出とかさ。
それらに対して更新手段が準備されていない、と言うわけじゃないんだろうから、それはそれでいいんじゃない?
PKIってのは、そこまで準備して運用するもんだよ。
更新手段が準備されていないのであれば、それはそれでマヌケな話だけどさ。
外務省って、そんなマヌケな集団なの? 知らんけど。
勝手アプリは勝手アプリなんだから、自己責任で構わんだろ。
なにか責任を負う必要があるの?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
そんな請求しても、個人情報保護を理由に公開を拒否されるだけじゃね?
ためしに、キミが住所を知ってる知人の納税関連書類を取り寄せて公開してみなよ。
Re:公開鍵とは仕組みの名前でしかない (スコア:2)
×適応 〇適用
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
はぁ?行政文書に個人情報保護は適応されませんよ?何を言ってるんですか?
その公開されるべき「行政文書」に他人の納税関連書類 [srad.jp]が含まれるんか?
されてたら大変な話やと思うけど、キミはどう思う?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
総務省のQ&A [soumu.go.jp]によれば、
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
批判したいがために内容になってますよね
Re:公開鍵とは仕組みの名前でしかない (スコア:2, すばらしい洞察)
そうだな、ドイツが公開しているかどうかに関わらず日本は公開すべきだ。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
公開することによるリスクは、他のリスクに比べて必ずしも大きくない。
当然それらリスクへの対策はあるはずで、公開することが殊更コストを押し上げるわけでも無い。
一方、公開することによるメリットは大きい。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
そのLDAPサーバーは公開されてるのか?
世間一般に公開されているのなら、日本政府から直接入手するのは邪道で、LDAPサーバからダウンロードするのが筋だし
公開されていないのなら、入管当局や認証機器メーカーに限って公開すべき内容で、積極的に一般には公開すべきじゃない情報なのでは?
あと公開すべきかどうかとは別の話になるけど、個人情報入ったICカードの中身を表示する
信頼できない第三者のアプリなんて危険すぎて使わないほうがいいな。
件のサイトはパスポートは3回パスワード間違えるとロックがかかる免許証と異なりロックがないみたいな解説しているけど、ホントかわからんし
これ斜め読みすると [ipa.go.jp]、少なくとも15回連続で認証失敗すると恒久的に認証できなくするような仕様だという記述があるし、ソフトウェアに悪意やバグがあれば認証失敗を繰り返してパスポートを使い物にならないようにすることができるんじゃないか?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
公開請求は原則開示なのに、ネット上に公開している情報を個人の公開請求には公開しない理由は?
答えられなきゃ法律違反だよ。
Re: Re:公開鍵とは仕組みの名前でしかない (スコア:1)
そんな素晴らしい先生とは出会ったことがありません。残念ながら
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
そんな理由で情報公開請求を拒否できるのなら、ありとあらゆるものを拒否できます。
担当者のマヌケな間違いで機密情報を公開してしまうかもしれないから、ってね。
しかし、外務省を馬鹿にし過ぎじゃない?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
個別論を一般論に拡張して批評するなら、何故個別の話を一般論にして「ありとあらゆるものを拒否できる」ようになるのか、その過程を明らかにするべきですよ
だって、ごく小さい影響しか考えられないリスクに対しても、「リスクがある」と言えて、拒否できるって理屈でしょ?
そうでないのなら、そうでない理由が必要なんじゃない?
PKIがどう言うものか、外務省(の担当者)はよく解ってない、ってだけなんじゃね?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
いや、なんだか軽く考えてるみたいだけどこの秘密鍵が漏れたら世界中何十か国に通知して、既に発行したあらゆるパスポートを全部交換しないといけなくて、不法入国者やテロリストが気楽にパスポートを偽装できるようになって、最悪何百人単位の死者が出かねないんだぞ。
とうぜん、そう言う場合のオペレーションは決まってるだろ。
そういうものも含めてPKIなんだよ。
そんなレベルの感覚で「んなミスは起こさんだろうww」のような判断をされた方が恐ろしいわ。
そんな低レベルの話じゃないよ。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
外務省のルールが、法律よりも優先される訳もない
Q13 開示請求は誰でもできるのですか?
A13 誰でもできます。国籍、年齢、性別、職業などは一切関係ありません。また、個人、法人のほか、法人でない社団等も請求できます。さらに、請求の目的も一切関係ありません。
(参考)情報公開法第3条:「何人も、この法律の定めるところにより行政文書の開示を請求することができる」
https://www.mofa.go.jp/mofaj/public/johokokai/qa/qa03.html [mofa.go.jp]
Re:公開鍵とは仕組みの名前でしかない (スコア:2, すばらしい洞察)
開示に責任が伴うだけで、別にそれ自体開示されることは問題ないんじゃない?
たとえば今後公開鍵が更新されて、それをドイツ政府がそのサイトのメンテナンスを怠って情報が古くなって対応ができなくなったとしても、それについて日本政府に文句を言うことはできないというメリットが日本政府にはあるわけ。
Re:公開鍵とは仕組みの名前でしかない (スコア:2)
> 上位の証明書が存在する訳じゃないので、オレオレ証明書ですよ。
「オレオレ証明書」の定義によると思うけど、上位の証明書がなければオレオレ証明書なんだったら、(社内とかの)オレオレ認証局の下の証明書はオレオレ証明書じゃないし、世の中のルートCAはオレオレ証明書になってしまう。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
どれ [atwiki.jp]だって言ってる?
第四種辺り?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
情報公開請求を受けた方が、なる理由を明示すべきだよね。
「ならないように思えます」というのは、その「理由」が妥当でない、ということなのでは?
妥当でないとする理由はいろいろ言われてるわけだし、妥当だとする理由も聞いてみたいね。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
要は掛け算ってものを忘れてる。
キミこそ、公開鍵から秘密鍵を計算されるという非現実劇なリスク以外の現実的なリスクを忘れてる様に見えるね。
当然、そう言うリスクが顕在化した場合への対策はあるんだろう。総合的にリスクはゼロにはならないんだから。
なので、実質的に問題無いと言える。
だいたい、そんなにリスクリスク言うんなら、ドイツとかICAO PKDに抗議すべきなんじゃね?
相手にされるかどうか知らんけど。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
砂山とは関係ない。
「総合的にリスクはゼロにならない」から、適切な対策をして、受容できるレベルのリスクは受容すればいい。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
「古くて」とか「時代が変わっても頑なに」みたいなことは書かれてない [wikipedia.org]様だけど。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
スキミング対策については、元のブログ [osstech.co.jp]に記載があるね。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
例えば元ブログのアプリに悪意があった場合は対抗できないかと。
その通り。
それは、CSCA証明書が公開されていようと、されていまいと関係ない。
国民がナメられてるってこと (スコア:2)
大臣のスケジュールがすぐさま廃棄されたり、国民に知らせる気はないってこった。
何か問題が起こっても責任を痛感してます、だけで済ませて支持率も下がらないし、
政権交代可能な野党も育ってないし、まさしくやりたい放題
とりあえずネット工作には余念がないようなのはこのスレッドを見てもわかるがw
ミスは起きる (スコア:1)
そりゃ公開鍵は公開しても構わないから公開鍵なわけだが、鍵の取り扱い方法によっては誤って秘密鍵を公開してしまうミスはあり得る。
単純に公開鍵・秘密鍵双方の管理者が一人で、アクセス権限としても分かれていないなら公開鍵の公開はある程度リスキーだ。
情報公開は外国籍でも可能だしかなりの量請求される事もある。
「~に関する情報全て」のような請求方法はよくある事だし。
別々の場所で別々の人が管理している公開鍵を何万件と請求されれば、ミスによっていくつかの秘密鍵が公開されるという事は十二分に考えられるだろう。
実際に過去に何度か黒塗りのミスは起きている。
本件の場合はミスがもたらす結果が重大過ぎる上、別チャンネルで既に公開されている情報でもある。
そう考えるとセキュリティーとしては予備的に公開鍵に対するアクセスを制限するというのはあり得る。
問題はそれが情報公開法での規定(行政機関の保有する情報の公開に関する法律 第五条 3号4号6号)に合致するかだろう。引用すると
三 公にすることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあると行政機関の長が認めることにつき相当の理由がある情報
四 公にすることにより、犯罪の予防、鎮圧又は捜査、公訴の維持、刑の執行その他の公共の安全と秩序の維持に支障を及ぼすおそれがあると行政機関の長が認めることにつき相当の理由がある情報
六 国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業に関する情報であって、公にすることにより、次に掲げるおそれその他当該事務又は事業の性質上、当該事務又は事業の適正な遂行に支障を及ぼすおそれがあるもの
なのだが、基本「おそれ」なのが微妙なラインだと思う。行政機関の長が認めればいいようにも読めるが、正当な理由がなければ裁量の範囲とは言えないかもしれない。
ともあれ、不服申立てや訴訟の提起ができるし、別の手段で必要な情報が得られたなら問題はないはずだ。
仮に情報公開するべき内容を誤って公開しなかったというならば、当然逆の事も起きえそうだ。
安全側で考えるのがセキュリティーの基本だし、一国民としてもこれほど重要な件に関しては公開鍵も秘密にするというのは必要な処置かもしれない程度には思う。
もちろん公開鍵を省内で別の人が適切なクリアランスの分割を行った上で管理するのが望ましいだろうが、外務省として秘密鍵の管理はそれほど頻繁にある業務でもないはずだ。当然、不慣れで知識も不足しているだろう。
法律上許される範囲なら予備的に非公開という処置はあり得る。
こういう自分が持っている知識で分かりやすく非難できるような話が出てくると
「公開鍵って公開してもいいんでしょ。知ってる。」みたいなノリで妙にフレーミングする事はよくあるが少し落ち着いて考えた方が良い。
もちろん公開鍵は公開して構わないから公開鍵なわけだが、それだけで終わる話ではない。
Re:ミスは起きる (スコア:1)
当該の公文書上は、公開鍵と秘密鍵が両方列挙されていて、下手に開示にすると黒塗り担当がやらかしそうだから止めてたりして。
無いだろ。
仮にも各国政府間ではやり取りしなきゃいかんもんなんだぞ。
その場合も、秘密鍵と公開鍵の両方が印刷されてる文書を事前に準備しておいて、いちいち黒塗りするんか?
そんなアホなことはしない様に取り決められているようだが。
Re:ミスは起きる (スコア:1)
それなら外国政府に通知した公開鍵の文書を開示請求しないとダメなんじゃない?
その根拠は?
そもそもキミの意見は、「当該の公文書上は、公開鍵と秘密鍵が両方列挙されていて [srad.jp]」と言うヨタ話を前提にしてるだろ?
マジメに検討する価値は無い様に思うね。
Re:ミスは起きる (スコア:1)
意味不明なんだが。誤爆じゃね?
「外交文書の開示を求めるしかない」というのは、「当該の公文書上は、公開鍵と秘密鍵が両方列挙されていて」という根拠不明の前提に立った意見なので、議論に値しない。
以上。
パスポート真正確認アプリ自体の真正性の問題 (スコア:1)
ICAOのルールによれば、IC旅券(MRTD)の検証者(DV)は、まず、国のIC旅券検証証明機関(CVCA)から端末証明書の発行を受けなければならない。端末証明書のない端末では、いくらCSCA証明書マスターリストを搭載してIC旅券のデータを検証できても、検証結果の真正性は認められない。ドイツがCSCA証明書のマスターリストをWebサイトで公開しているのも、あくまで、CVCAの署名ツリー下にある端末で利用することが前提となっている。
AAA Blogさんは端末証明書の発行を受けたのでしょうか?持たないのであれば、開発中のパスポート真正確認アプリ(DV)は、ICAOのルールに違反することになるのでは?CVCAに関するルールは、まさに、国家に認めれていない野良端末(=不正な操作をする可能性があり得る)の脅威を排除することなのだから。
参考:German PKI for Machine Readable Travel Documents (MRTD) based on mtG‐CARA p.4 [www.mtg.de]
Re:パスポート真正確認アプリ自体の真正性の問題 (スコア:1)
それドイツ情報セキュリティ局(BSI)の策定したTR-03111に書かれたローカルの拡張仕様じゃねーか!
ICAO Doc 9303にそんなルールはない
https://www.bsi.bund.de/EN/Topics/ElectrIDDocuments/SecurityMechanisms... [bsi.bund.de]
https://www.bsi.bund.de/EN/Publications/TechnicalGuidelines/TR03110/BS... [bsi.bund.de]
Re:パスポート真正確認アプリ自体の真正性の問題 (スコア:1)
だから、ICAO Doc 9303 第7版 [icao.int]は、2015年に出てるわけで、それに沿ったものに改訂されているんじゃないか、って指摘だと思いますよ。
メタ (スコア:1)
(自分も含め)暗号ってよくわからん上にチョイと間違えただけで酷い目に会うのが分かっているせいか200+コメントの時点でもACばっかり。
外務省の担当者も「暗号、触らぬ神に祟りなし」を実践出来てるって考えればスラド民と同レベル…?
Re:そういう私もAC (スコア:1)
一部の粘着が荒らしてるだけと思いますが…。
政府に逆らう(ように見える)のは悪いことだ、国家は偉大なんだ、て思ってるのかしら。
Re:単純に (スコア:1)
そこは一体なんだけど、そう言う原則を理解できてないからこういう極論に走っちゃうのかな
Re:単純に (スコア:1)
結局、真贋鑑定(すると称した)アプリに頼るから、個人情報を盗まれるリスクが発生するし、
積極的に情報開示することは、政府がそれに加担することになるかと。
ならないだろ。
パスポートのICに書き込まれた情報は、券面の記載情報を読み取れれば、取り出すことができる。
これは、CACA証明書が公開されているか否かとは関係ない。
だとすると、素人は、CACA証明書の有無に関わらず、個人情報を盗まれるときは盗まれる。
Re:非公開は妥当である (スコア:1)
なので、PKIってのはそう言う万一の事があった時にどうするかも予め想定して運用するんだよね。
秘密鍵が公開鍵から計算されてしまう可能性は非常に低いけど、
それに比べれば、ミスやソーシャルエンジニアリングなんかで流出してしまう可能性は高い。
なので、そう言うものへの対策は当然してあるはずだよ。
Re:非公開は妥当である (スコア:1)
その対策ってのが今回の非公開理由なんですが。
で、その妥当性が問題になってるわけだよね。
対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
は? バカなの?
対策はすべきだし、当然「CA証明書を非公開にする」以外の対策をしてるだろう、って話。
「CA証明書を非公開にする」って「対策」に、どんだけ効果があると言ってるわけ?
もしその「対策」を行ったところで、秘密鍵流出のリスクはゼロにはならないよ。
流出した場合の対策が準備されてない、と言っているわけじゃないんだろ?
だったらメリット・デメリットを総合的に判断してどうか、って話になるね。
「CA証明書を非公開にする」のはほとんど意味がない。
検証用アプリケーションを民間が開発しにくい(けど、外務省ルート以外では開発できる)。
一方、公開しても、デメリットはほとんどない。
確かに、公開鍵から秘密鍵を計算できる危険性はあるが、そんなのはソーシャルエンジニアリングによるものに比べれば、限りなく低い。
当然流出時のオペレーションは決まってるはずなので、万一の場合でもなんとかなる。
なので、「まったく問題無い」とまでは言わないけど、実用上問題無いレベルとは言えるだろうね。
Re:非公開は妥当である (スコア:1)
原発は絶対安全だから発生確率はゼロ、って言って、あらゆる巨大な問題を全て問題ないと言い続けた奴いてああなったわけだよ。
それと全く同じ事を言ってるんだよな、こいつら。なんなんだろう。
せめて問題があったときに自分が責任を取るつもりならともかく、そうじゃないんだぜ?笑える。
Re:非公開は妥当である (スコア:1)
Re:なんで開示されると思ったのかね (スコア:1)
おや? 公開鍵が公開されとらんやん。ええネタ拾ったで。
くらいのノリで公開請求して、予想通りネタにできてめでたしめでたし、ってことかもよ。
Re:運用上合っているのでは (スコア:2)
> 日本だと入国時に必ずチェックが入るので使い途が思いつきません(あったら教えて下さい)。
元記事にも最初に書いてあるけど、日本人のパスポートを日本国内で(運転免許証のように)本人確認の書類として使うときの真贋判定です。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re:運用上合っているのでは (スコア:2)
> 日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。
そりゃ、偽造パスポートは悪い事をするために使うんでしょうし、偽造コストを上回る利益があると思えばやる人はいるでしょう。
元記事の「前回」のリンクによれば、実際に偽造パスポート等を使用した大掛かりな犯罪があったようですよ。
> それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。
「入国時に必ずチェック」と、意図のわからないことが書いてあり、元記事の内容を理解されていないのかなと思い、
「民間でのパスポート真贋確認」が必要となる場面についてコメントしたまでで、確認方法については意見はありません。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}