32
OpenSC JPKI カードドラ イバ Open Source Solution Technology Corporation HAMANO Tsukasa <[email protected]> PKI Day 2017 1
OpenSC JPKIカードドラ イバ · OpenSC JPKIカードドライバ 課題 • 運用に対する不安 • マイナンバーに対する不信 • 鍵生成の仕組み • 仕様公開されないと安心できない
-
Upload
others
-
View
0
-
Download
0
Embed Size (px)
Citation preview
-
OpenSC JPKIカードドライバ
Open Source Solution Technology CorporationHAMANO Tsukasa
PKI Day 2017
1
-
OpenSC JPKIカードドライバ
個人番号カード(マイナンバーカード)
2
-
OpenSC JPKIカードドライバ
2種類の証明書
• 署名用証明書• 身分証明• 電子申請
• 利用者認証用証明書• 行政・民間サイトでの認証用
3
-
OpenSC JPKIカードドライバ
データモデル
4
-
OpenSC JPKIカードドライバ
APDU(ISO 7816-4)
5
-
OpenSC JPKIカードドライバ
APDU通信例 - SELECT FILE
6
-
OpenSC JPKIカードドライバ
APDU通信例 - PIN入力
< 00 20 00 80 04 XX XX XX XX
> 90 00 # 成功
> 63 C2 # 失敗
7
-
OpenSC JPKIカードドライバ
APDU通信例 -署名秘密鍵IEFをSELECT FILE< 00 A4 02 0C 02 00 17
> 90 00
署名< 80 2A 00 80 [PKCS1 DigestInfo]
> [署名データ]
8
-
OpenSC JPKIカードドライバ
PKCS1 DigestInfoSEQUENCE {
SEQUENCE {
OBJECT IDENTIFIER \
sha1(1 3 14 3 2 26)
NULL
}
OCTET STRING XX XX .. XX XX
}
9
-
OpenSC JPKIカードドライバ
ロードマップ
• カードエッジ仕様の解析• OpenSCカードドライバ開発• オープンな PKCS#11実装•
PKCS#15カードエミュレーション• 公的個人認証の普及
10
-
OpenSC JPKIカードドライバ
仕様を隠さないで
• 安全性の為に• 普及の為に
11
-
OpenSC JPKIカードドライバ
OpenSCスタック
12
-
OpenSC JPKIカードドライバ
OpenSCカードドライバ• esteid(エストニア)• Belpic(ベルギー)• DNIe(スペイン)•
CNS(イタリア)• pteID(ポルトガル)• PIV(米国)
13
-
OpenSC JPKIカードドライバ
PKCS#11 APIs
• C_Initialize()• C_FindObjects()• C_Login()• C_Sign()•
C_Finalize()
14
-
OpenSC JPKIカードドライバ
PKCS#15エミュレーション
15
-
OpenSC JPKIカードドライバ
マイナンバーカードでSSHhttps://www.osstech.co.jp/~hamano/
posts/jpki-ssh/
16
https://www.osstech.co.jp/~hamano/posts/jpki-ssh/https://www.osstech.co.jp/~hamano/posts/jpki-ssh/
-
OpenSC JPKIカードドライバ
SSHプロトコル
17
-
OpenSC JPKIカードドライバ
SSH公開鍵認証
18
-
OpenSC JPKIカードドライバ
ブラウザ対応状況
19
-
OpenSC JPKIカードドライバ
TLSクライアント認証 withMicrosoft Edge
20
-
OpenSC JPKIカードドライバ
TLSクライアント認証 withMozilla Firefox
21
-
OpenSC JPKIカードドライバ
目指すべき社会• 電子先進国 (エストニア・ベルギー)
• オープン・スタンダード• オープン・ソース• OS・ブラウザ非依存• 高い普及率と利用率
• 電子後進国 (日本)• 仕様が非公開• クローズドソース• Java Applet(笑)
22
-
OpenSC JPKIカードドライバ
課題• 運用に対する不安
• マイナンバーに対する不信• 鍵生成の仕組み• 仕様公開されないと安心できない
• 失効情報の検証• 総務大臣の認可
• 名寄せの問題• 信頼できる ID Providerが必要• 複数の鍵管理
23
-
OpenSC JPKIカードドライバ
github.com/open-eid
24
-
OpenSC JPKIカードドライバ
github.com/JPKI
25
-
OpenSC JPKIカードドライバ
OpenSCソースレポジトリ
• github.com/OpenSC• OpenSC/master
• github.com/JPKI• OpenSC/jpki = 0.16.0 + JPKI patch
26
-
OpenSC JPKIカードドライバ
GNU Lesser General PublicLicense
• アプリ + LGPLライブラリ別配布• アプリ + LGPLライブラリ同梱• アプリ + LGPLライブラリstatic
link適用例: glibc, GTK+
27
-
OpenSC JPKIカードドライバ
mynaコマンドhttps://github.com/jpki/myna
$ myna --help
COMMANDS:
card 券面事項を表示cert 証明書を表示sign CMS署名pin_status PINステータス
28
https://github.com/jpki/myna
-
OpenSC JPKIカードドライバ
5種類のOSで動く!
29
-
OpenSC JPKIカードドライバ
CMS署名(RFC 5652)
$ myna sign \
-i 文書ファイル \-o 署名付きファイル
30
-
OpenSC JPKIカードドライバ
検証
$ openssl cms -verify \
-CAfile CA.pem \
-inform der -in 署名ファイル
31
-
OpenSC JPKIカードドライバ
GUI版もある
32
![ワイヤレスLAN仕様 Bluetooth TV仕様 - NEC LAVIE...08 ワイヤレスLAN仕様 TV仕様[受信機能] 対応機種 PC-DA770EA-E3シリーズ PC-DA370EA-E3シリーズ テレビ](https://img.pdfslide.net/doc/110x75/5f3305748fe9cd40487ee9fc/ffflan-bluetooth-tv-nec-lavie-08-ffflan.jpg)
![デマンドレスポンス・インタフェース仕様書 - …...デマンドレスポンス・インタフェース仕様書[第1.1版] 4 / 39 1. スコープ 本仕様は、OpenADR](https://img.pdfslide.net/doc/110x75/5ec76421b075612ca66dd8ca/fffffffffff-fffffffffffc11c.jpg)
