マイナンバーカードによる認証と署名

Size: px

Start display at page:

Download "マイナンバーカードによる認証と署名"

さゆりふじつぐ
5 years ago
Views:

1 Open Source Solution Technology Corporation HAMANO Tsukasa JNSA 電子署名 WG 秋祭り君の署名は

2 目次マイナンバーカードによる認証と署名個人番号カードの中身 IC カードによる認証とデジタル署名ユーザー認証 SSH 認証 /macos ログイン / ブラウザデジタル署名 CMS 署名 /PDF 署名 /XML 署名 ROCA Vulnerability 1

3 個人番号カード 2

4 OpenSC スタック 3

5 IC カードでデジタル署名 4

6 IC カードでユーザー認証 5

7 署名用証明書 $ pkcs15-tool -r 2 -a 2 --verify-pin Issuer: C = JP, O = JPKI, OU = JPKI for digital signature, OU = Japan Agency for Local Authority Information Systems Subject: C = JP, L = Tokyo-to, L = Ota-ku, CN = YYYYMMDDHHMMSS?????LLLLL???B X509v3 Subject Alternative Name: 4 属性 X509v3 Key Usage: critical Digital Signature, Non Repudiation LLLLL は市町村コード B は更新回数 6

8 認証用証明書 $ pkcs15-tool -r 1 Issuer: C = JP, O = JPKI, OU = JPKI for user authentication, OU = Japan Agency for Local Authority Information Systems Subject: C = JP, CN = XXXXXXXXXXXXXXLLLLL???A Not Before: Mar 1 16:33: GMT Not After : Feb 28 14:59: GMT X509v3 Key Usage: critical Digital Signature LLLLL は市町村コードこの証明書は PIN で保護されていない 7

9 認証と署名のちがいやってることは似てるけれど... 行為の意味が異なる User Consent Key Usage 署名ごとに PIN を再入力 8

10 マイナンバーカードで SSH posts/jpki-ssh/ 9

11 SSH プロトコル 10

12 SSH 公開鍵認証 11

13 マイナンバーカードで macos にログイン posts/jpki-macos/ 12

14 macos ログイン画面 13

15 TLS クライアント認証 14

16 ブラウザ対応状況 15

17 TLS クライアント認証 with Microsoft Edge 16

18 マイナンバーカードによる認証と署名 myna コマンドと mynaqt 目指すはエストニアの DigiDoc Client! 17

19 CMS 署名 (RFC 5652) SignedData ::= SEQUENCE { version CMSVersion, digestalgorithms DigestAlgorithmIdentifiers, encapcontentinfo EncapsulatedContentInfo, certificates [0] IMPLICIT CertificateSet OPTIONAL, crls [1] IMPLICIT RevocationInfoChoices OPTIONAL, signerinfos SignerInfos} SignerInfo ::= SEQUENCE { version CMSVersion, sid SignerIdentifier, digestalgorithm DigestAlgorithmIdentifier, signedattrs [0] IMPLICIT SignedAttributes OPTIONAL, signaturealgorithm SignatureAlgorithmIdentifier, signature SignatureValue, unsignedattrs [1] IMPLICIT UnsignedAttributes OPTIONAL} 18

20 CMS 署名する $ myna sign \ -i 文書ファイル \ -o 署名付きファイル 19

21 CMS 署名を検証 $ openssl cms -verify \ -CAfile CA.pem \ -inform der -in 署名ファイル 20

22 PDF 署名 JSignPdf Poppler pdfsig 21

23 JSignPdf の設定 conf/conf.properties: pkcs11config.path=conf/pkcs11.cfg conf/pkcs11.cfg: name=jpki-sign library=/path/to/opensc-pkcs11.so slot=1 22

24 XML 署名マイナンバーカードによる認証と署名 <Envelope xmlns="urn:envelope"> <Data>Hello World!</Data> <Signature xmlns=" <SignedInfo> <CanonicalizationMethod /> <SignatureMethod Algorithm="...#rsa-sha1"/> <Reference URI=""> <Transforms /> <DigestMethod Algorithm="...#sha1"/> <DigestValue> ハッシュ値 </DigestValue> </Reference> </SignedInfo> <SignatureValue> 署名値 </SignatureValue> <KeyInfo> <X509Data> <X509SubjectName> サブジェクト </X509SubjectName> <X509Certificate> 証明書 </X509Certificate> </X509Data> </KeyInfo> </Signature> </Envelope> 23

25 XML Security Library 24

26 xmlsec の改修 OpenSSL Engine 経由の鍵を指定できない問題間に合わせの改修 : xmlsec1 コマンドに --privkey-engine オプションを追加 25

27 カードで XML 署名 OPENSSL_CONF=openssl.cnf \ xmlsec1 sign \ --crypto openssl \ --privkey-engine slot_1 \ --pubkey-cert-pem sign.pem \ --output signed.xml data.xml 26

28 openssl.cnf openssl_conf = openssl_def [openssl_def] engines = engine_section [engine_section] pkcs11 = pkcs11_section [pkcs11_section] engine_id = pkcs11 dynamic_path = \ /usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so MODULE_PATH = /usr/local/lib/opensc-pkcs11.so 27

29 ROCA Vulnerability (CVE ) 解読コスト ( 攻撃が進展する可能性も ) 1024bit RSA keys ($40 - $80) 2048bit RSA keys ($20,000 - $40,000) 該当カードエストニア eid(75 万枚 ) YubiKey の一部 28

2

m.uehata@sii.co.jp 2 SII 1881 1892 1937 1959 3 SEIKO 1881 1955 1964 1974 1984 1992 1994 1998 1998 2002 2002 4 SII 1960 1970 1980 1990 CMOS IC LCD LCM 2000 COF 1937 VLSI FIB 5 < > SA EOA CAE < > 6 Network