JNSA 電 署名 WG 春祭り 2018 クラウド署名と CSC 対応について 2018 年 5 23 セイコーソリューションズ株式会社デジタルトランスフォーメション営業統括部クロノトラスト営業部クロノトラストソリューション課村尾進
紹介 職歴 : 2003 年セイコーインスツルメンツ ( 株 ) 社クロノトラスト事業に配属 2008 年 期署名システム NiXAdES の開発を担当 省庁 医療 国税 e 書における 期署名システムの提供 2011 年 期署名クラウドサービス evidaemon をリリース 2013 年セイコーソリューションズ ( 株 ) に ( クロノトラスト事業ごと ) 異動 2014 年 NSF 2014 タイムスタンプ活 の動向 について発表 2015 年 PKI Day 2015 トラストリストと信頼のグローバル化 について発表 2016 年 JNSA 電 署名 WG 五 祭 電 署名 について発表 2017 年弊社クラウド署名サービスをクラウド署名コンソーシアム (CSC) 規格に対応 10 26 アドビシステムズ社様の Adobe Sign との連携を発表 2017 年 JNSA 電 署名 WG 秋祭 J-LIS 公開の API を読み解くなど について発表 現在に る 2
アジェンダ リモート署名とクラウド署名について クラウド署名の活 シーン クラウド HSM サービスの CSC 仕様対応 まとめ 3
リモート署名とクラウド署名について リモート署名の定義 リモート署名事業者のサーバに利 者 ( エンドエンティティ ) の署名鍵を設置 保管し 利 者がサーバにリモートでログインし らの署名鍵で事業者のサーバ上で電 署名を うこと 電 署名法研究会 (METI/ 経済産業省 ) http://www.meti.go.jp/committee/kenkyukai/mono_info_service.html 4
リモート署名とクラウド署名について リモート署名のメリット IC カード /IC カードリーダや USB トークンなどのドライバソフトウェアをインストールする必要が無い リモート署名事業者が提供する認証局との連携機能により証明書申請や登録が簡単になる ( 発 動化 ) リモート署名事業者が提供する鍵管理 (HSM) 機能により安全に鍵が保管される ( 証明書更新管理サービス等 ) 認証局 証明書発 プロトコル (SOAP/REST) リモート署名事業者 HSM 署名鍵 5
リモート署名とクラウド署名について ローカル署名のイメージ図 利 者の PC/ モバイル端末 電 署名アプリケーション 署名対象ドキュメント 署名済みドキュメント 署名値 署名要求 署名値 HSM/IC カード /PKCS#12 署名鍵 6
リモート署名とクラウド署名について リモート署名のイメージ図 利 者の PC/ モバイル端末 / スマホ 電 署名アプリケーション リモート署名事業者 リモート署名サーバ 署名対象ドキュメント 認証要求 署名済みドキュメント 署名値 署名要求 署名値 HSM 署名鍵 7
リモート署名とクラウド署名について クラウド署名のイメージ図 利 者の PC/ モバイル端末 / スマホ ログイン クラウドサービス 署名要求 ファイル転送 / ストレージ等関連サービス 電 署名アプリケーション 署名対象ドキュメント 署名済みドキュメント 署名値 認証要求 署名要求 署名値 リモート署名事業者 リモート署名サーバ HSM 署名鍵 8
リモート署名とクラウド署名について クラウド署名のイメージ図 利 者の PC/ モバイル端末 / スマホ ログイン クラウドサービス ファイル転送 / ストレージ等かんたん電 契約関連サービス 電 署名アプリケーション クラウド署名サービス署名対象ドキュメント evidaemon 署名済みドキュメント evidaemon for PAdES evidaemon for 署名値 XAdES 署名要求 認証要求 署名要求 署名値 セイコーのサービス提供範囲およびサービス名称 REST API( 独自 API 仕様 ) リモート署名事業者 リモート署名サーバ HSM 署名鍵 クラウドHSM サービス 9
債務者 連帯保証 等参照 クラウド署名の活 シーン かんたん電 契約を利 した住宅ローン契約の電 化事例 ビス利 者( 融機関ンプ付与サ等)1 契約書のアップロード 5 契約書のダウンロード かんたん電 契約 署名 サービス利 者の電 署名 タイムスタンプ付与 債務者等の電 署名 タイムスタンプ付与 クラウドサービス上で 電 署名 タイムスタンプ を付与します 2 登録先メールアドレスへメール通知 かんたん電 契約にアクセ3 契約書の参照 ( 内容確認 ) 4 契約書への電 署名 タイムスタ ス電 署名 タイムスタンプを付与することのできる電 ファイル受渡サービス 5 契約書のダウンロード 10
クラウド HSM サービスの CSC 仕様対応 クラウド署名コンソーシアム (Cloud Signature Consortium 以下 CSC) とは 2016 年初め ソリューション テクノロジー トラストサービスプロバイダを含む業界や学術界の専 家から成る国際的な協 グループによって設 された団体で 以下を 的として活動 共通のアーキテクチャ設計と構成要素構築によって ソリューション テクノロジー トラストサービスプロバイダ間の相互運 性を実現 サービス間の連携を相互運 可能にするべくプロトコルと API の技術仕様開発 オープンスタンダードとして API 仕様を公開 クラウド署名のコンセプトを促進 出典 :https://itc.jipdec.or.jp/event/20170704.html (Cloud signature consortium の概要 ) 11
クラウド HSM サービスの CSC 仕様対応 CSC の API 仕様は下記 URL から取得可能 http://www.cloudsignatureconsortium.org/specifications/ 12
クラウド HSM サービスの CSC 仕様対応 Adobe Sign とクラウド HSM サービスの連携イメージ 利 者の PC/ モバイル端末 / スマホ ログイン CSC API 仕様プロトコル AATL 対応電 証明書 署名要求 Adobe Sign 電 署名アプリケーション 署名要求署名値タイムスタンプ クラウドHSMサービス CSC PROXY クラウド HSM サーバ HSM 署名鍵 RFC3161 プロトコル セイコータイムスタンプサービス for AATL AATL 対応タイムスタンプ AATL: Adobe Approved Trust List 13
クラウド HSM サービスの CSC 仕様対応 実装 API 覧 サービス URL 形式 : https://<csc PROXY サーバ >/csc/v0/< メソッドパス > メソッドパス 概要 1 info サーバの基本情報を返します このパスのみ認証不要です 2 oauth2/authorize サービスユーザまたは署名鍵に対するOAuth2 Authorization Code flow 認証を います 認証に成功したら認可コードをクライアントサービスに返します 3 oauth2/token 認可コードをアクセストークン ( 認証済みチケット ) に変換します アクセストークンは (1) サービスユーザの場合 Bearerで これ以降のリクエストに Authorization: Bearer ヘッダとして付加します (2) 署名鍵の場合 SADで 署名実 時に使 します 4 auth/login 直接ユーザIDおよびパスワードからBearerを取得します 5 auth/revoke Bearer/SAD/ リフレッシュトークンを無効にします 6 credentials/list 現在のエンドユーザの所有する署名鍵エイリアス 覧を返します 7 credentials/info 指定された署名鍵エイリアスに対応する証明書およびその他の情報を返します 8 credentials/authorize 直接 PINをSADに変換します 9 credentials/extendtransaction 既存のSADをもとに新しいSADを発 します 10 signatures/signhash 署名を実 します PINではなくSADを します 11 signatures/timestamp タイムスタンプを取得します タイムスタンプもJSON 形式でリクエスト可能 14
クラウド HSM サービスの CSC 仕様対応 1 認証処理 利 者 AdobeSign login CSC_0.1.7.9_PR 13.3 章に対応 クラウド HSM サービス Adobe Sign サービスのログイン redirect oauth2/service_authorize(user + pwd) redirect アクセストークンの発 authorization_code oauth2/token(code) access_token クラウド HSM サービスのログイン画 表 15
クラウド HSM サービスの CSC 仕様対応 2 証明書リスト取得処理 AdobeSign CSC_0.1.7.9_PR 13.6 章に対応 クラウド HSM サービス 署名鍵選択画 表 credentials/list() credentialids[] + pagetoken1 credential/list (pagetoken1) credentialids[] + pagetoken2 credential/list (pagetokenn) 署名鍵が複数ある場合 credentialids[] 16
クラウド HSM サービスの CSC 仕様対応 3 署名処理 利 者 AdobeSign CSC_0.1.7.9_PR 13.8 章に対応 クラウド HSM サービス sign document (PIN) credentials/authorize(pin) PIN 画 表 signed document PDF への署名値埋め込み & タイムスタンプ付与など SAD(Signature Activation Data ) signature/signhash (SAD + hash) signed hash 署名値 署名実 署名鍵 17
まとめ リモート署名/ クラウド署名の実現により PC スマホを問わず ブラウザのみでかんたんに電 署名ができる環境に リモート署名事業者に求められる安全性および信頼性についての指標についてJT2Aのリモート署名 TFで検討しガイドラインを作成中 18
ご清聴ありがとうございました 19