Microsoft PowerPoint - PKI-Day miyachi.ppt [互換モード]

Similar documents
<4D F736F F F696E74202D204A4E E718F9096BC574795D78BAD89EF8E9197BF5F8CF68A4A97702E >

Microsoft PowerPoint - A2-2_宮崎.ppt [互換モード]

最近の電子認証・署名の考え方

今後の認証基盤で必要となる 関連技術の動向 株式会社オージス総研テミストラクトソリューション部八幡孝 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved.

Adobe Reader 署名検証設定手順書

PowerPoint プレゼンテーション

FIDO技術のさらなる広がり

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

FUJITSU Cloud Service K5 認証サービス サービス仕様書

SeciossLink クイックスタートガイド

POWER EGG 3.0 Office365連携

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

ArcGIS for Server での Web マップの作成方法

intra-mart Accel Platform — OAuth認証モジュール 仕様書   初版  

モバイル統合アプリケーション 障害切り分け手順書

2 WHITE PAPER: OAUTH ca.com/jp OAuth 3 OAuth 4 OAuth 6 OAuth OAuth 8 CA API Gateway OAuth 9 OAuth Toolkit 10 CA API Gateway 2-legged OAuth 3-leg

OneDrive for Businessのご紹介

CA Federation ご紹介資料

Mobile Access簡易設定ガイド

Active Directory フェデレーションサービスとの認証連携

1. へアクセスしてください Licensing Portal を利用するためには へアクセスしてください もしくは ベリタスのホームページ から Customer Cente

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

intra-mart Accel Platform

DocuWorks Mobile 障害切り分け手順書

OSSTechドキュメント

How to Use the PowerPoint Template

OneDrive for Businessのご紹介

PowerPoint プレゼンテーション

intra-mart Accel Platform — OData for SAP HANA セットアップガイド   初版  

Oracle Secure Enterprise Search 10gを使用したセキュアな検索

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

eidas とは? eidas: Electronic identification and trust services EUで定めた電子認証や電子署名を含めたトラストサービスに関する規則 電子認証やトラストサービスを普及させることで 国境を越えた電子取引を安全かつシームレスに実現させることが目的

2 ログイン ( パソコン版画面 ) Web サイトのログイン画面が表示されます 通知メールに記載されている ID と仮パスワードを入力して ログイン ボタンをクリックしてください ID パスワードを連続して 5 回間違うと 当 I D はロックアウト ( 一時的に使用不可 ) されるので ご注意く

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

PFUタイムスタンプの使い方

Googleカレンダー連携_管理者マニュアル

CubePDF ユーザーズマニュアル

手順例_Swivel_SSL証明書

ご利用のコンピュータを設定する方法 このラボの作業を行うには 事前設定された dcloud ラボを使用するか 自身のコンピュータをセットアップします 詳細については イベントの事前準備 [ 英語 ] とラボの設定 [ 英語 ] の両方のモジュールを参照してください Python を使用した Spar

WL-RA1Xユーザーズマニュアル

JAVA.jar 形式編 改版履歴 版数日付内容担当 V /4/1 初版 NII V /2/28 JKSコマンドの修正 署名確認作業の補足追加 NII V /2/26 キーストアファイルの形式を JKS から PKCS12 に変更 動作環境の変更に伴う

Notesアプリが iPadで動くDomino Mobile Apps ご紹介

Presentation Arial Narrow 28 pt

Ver.60 改版履歴 版数 日付 内容 担当 V /7/8 初版発行 STS V..0 04// Windows 8. の追加 STS V..0 05//5 Windows XP の削除 STS V.30 05/8/3 体裁の調整 STS V.40 05//9 Windows0 の追加

Microsoft Word - office365利用手順書.doc

UCCX ソリューションの ECDSA 証明書について

勉強会の流れ Google API の概要 デモ curl で実際に体験 Copyright 2010 SRA OSS, Inc. Japan All rights reserved. 2

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

Windows PowerShell 用スクリプト形式編 改版履歴 版数 日付 内容 担当 V /4/1 初版 NII V /2/26 動作環境の変更に伴う修正 NII V /8/21 タイムスタンプ利用手順の追加 NII 目次 1. コード署名用証明

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

パスワードの変更(更新時など)

YCU メール多要素認証の設定方法 ( 学生向け推奨マニュアル ) 2019 年 3 月 横浜市立大学 ICT 推進課 1

Microsoft PowerPoint FreeXAdES-miyachi.pptx

SAML認証

目次 1 章はじめに 本書の利用について Web ブラウザーについて 章 kintone でタイムスタンプに対応したアプリを作成する kintone にログインする kintone でアプリを作成する

2. 設定画面から 下記の項目について入力を行って下さい Report Type - 閲覧したい利用統計の種類を選択 Database Usage Report: ご契約データベース毎の利用統計 Interface Usage Report: 使用しているインターフェイス * 毎の利用統計 * 専用

SinfonexIDaaS機能概要書

Microsoft PowerPoint _Spotfire Installation from Scistore.pptx

AppsME(kintone)_セットアップガイド

Microsoft Word - Win-Outlook.docx

KDDI Smart Mobile Safety Manager Apple Business Manager(ABM) 運用マニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

OpenAM(OpenSSO) のご紹介

WSMGR for Web External V7.2 L50 ご紹介

Microsoft Word - 電子署名利用マニュアル(Microsoft Office 2010)kat

2

はじめに インフォマート API の呼び出しには OAuth2.0 による認証を受ける必要があります OAuth2.0 を使うことで インフォマート API を利用するサービスは インフォマートプラットフォーム ID( 1 以下 PFID) とパスワードを保存したり処理したりすることなく PFID

目次 2 1. 実施内容 スケジュール ご依頼事項 加盟店様への影響 購入者様への影響 07 6.TLS1.2 未満使用停止の背景 08 7.FAQ 09

メール利用マニュアル (Web ブラウザ編 ) 1

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

学認とOffice 365 の 認証連携

ROBOTID_LINEWORKS_guide

NISSHO ELECTRONICS

Adobe Readerの使い方

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

スライド 1

OpenVPN接続マニュアル

PowerPoint プレゼンテーション

Transcription:

PKI Day 2014 新しい電子署名 ~ クラウド / モバイル署名と非 PKI 署名 ~ 宮地 (miyachi@langedge.jp) 電子署名 WGサブリーダー / スキルアップTFリーダー ( 有限会社ラング エッジ ) 2014 年 3 月 13 日

最初に : 電子署名とは? http://ja.wikipedia.org/wiki/ 電子署名より電子署名とは 電磁的記録 ( 電子文書 ) に付与する 電子的な徴証であり 紙文書における印やサイン ( 署名 ) に相当する役割をはたすものである 主に本人確認 偽造 改竄 ( かいざん ) 防止のために用いられる つまり以下 2 項目を目的とした技術であると言える 1: 否認防止 ( 本人確認 ) 誰が 2: 改ざん防止 ( 真正性確認 ) 何に PKI を利用した電子署名は電子署名の一種に過ぎない 本日は初心に戻り電子署名を見直してみる Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 2

もう 1 つ : 利用環境の変化 ご存知のように近年 IT の利用環境が激変している クライアント環境 : PC 利用からモバイル端末を含んだ環境へ広がった 別の見方としてスマートフォンは個人端末となった サーバ環境 : オンプレミスからクラウドへ環境が広がった 単独サービスから複数サービスのマッシュアップへ 認証技術の標準化により認証レベルの明確化 クラウドとモバイルの 2 つの環境変化が同時に進行中 本日は利用環境の変化から電子署名を見直してみる Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 3

新しい電子署名 : 本日のアジェンダ 1) 全体の説明 ( 宮地 ) 電子署名の技術分析と分類他 2) 最新トレンドの紹介 ( 亀田さん ) クラウド署名 :AWS CloudHSM 非 PKI 署名 :OCRA ワンタイムパスワード 3) クラウド署名とモバイル署名 ( 宮地 ) 4) 電子署名 WG の活動計画 ( 宮地 ) Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 4

電子署名の技術分析と分類 大分類小分類特徴補足 PKI 電子署名 従来の PKI 電子署名 ( 日本署名法型 ) 新しい PKI 電子署名 ( ドイツ署名法型 ) Shell model により有効期限が切れる前に再タイムスタンプが必要 Chain model によりアルゴリズムが危殆化しない限り再タイムスタンプは不要 間違い無いが面倒クラウドやモバイルへの対応が望まれている 最近 PKI モデルが日本と異なる事が判明運用が日本型より楽でも相互運用性は? 非 PKI 電子署名 ハッシュ応用やワンタイムパスワード エビデンス保管型 ( 米国署名法型 ) ガードタイム方式やハッシュツリー応用等の新技術 証拠を残す事で本人確認や真正性を担保 用途限定では普及している分野もあり事例もある 米国型クラウド署名で採用されている ( クラウド署名で説明 ) Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 5

PKI 電子署名 :Shell model ( 日本他 ) Root 証明書 CA 証明書 EE 証明書 こうならないように長期署名が必要 時間 長期署名では有効期限が切れる前にアーカイブタイムスタンプを定期的に付与し続ける必要がある 署名時刻検証時刻 1 有効 有効 検証時刻 2 無効 無効 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 6

PKI 電子署名 :Chain model ( ドイツ採用 ) Root 証明書 要調査! 電子署名 WG で調査予定 CA 証明書 EE 証明書 検証情報は証明書の有効期限後も発行される でもそれって CRL だとサイズが大きくならない? 時間 長期署名ではアルゴリズムの危殆化が生じた場合だけアーカイブタイムスタンプを付与する でもこれで良いのか?? 相互運用性の問題もあるのできちんと理解しておく必要があると考えている 署名時刻検証時刻 1 有効 検証時刻 2 有効 有効 ( アルゴリズム危殆化まで ) Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 7

非 PKI 電子署名 : ガードタイム方式 公表コード : カレンダーを結合して毎月 1 個のハッシュ値を生成し公文書館に保管される新聞に掲載 検証カレンダー : 複数のデータから生成したハッシュ値を結合し世界で毎秒 1 個のハッシュ値を生成しネット上に公開 検証 : オリジナルデータ 取得したキーレス署名 カレンダーを使って計算したハッシュ値を新聞に公表されたハッシュ値と照合し データの非改ざん性を検証 http://www.guardtime.com/ 非 PKIの根拠は 証明書等の信頼チェーンでは無く 新聞に公開されたハッシュ値を利用して信頼性を確保する為 単独で検証が可能 全て数学的な仕組みの為にハッシュアルゴリズム危殆化まで有効である ガードタイム社はシンガポールに本社があり欧米で使われている 標準化が望まれる サーバ署名やタイムスタンプのかわりに使えるが 誰が は保証できない Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 8

非 PKI 電子署名 : 電子証拠 (Digital Evidence) 米国の電子署名法は PKI 電子署名は要求していない 米国電子署名法の電子署名の定義 : 契約に添付された あるいは論理的にその契約と関連づけられる電子音 電子的記号 または電子的プロセス つまり何らかの電子的なエビデンス ( 証拠 ) があれば良い 電子的プロセスと言う意味ではクリックによる同意の証拠を保管 電子的な同意プロセスとその電子証拠 (Digital Evidence) が重要 電子証拠の一種として PKI 電子署名も含まれるがより広く捉える 米国 / 英国では Digital Evidence のガイドラインやルールがある http://en.wikipedia.org/wiki/digital_evidence Digital Evidence (Electronic Evidence) http://www.acpo.police.uk/documents/crime/2011/201110-cba-digital-evidence-v5.pdf Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 9

秘密鍵を守る :SSCD(Secure Signature Creation Device) SSCD には HSM 以外にもスマートカードや USB トークンも含まれる 他にモバイルの SIM カードも SSCD の一種である DTBS SAD SCD SCDev Data to be Signed SCDid Signature Creation Data Identifier Signer's Activation Data SSA Server Signing Application Signature Creation Data HSM Hardware Security Module Signature Creation Device SSCD Secure Signature Creation Device Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 10

最新トレンドの紹介 JIPDEC 客員研究員 / 日本セーフネット株式会社 亀田治伸氏 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 11

クラウド署名とモバイル署名 クラウドとモバイルは表裏一体の関係 主なクラウド署名サービスはモバイルに対応済み クラウド : クラウドは単にサービスをクラウド上に置くだけでは無い REST API によりマッシュアップ可能であることが重要 本日はクラウド署名を API から分析する モバイル : モバイル ( スマートフォン等 ) の利用は今や大前提になった PC と異なりモバイルはパーソナル端末と言う特徴がある 本日はサーバ ( クラウド ) との連携した署名利用を分析する Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 12

主なクラウド署名サービスの現状 サービス名種類入出力 API 他 ProSale Signing (Comfact AB) スウェーデンの会社 PKI 電子署名 入出力 :PDF 形式 API 利用可能 (OASIS DSS 可能 ) 認証は独自と SAML に対応証明書と秘密鍵は自動作成されるモバイルアプリはまだ無いようだ欧州 ETSI 標準に準拠予定 EchoSign (Adobe Systems) PKI サーバ署名 入出力 :PDF 形式 REST API 利用可能認証は独自か?(OAuth っぽいが ) PC/MacOS の Adobe Reader で利用可能 ios/android の Adobe Reader でも対応米国署名法に対応? SignNow (Barracuda Networks) 非 PKI 電子署名 ( 合意システム ) 入力 :doc/docx/pdf/png 出力 :PDF 形式 REST API 利用可能 ( シンプルな API) 認証は独自と OAuth2.0 に対応 ios/android アプリ公開中米国署名法に対応? DocuSign (DocuSign, Inc.) -MS と提携 - PKI サーバ署名 入出力 :MS-Office 文書及びPDF 形式 Office365と連携可能 OneDriveに保存 SOAP の API も提供 (REST へ移行中?) REST API 利用可能 (API 数が多い!) 認証は OAuth2.0 に対応 Windows Azure Active Directory も対応 ios/android アプリ公開中米国署名法に対応? Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 13

クラウド署名 1: ProSale Sigining https://www.comfact.com/product/signing/ スウェーデン Comfact 社が開始した PKI クラウド署名サービス Comfact 社は ETSI Plugtest にも参加している会社 電子署名以外に e-seal( 法人電子署名 ) や HSM 等も扱っている メールアドレス登録は必要ですがフリートライアルが試せます 証明書 / 秘密鍵も発行されます HSM にて秘密鍵を管理 署名証明書は WebTrust 認証されたオランダの認証局 サブジェクトは SerialNumber のみ個別で少し寂しい 多国語に対応すると言っていましたが既に 8 言語に対応済み 日本語ニーズがあれば対応するそうです Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 14

クラウド署名 1: ProSale Sigining の API https://www.comfact.com/product/api/ まだ API の詳しい情報は無いようだ 要求中 良く見たら ABC 順に並んでいるだけでシーケンスを示していない クリックして API の説明を見ることができそうだけど これ単なる画像なんですよね 欧州標準化完了がまもなくなのでこれからに期待か PKI クラウド署名の実例としては期待できそう Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 15

クラウド署名 2:EchoSign https://www.echosign.adobe.com/ Adobe が買収したクラウド署名サービス 現在は Adobe Reader/Acrobat に統合されたサービスに Adobe Reader からも署名タブで利用可能 Adobe CDS 証明書で PKI 電子署名される <echosign-certified@adobe.com> Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 16

クラウド署名 2:EchoSign の API https://secure.echosign.com/public/docs/restapi/v1 EchoSign REST API Version 1 tokens : Access Tokens ( 認証してアクセストークンを取得 ) post /auth/tokens Issues an access token for a user of an application. API の感想 : シンプルで良くまとまっている transientdocuments : Transient Documents ( ドキュメントのアップロードとドキュメント ID 取得 ) post /transientdocuments Uploads a document and obtains the document's ID. agreements : Agreements ( 合意処理 否認防止 本人確認の為に重要 ) post /agreements get /agreements get /agreements/{agreementid} get /agreements/{agreementid}/documents get /agreements/{agreementid}/documents/{documentid} get /agreements/{agreementid}/audittrail get /agreements/{agreementid}/combineddocument put /agreements/{agreementid}/status reminders : Reminders ( 催促 ) post /reminders Creates an agreement. Sends it out for signatures. Retrieves agreements for the user. Retrieves the latest status of an agreement. Retrieves the IDs of all the. Retrieves the file stream of a document of an agreement. Retrieves the audit trail of an agreement identified by agreementid. Gets a single combined PDF document for the documents associated. Cancels an agreement. Sends a reminder for an agreement. users : Users ( ユーザ操作 ) post /users get /users librarydocuments : Library Documents ( 保管ドキュメント操作 ) get /librarydocuments get /librarydocuments/{librarydocumentid} get /librarydocuments/{librarydocumentid}/documents get /librarydocuments/{librarydocumentid}/documents/{documentid} get /librarydocuments/{librarydocumentid}/audittrail get /librarydocuments/{librarydocumentid}/combineddocument Creates a new user in the Echosign system Gets all the users in an account. Retrieves library documents for a user. Retrieves the details of a library document Retrieves the ID of the document associated with library document Retrieves the file stream of a library document. Retrieves the audit trail associated with a library document Retrieves the combined document associated with a library document Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 17

クラウド署名 3:SignNow https://signnow.com/ Barracuda Networks, Inc. のクラウド ( モバイル ) 署名サービス 以前は PKI 電子署名をサーバ署名として付与していたはず 試してみたら現在は非 PKI 型になっているようだ PKI 電子署名の署名フィールド作成は可能 メールアドレスを登録すると 1 ヶ月のフリートライアルが可能 PKI 電子署名は付与されない Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 18

クラウド署名 3:SignNow の API https://signnow.atlassian.net/wiki/display/sapi/rest+endpoints SignNow API /user ( ユーザ操作 ) POST /user GET /user GET /user/documentsv2 /oauth2 ( 認証してアクセストークン取得 ) POST /oauth2/token GET /oauth2/token /document ( ドキュメントと署名の処理 ) POST /document PUT /document/<id> GET /document/<id> GET /document/<id>/download POST /document/<id>/invite POST /document/<id>/download/link POST /notaryinvite Create a user. Recently changed to not generate a token. Retrieve a user resource. Retrieve a list of the user s documents. Request an access token for a user. Verify an access token for a user. API の感想 : シンプルだけどシンプルすぎるかも? Uploads a file and creates a document. Update an existing document. Retrieve a document resource. Download a collapsed document. Create an invite to sign a document. Creates a one-time use URL for anyone to download the document as a PDF. Create a notary invite to sign a document. Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 19

クラウド署名 4:DocuSign https://www.docusign.com/ DocuSign, Inc. のクラウド署名サービス 以前は非 PKI 電子署名だったはず 試してみたら現在は PKI 型のサーバ署名になっているようだ Adobe Root CA のサーバ署名が メールアドレスを登録すると 2 週間のフリートライアルが可能 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 20

クラウド署名 4:DocuSign と Office365 http://www.microsoft.com/en-us/news/press/2014/feb14/02-17docusignpr.aspx 2014 年 2 月 17 日に米 Microsoft が DocuSign と提携を行い Office 365 に電子署名機能を統合すると発表 3 月初旬に Office365 から DocuSign アプリケーションを実行可能に DocuSign 上のドキュメントは自動的に Microsoft OneDrive for Business に保存 Azure Active Directory により Office365 の認証情報で DocuSign のシングルサインオンが可能 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 21

クラウド署名 4:DocuSign の API https://www.docusign.com/sites/default/files/rest_api_guide_v2.pdf DocuSign REST API version 2 ( 抜粋 ) /oauth2 ( 認証してアクセストークン取得 ) /login_information ( ユーザ情報 ) /accounts (DocuSign 操作 ) /accounts/{accountid} /accounts/{accountid}/billing_plan /accounts/{accountid}/brands /accounts/{accountid}/connect /accounts/{accountid}/custom_fields /accounts/{accountid}/envelopes /accounts/{accountid}/folders /accounts/{accountid}/groups /accounts/{accountid}/permission_profiles /accounts/{accountid}/recipient_names /accounts/{accountid}/search_folders /accounts/{accountid}/settings /accounts/{accountid}/templates /accounts/{accountid}/unsupported_file_types /accounts/{accountid}/users /accounts/{accountid}/views/console /accounts/provisioning /billing_plans ( 支払プラン情報 ) Account for information operations. Account billing plan operations. Account bland profile operations. DocuSign Connect operations. Gets a list of all envelope custom fields associated. Send envelopes, get envelopes information. Account folder operations. Group operations. Permission profiles operations. Get Recipient Names. Get List of Envelopes in a Folders. Account setting operations. Template of account. Get List of Unsupported File Types. Account user operations. Post Authentication View. Get Account provisioning information. API の感想 : ここに書いたのはほんの一部 全 120API ある 高機能のようだが難しそう Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 22

既存クラウド署名サービス API まとめ 多くのサービスが OAuth2.0 認証をサポート 認証は重要 今後 OpenID Connect 等の対応も期待 ほぼ全てのサービスが REST API をサポート クラウドサービスと言うなら REST API は必須! API は標準化されておらず各サービスでバラバラ サービス内容も異なるので仕方が無い面もある OASIS DSS (XML 署名 ) もあるがさすがに古い 署名よりも合意プロセスを重視した API がメインか 米国系のサービスが多い為にこれも仕方が無い 今後は欧州系 PKI 電子署名サービスに期待できそう curl による REST API の利用例も多く見かけた Good! ハンズオンの勉強会ができそう! Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 23

モバイル署名 : はじめに モバイル署名は欧州では昔から注目されていた 現在 ETSI にてモバイル長期署名フレームワーク策定中 SR 019 020 Rationalised Framework of Standards for Advanced Electronic Signatures in Mobile Environment http://www.e-signatures-standards.eu/mission 現在はドラフトが上記 URL から入手可能 CAdES/XAdES/PAdES 等と同じく ESI で策定している フレームワークを策定して シナリオ毎に利用ケースを想定して普及と標準化を目指している 本日は主なシナリオを紹介する Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 24

モバイル署名のシナリオ ローカル署名 : モバイル自身で署名を行うシナリオ シナリオ 1: モバイルから直接署名サーバ呼び出して署名 シナリオ 2: サービス提供者から署名サーバ経由で署名 シナリオ 3: モバイル自身で署名生成を全て行う リモート署名 : 署名サーバで署名を行うシナリオ シナリオ 1: モバイルから直接署名サーバ呼び出して署名 シナリオ 2: サービス提供者から署名サーバ経由で署名 モバイルは署名の承認処理を行う 鍵分割署名 : モバイルと署名サーバで鍵を分割して保有 署名検証 : モバイルからの要求で検証サーバが検証する ETSI 仕様とは少し異なる分類 ETSI もまだまとまっていない? Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 25

モバイル署名 : ローカル署名シナリオ 1 モバイルから直接署名サーバを呼び出して署名 署名サーバ サービス提供者 3 ドキュメント生成とハッシュ値計算 2 署名要求 署名者 1 署名要求 4 ハッシュ値 5 署名値 6 ドキュメントへ署名データ埋込 7 署名結果 SSCD (SIM 等 ) 8 署名結果 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 26

モバイル署名 : ローカル署名シナリオ 2 サービス提供者から署名サーバ経由で署名 署名サーバ 2 署名要求 サービス提供者 3 ドキュメント生成とハッシュ値計算 4 ハッシュ値 署名者 1 サービス利用 5 署名値 SSCD (SIM 等 ) 6 ドキュメントへ署名データ埋込 7 署名結果 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 27

モバイル署名 : サーバ署名シナリオ 2 サービス提供者から署名サーバ経由で署名 署名サーバ 2 署名要求 サービス提供者 3 署名の承認要求 4 承認要求 署名者 1 サービス利用 SSCD (HSM 等 ) 7 署名データとドキュメントの生成 6 署名承認 8 署名結果 5 要求内容の確認 ( ハッシュ値等 ) Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 28

ETSI モバイル長期署名のまとめ モバイルによる長期署名の標準化ニーズは強い モバイル長期署名が CAdES/XAdES/PAdES と同レベル モバイルが非力な時代の影響が残っている 昔から使われているのでその時代の前提が多い 現在のスマートフォンやタブレットは能力が高い クラウド利用において重要な API に全く触れていない 利用シナリオの分析と利点 問題点の整理がメイン まだドラフトレベルで内容もまとめきれていない 今後も継続してチェックして行く必要はあるだろう その他注目点 署名鍵の分割とは具体的にどうやるのか? 検証シナリオはモバイルに限らず重要と考える Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 29

クラウド署名 モバイル署名の考察 REST API 公開とモバイル連携が前提 クラウド署名と言えばモバイル署名を含む API 標準化やモバイルシナリオ整理が望ましい 認証は重要 ( 署名に必要な LoA を良く考える ) 署名時には ID/ パスワード以外の要素で認証を 認証レベルが担保されるならサーバ署名も可能 秘密鍵のサーバ預託時には SSCD でしっかり管理 サーバ内の SSCD 署名プロセス標準化も必要 モバイルに秘密鍵を持つケースも考慮が必要 非 PKI 電子署名も含めて考えて行く必要あり 電子エビデンスの調査や標準化 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 30

電子署名 WG の活動計画 スキルアップ TF で新しいことにチャレンジ! 今年スキルアップ TF では勉強会を開いてきた 来年は成果が残る活動をメインにしたい テーマ案 : クラウド署名やサーバ署名の標準化 非 PKI 電子署名の調査 ( 電子エビデンス ) PKI 署名に関しても新しい方式等の調査 試験環境 ( 遊び場プロジェクト ) の推進 オープンソースプロジェクトの推進 一般 (JNSA 非会員 ) 向けの勉強会実施 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 31

これまでのスキルアップ TF 勉強会実績 第 1 回 :7 月 : 長期署名入門講師 > 電子署名 WG オールスター宮崎氏 佐藤氏 石本氏 西山氏 宮地第 2 回 :8 月 : クラウド署名と HSM 講師 > タレス ジャパン住田氏 セーフネット /JIPDEC 客員研究員亀田氏 他 第 3 回 :9 月 : jsrsasign / jsjws 勉強会講師 > 富士ゼロックス漆嶌氏補足 >JavaScript による RSA/PKI モジュールと JSON 署名第 4 回 :10 月 : PDF 電子署名仕様入門講師 > ラング エッジ宮地第 5 回 :11 月 : クラウド時代のデータセキュリティ講師 > ガードタイム柳原氏補足 > ガードタイム社による非 PKI 署名他第 6 回 :1 月 : 電子署名 WG 合宿ダイジェスト そろそろネタ切れなので継続した 勉強会は難しい 第 7 回 :2 月 : オープンデータにおける署名 タイムスタンプの活用講師 > ラング エッジ宮地 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 32

遊び場プロジェクト ~ プログラマの為のお試しと教育の環境構築 ~ CA 機能 TSA 機能情報公開署名機能検証機能 Cert & Key CA Certs CRL OCSP Time stamp Info & Sample Sign Verify 証明書 鍵サービス 対話画面による発行 OpenSSL の CA 機能認証連携 リポジトリ公開 HTTP LDAP CA 証明書は公開 CRL は定期的に更新出来れば CSP/CP 等も OpenSSL の簡易 CA 機能を利用画面は作成が必要 OCSP 発行 証明書 DB または CRL 連動し発行 OpenSSL で可能? ocsp オプション利用 証明書 秘密鍵は登録制等にして完全フリーは難しいかも 一応本人確認くらいはする? OCSP は最初は無くても良いかもしれない タイムスタンプ発行 CA 機能で TSA 証明書を準備 準備完了 FreeTSA 認定 TSA からの提供も歓迎 ソース他公開 各機能実装情報やサンプルを公開 Wiki, Blog GitHub 等 長期署名サンプル等ノウハウも サービス提供 JNSA ではかつて チャレンジ PKI http://www.jnsa.org/mpki/index_j.html があった 今は使えない サービス提供 API や対話画面を用意してクラウド的にモバイル署名も考慮して検討する Ruby on Rails 等か CA 機能と連携? FreeXAdES, jsrsasign 等の利用 クラウド署名の実証実験的にできるとベスト HSM 等使えると面白い 興味を持った技術者がフリーで使えてプラグテストや実証実験にも使える! Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 33

クラウド署名 モバイル署名の実証実験 目的 ( 世界に先がけて標準化 ): 認証と連携したクラウドの署名 検証を API 化 認証に OpenID Connect with OAuth2.0 等を利用し IdP 連携 出来れば SSCD(HSM) 等も試したい ( 協力や協賛を募集 ) 同意プロセス等も実際に実装してみて課題を調査検討 機能を整理して将来は標準化やガイドラインへ モバイル機器との連携を行う ( モバイル署名 ) 秘密鍵の持ち方や手順を検討して実際に試せる環境を ios/android の署名 検証アプリの試作も行いたい 実証実験に必要となるお試しインフラの整備 オープンソースプロジェクトの積極利用と新規開発 協賛頂けるベンダーからリソースの提供を受ける Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 34

クラウド署名 モバイル署名の実証実験 IdP(ID プロバイダ ) 認証 : OpenID Connect with OAuth2.0 対応 IdP を利用 API: 必要機能を検討 API を用意提供ガイドライン作成 CA TSA HSM 実証実験環境 インフラ : 協賛を募る整備する ユーザ管理 API 署名付与 API 長期保管 API 署名検証 API 同意操作 API mixi Connect YConnect 認証確認 証明書発行 その他 サーバ署名 モバイル署名 アーカイブタイムスタンプ 検証結果表示 非 PKI 署名 電子エビデンス クライアント環境 PC 環境 : ブラウザによる操作を提供 ios 環境 : 専用アプリを提供 Android 環境 : 専用アプリを提供 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 35

FreeTSA プロジェクトお試し http://www.langedge.jp/tsa RFC3161 タイムスタンプお試しの為のフリープロジェクト OpenSSL 1.0.X 系と Apache + Perl でお手軽 TSA 構築 http://www.langedge.jp/blog/index.php?itemid=665 フリー TSA 公開中なので試せます!( curl が必要 ) // タイムスタンプリクエストの生成 > openssl ts -query -data test.txt -cert -sha512 -out req.tsq Loading 'screen' into random state - done // タイムスタンプリクエストの送信とレスポンスの取得 > curl -k --data-binary @req.tsq "http://www.langedge.jp/tsa" > resp.tsr % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 2966 100 2864 100 102 20457 728 --:--:-- --:--:-- --:--:-- 20457 // タイムスタンプレスポンスを使った検証 > openssl ts -verify -data test.txt -in resp.tsr -CApath root.pem -CAfile root.pem Verification: OK 課題 : タイムスタンプトークンの抽出ができない > Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 36

一般向けの勉強会やハンズオン実施 一般開発者向けに勉強会やハンズオンを実施 署名や証明書発行やタイムスタンプの使い方を解説 実際に API をたたいて貰ったりプログラミングしたりする PKI 基礎知識を説明し利用する可能性をアピールする PKI 若手育成と新規参入者の獲得を目指す PKI 業界開発者 既存 PKI 技術者のスキルアップを図る クラウド業界等一般開発者 裾野を広げて電子署名技術の一般化を目す! Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 37

おまけ :Adobe 信頼性管理マネージャー http://blogs.adobe.com/publicpolicy/2014/01/22/update-alignment-of-adobe-approved-trust-list-aatl-and-eu-trust-list-eutl/ Update: Alignment of Adobe-Approved Trust List (AATL) and EU Trust List (EUTL) 2014/01/14 アップデート (Reader/Acrobat 11.0.06) にて EU の Trust List がサポートされた! 日本はどうするの? (; Д ) Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 38

ご清聴ありがとうございました 電子署名 WG への参加者募集中です! https://www.facebook.com/eswg.jnsa.org Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 39

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック