電子文書交換のための署名とコンテナの構造

Similar documents
最近の電子認証・署名の考え方

2

PDF/Adobe Acrobat/Acrobat Reader ISO :2008 準拠 Adobe PDF PC 版 Acrobat Reader の電子署名機能 ( 署名 / 検証 ) は PC 版 Acrobat とほぼ同じです 作成 編集 閲覧 検証機能は Acrobat も

eidas とは? eidas: Electronic identification and trust services EUで定めた電子認証や電子署名を含めたトラストサービスに関する規則 電子認証やトラストサービスを普及させることで 国境を越えた電子取引を安全かつシームレスに実現させることが目的

欧州における電子署名技術の最新動向

マイナンバーカードによる認証と署名

Adobe Readerの使い方

Adobe Reader 署名検証設定手順書

WL-RA1Xユーザーズマニュアル

<4D F736F F F696E74202D204A4E E718F9096BC574795D78BAD89EF8E9197BF5F8CF68A4A97702E >

PowerPoint プレゼンテーション

/02/ /09/ /05/ /02/ CA /11/09 OCSP SubjectAltName /12/02 SECOM Passport for Web SR

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

WebReportCafe

Microsoft Word - 30-PDFガイド.doc

XAdES長期署名プロファイル(案)

電子メールのセキュリティ

CMS長期署名プロファイル(案)

小特集暗号と社会の素敵な出会い 1. マイナンバーと電子署名 電子認証 基応専般 手塚悟 ( 東京工科大学 ) マイナンバーとは IC 図 -1 電子署名 電子認証とは 電子署名と電子認証の違い 1058 情報処理 Vol.56

/07/ /10/12 I

52-04・05.indd

Active Directory フェデレーションサービスとの認証連携

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

JAVA.jar 形式編 改版履歴 版数日付内容担当 V /4/1 初版 NII V /2/28 JKSコマンドの修正 署名確認作業の補足追加 NII V /2/26 キーストアファイルの形式を JKS から PKCS12 に変更 動作環境の変更に伴う

フォント埋め込みに関する調査報告 プラネットファーマソリューションズ株式会社 2019 年 05 月 31 日 Copyright 2019 Planet Pharma Solutions, Inc. All Rights Reserved.

EOS 名人.NET Ver1.3.0 以降をご利用の場合 a. 流通業界共通認証局証明書ポリシー (CP) の改訂署名アルゴリズム SHA-1 から SHA-2 への変更 この

Windows PowerShell 用スクリプト形式編 改版履歴 版数 日付 内容 担当 V /4/1 初版 NII V /2/26 動作環境の変更に伴う修正 NII V /8/21 タイムスタンプ利用手順の追加 NII 目次 1. コード署名用証明

F5 ネットワークス BIG-IP CSR作成/証明書インストール手順書

インターネットファームバキグ 電子証明書ガイドブック ~証明書取扱手順編~ - 契約会社向け -(対応 OS :Windows 8)

Microsoft Word - 電子署名利用マニュアル(Microsoft Office 2010)kat

全てのパートナー様に該当する可能性のある 重要なお知らせです 2015 年 8 月 28 日 パートナー各位 合同会社シマンテック ウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加 および DNS Certification Authority Authorizatio

PFUタイムスタンプの使い方

UCCX ソリューションの ECDSA 証明書について

長期署名フォーマットの標準化と日欧相互運用実験

FIDO技術のさらなる広がり

Microsoft PowerPoint - X-Road.pptx

OpenLAB Data Store Release Notes

アマノタイムスタンプサービス 3161 中間 CA 証明書設定後の動作確認手順書 Ver 年 10 月 03 日株式会社ハイパーギア

<4D F736F F D F81798E518D6C8E9197BF33817A88C38D868B5A8F70834B D31292E646F63>

<< 目次 >> 1 PDF コンバータのインストール ライセンスコードの入力 PDF にフォントを埋め込みたい場合の設定 PDF オートコンバータ EX で使用しない場合 PDF コンバータ単体で使用する場合の説明 PDF コンバータのアン

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

PKI(Public Key Infrastructure: 公開鍵暗号基盤 ) の活用 1 認証局ソフトウェアで証明書を発行する認証局ソフトウェア (Easy Cert) で認証局を構築する手順を示す この Easy Cert は名古屋工業大学電気情報工学科の岩田研究室で開発された暗号ライブラリを

WebReportCafe

提出者用端末要件 目次 提出者用 端末要件 - i -

CubePDF ユーザーズマニュアル

BIP Smart FAQ

VPN 接続の設定

Juniper Networks Corporate PowerPoint Template

Microsoft Word - RefWorksコース( _.doc

CA Federation ご紹介資料

Ver.60 改版履歴 版数 日付 内容 担当 V /7/8 初版発行 STS V..0 04// Windows 8. の追加 STS V..0 05//5 Windows XP の削除 STS V.30 05/8/3 体裁の調整 STS V.40 05//9 Windows0 の追加

FUJITSU Cloud Service K5 認証サービス サービス仕様書

IIS8でのクライアント証明書の設定方法

スタートガイド〈サービス利用準備編〉

第 32 回文書ファイルの保存に関する Word の裏技 WORD2013 の裏技 第 32 回文書ファイルの保存に関する Word の裏技 1. 新しく作成した文書に名前を付けて保存する方法 作成した文書をファイルとして保存しておけば 後から何度でも利用できる 文書をはじめて保存する場合は 文書に

Android用 印刷プラグイン Canon Print Service マニュアル

BIP Smart サンプル説明書

DocuWorks Mobile 障害切り分け手順書

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

PALNETSC0184_操作編(1-基本)

Microsoft Word - RefWorksコース doc

ビューアページ画像の仕様

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

フォルダ構成例 (BIB-J) は必須ファイル は任意ファイル ( 電子付録等をアップロードする際に作成する ) 資料コード巻号記事識別子 XML ファイル { 記事識別子 }.xml { 記事識別子 }_{ 連番 }.{ 拡張子 } { 記事識別子 }.txt { 記事識別子 }_{ 連番 ].{

モバイル統合アプリケーション 障害切り分け手順書

ポリシー保護PDF閲覧に関するFAQ

16 e-tax e-tax e-tax e-tax GPKI e-tax e-tax URL

Transcription:

2012 年度電子署名 認証業務普及セミナー 電子文書交換のための 署名とコンテナの構造 一般財団法人日本情報経済社会推進協会主席研究員木村道弘 1

目次 1. 署名検証における信頼点 2. 文書 / 記録の信頼性 3. 文書 / 記録交換用コンテナ構造 2

1. 署名検証における信頼点 平成 24 年 4 月 25 日内閣官房情報セキュリティセンター (NISC) PDF ファイルの改ざんによるサイバー攻撃への対策について この度 平成 24 年 4 月 21 日より Adobe Reader 及び Adobe Acrobat において GPKI 認証局の自己署名証明書の自動配信が開始されました これにより 政府機関が GPKI を用いて電子署名を付与した PDF ファイルは 同ソフトウェアで閲覧すると PDF ファイルの入手方法によらず PDF ファイルの発行者が政府機関であること 及び改ざんされていないことが自動的に確認できるようになりました NISC 報道記事 ( 抜粋 ) 3

GPKI 認証局の役割 アプリケーション認証局 官職認証局 Web サービスと組織の対応付け Web サービス 組織 / 官職 署名鍵 署名鍵と官職の対応付け Web ブラウザ ダウンロード ( 信頼できるのは画面上での表示のみ ) 署名付き文書 ( 電子的な流通 ) 4

署名検証ツールにおける信頼点 ( トラストアンカー ) 署名の自動検証を行うためにはツールに信頼点を登録する必要がある 専用の署名検証ツール ツールをインストール 方式 3 登録された信頼点 信頼点を自動インポート アプリケーション (PDF など ) 内部に信頼点 アプリケーション (PDF など ) 専用の署名検証ツール 方式 1 汎用の署名検証ツール 信頼点の手動インポート 方式 2 専用ツール今後は 方式 3の方向へ 汎用ツール 5

Adobe Approved Trust List(AATL) Adobe Approved Trust List(AATL) とは アドビ認定の信頼できるルート証明書の一覧です この一覧に含まれているルート証明書は アドビおよび他の機関によって 特定の技術要件を満たしていることが確認されています Adobe Acrobat X および Adobe Reader X は この一覧に含まれるルート証明書を 信頼性の高いものであると認識します AATL には 各国政府や代表的な商用認証機関のルート証明書が含まれています それら認証機関から発行された電子証明書を使用して電子署名が付与された PDF ファイルを開く際には欠かせない仕組みです出典 :http://helpx.adobe.com/jp/x productkb/global/cpsid_93580.html Current AATL members CertEurope Keynectis Certicamara SA Logius Certinomis QuoVadis Limited ComSign Ltd. SwissSign AG CryptoLog International TC Trustcenter (Symantec) DigiCert Inc. United States Federal PKI Authority DigitalSign Unizeto Technologies Entrust Inc. U.S. Government (DoD) AC Firmaprofesional VeriSign (Symantec) GlobalSign WISeKey SA Intesa Japanese Government (Government Public Key Infrastructure) 出典 :http://helpx.adobe.com/acrobat/kb/approved trust list1.html 6

Web ブラウザにおける信頼点 ( トラストアンカー ) 政府認証基盤 (GPKI) アプリケーション認証局では WebTrust for CA ( 注 ) (Certification Authority) の規準に基づく検証報告書を取得しました これにより 政府認証基盤 (GPKI) アプリケーション認証局が発行した証明書は安全で信頼できるものとして認識され 利用者は安心して通信を行うことができるようになります また 主要な Web ブラウザにおいて 信頼されたルート証明機関 に自己署名証明書を登録するための条件を満たしたことになります ( 注 )WebTrust for CA とは 米国公認会計士協会 (AICPA) 及びカナダ勅許会計士協会 (CICA) が定めた 認証局についての業界最高水準の規準です 出典 :https://www.gpki.go.jp/ 7

トラストサービスタイプ 認証局 (CA) 適格証明書 (Qualified Certificate) 発行局タイムスタンピング局 (TSA) リポジトリ (OCSP) Certificate status provider リポジトリ (CRL) 登録局 (RA) 身元証明 Identity verification service 証明書生成 Certificate generation service which responds to requests for certificate generation from an authenticated source of identity information 属性認証局 (AA) アーカイブ Archival service 書留電子メール Registered Electronic Mail service 鍵供託 Key escrow service. PIN 発行 Issuer of PIN or password based identity credentials 署名ポリシ発行 Service responsible for issuing, publishing or maintenance of signature policies 評価制度 Assessment scheme トラストサービスリスト発行者その他 Trust service of an unspecified type 8

信頼点に関する海外動向 EU(TSL ; Trusted Service Provider List), MS, Adobeのマルチトラストモデル 評価 ( アセスメント ) 基準の標準化 評価結果を共有 出典 :ETSI TS 119 403 9

2. 文書 / 記録の信頼性 署名は真正性 完全性を担保するが.. SSL 認証局 Web サービスと組織の対応付け 組織 証明書への記載 or 属性証明書 認証局 署名鍵と本人の対応付け Web ブラウザ Web サービス ダウンロード 署名鍵 信頼に足る文書 / 記録であるか否かは別問題! 文書 / 記録の適切な管理が必要 署名付き文書 10

文書 / 記録の適切な管理とは 作成 承認 配付 保存 廃棄が組織的に実施され 且つ検証可能 ( トレーサブル ) なこと 求める文書 / 記録が容易に検索 活用できること (=メタ情報が適切に管理されていること) 組織は 文書 / 記録管理の成熟度を認識し レベルに応じた改善策を講ずると共に継続的に見直しをはかる必要がある 11

文書 / 記録管理の成熟度モデル 成熟度の評価レベル 定義 摘要例 0 未認識 未対応 記録管理の対応が個人 組織とも行われていない 記録管理の認識なし 記録管理の対応方法について知識を持つ要員もいない 紙の記録を中心に管理している 記録管理に対する認識や対応は個人に依存している 1 個人ごとによる対 記録管理の対応が個人ご 記録管理に対する認識や対応は個人に 応 2 部門ごとによる対応 3 全組織による対応 4 全組織による管理された対応 5 全組織による最適化された対応 とによる対応に留まる記録管理の対応が部門ごとに統一されているが 全組織で統一した対応は行われていない 記録管理の対応が全組織で標準化され 組織的な承認を得ている 全組織での標準化された記録管理の対応に加え 記録管理が基準通り実施されているかを管理 全組織による管理された対応に加え 記録管理を組織として継続的に改善 依存している 記録管理に対して 支店等の部門ごとに対応が定められ 文書化もされている 記録管理に対して 全組織としての対応が定められ 文書化もされており 手続き等も定められている 記録管理のばらつきやぶれが 基準からの逸脱として把握されている 全組織による最適化された対応 12

3. 文書 / 記録交換用コンテナ構造 電子文書構造の類型と電子署名 類型例電子署名備考 1 ASN.1 公開鍵証明書タイムスタンプ CMS 2 XML 任意のXML 文書 DSIG XAdES 3 PDF PDF 文書 PKCS#7 PAdES XAdES 4 ZIPコンテナ ODF 文書 ebook XAdES (or CAdES) 5 MIME 電子メール PKCS#7 CAdES 6 バイナリ 任意 AP 出力文書 CAdES or XAdES XFA CMS : Cryptographic Message Syntax DSIG : XML Signature XAdES : XML Advanced Digital Signature CAdES : CMS Advanced Digital Signature PAdES : PDF Advanced Digital Signature XFA: Adobe XML Forms Architecture 13

コンテナとは ドキュメント ( データ )+ メタ情報 ( 含 署名 ) の構造体 メタ情報 ドキュメント ドキュメント メタ情報 ( 署名 ) PDF (Portable Document Format) ISO 32000, ISO 19005 ASiC (Associated Signature Containers) ETSI TS 102 918 OCF (OEBPS Container Format)/(Open Container Format) EPUB ODF (Open Document Format) ISO 26300 UCF (Universal Container Format) Open Packaging Conventions ISO 29500 OOXML (Office Open XML), MS Office ZIP コンテナ 14

参考 PDF/A とは 1ISO 規格として標準化 電子文書を長期保管用に作成 表示 印刷するための国際標準仕様 2 環境に依存しない再現性を保証 環境に依存せず自己完結するフォーマット 3 コンテンツの検索 抽出可 タグ付きであることからテキスト ( や画像 ) の検索や抽出が可能 4 長期にわたる可読性を維持 長期間経過後も可読性を持ち続けるフォーマット コンテンツの種類 構造 属性標識タグ付き PDF は次の操作が可能テキスト グラフィックの抽出テキスト グラフィックのリフロー検索 索引付けなどのテキスト処理他のファイル形式 (XML 等 ) への変換アクセシビリティ支援 15

参考 PDF/A の仕様概要 大方針 自己完結 要求項目 カラー再現性保証 ( デバイス独立カラーまたはカラー特性を指定 ) フォント埋め込み XMP メタデータの埋め込み 禁止事項 暗号化 ( パスワードによるアクセス許可も不可 ) LZW 圧縮 文書の代替可視化 ( 印刷用と表示用の使い分けなど ) PostScript コード 外部依存 ( 外部コンテンツ参照など ) 制限事項 注釈 アクションの制限 (Launch, Sound, Movie, ResetForm, ImportData, JavaScript など ) 注記 :A 1 は PDF1.4 ベース 透明効果禁止 埋め込みファイル禁止 A 2 は PDF1.7 ベース PDF/A 以外の埋め込みファイル禁止 16

埋込フメタ情報トレーラ ヘッダ署名本体PDF 2.0 埋込ファイルァイル埋込ファイルの名前サイズ作成 / 改訂日チェックサム本体との関係性 (Associated file relationships) ソース データ ( 表の元データなど ) 代替表示 補足 不特定など 17

PDF ファイル %PDF 11 0 obj << /Type /Sig /Filter /SubFilter /ByteRange [0 988 5986 1198] /Contents < PKCS#7 in BER > /Name >> endobj %%EOF PDF 署名 署名 (CMS フォーマット ) ダイジェストアルゴリズムカプセル化コンテント情報 (Null) 証明書失効情報版番号 名者情報非署名属性署署名者識別子ダイジェストアルゴリズム署名属性 署名アルゴリズム署名値 版番号ダイジェストアルゴリズムカプセル化コンテント情報 ( ハッシュ値 + 時刻情報 ) 証明書失効情報版番号 名者情報版番号非署名属性署タイムスタンプトークン 署名者識別子ダイジェストアルゴリズム署名属性 署名アルゴリズム署名値 18

PAdES (ETSI TS 102 778) 増分更新により 検証情報やアーカイブ用タイムスタンプを付加 Enveloped Document Signature.pdf Detached Document.pdf Enveloping Signature.p7s Document Signature.p7s PDF の長期署名 署名の ByteRange %PDF /Type/Sig /ByteRange /Contents < > %%EOF 署名 タイムスタンプ 証明書, 失効情報 %%EOF ドキュメントタイムスタンプ %%EOF ドキュメントタイムスタンプの ByteRange 増分更新 増分更新 19

ASiC(Associated Signature Containers) ETSIで標準化されたコンテナ仕様 (ETSI TS 102 918) 基本構造 階層化されたファイルをzip 圧縮したファイル コンテンツに関するメタ情報 (META INF) をもつ ASiC の種類 ASiC S: 単一のデータオブジェクトと一つ以上の署名やタイムスタンプを含む ASiC E: 複数のデータオブジェクトとそれぞれに対する一つ以上の署名やタイムスタンプを含む file1 file2 META INF metadata signature XAdES 20

ASiC E の位置付け System A System B file1 file2 META INF manifest signature XAdES ZIP コンテナ ASiC MYMETYPE file1 file2 META INF/manifest META INF/signature container.asice file1 file2 META INF manifest signature XAdES 21

参考 EPUB コンテナ 出典 :http://epubcafe.googlecode.com/svn/trunk/tutorial/oebps/text/chapter020201.xhtml 22

META INF META INF/manifest.xml ファイルの構成情報に関するメタデータ META INF/container.xml ルートファイルの形式と格納場所に関するメタデータ META INF/metadata.xml コンテナに関する追加のメタデータ ( ユーザー定義を含む ) "META INF/ signature.xml (1 または複数の ) 電子署名に関するメタデータ MIME タイプ ( 注 1) メタ情報 ( 注 2) Op. application/ vnd.etsi.asice+zip 注 1 MIME タイプでコンテナ種別を識別注 2 META INF は ASiC, OCF, UCF, ODF 間で互換 ASiC OCF ODF UCF M application/epub+zip Op. Media type manifest.xml Op. Op. M Op. container.xml Op. M - Op. metadata.xml Op. Op. - Op. signature.xml M Op. signature.xml=1 署名 Op. Op. Op. signature.xml=1 署名 23

参考 S/MIME To: Subject: From: MIME-Version:1.0 MIMEのサブタイプ= 署名 Content-type:multipart/signed; protocpol= application/pkcs7-signature ; micalg=sha1; boundary= Separator ( 空白 ) --Separator Content-Type:text/plane 第 1パート : 署名対象 ( 空白 ) テキスト --Separator Content-type:application/pkcs7-signature Content-Transfer-Encoding:base64 ( 空白 ) 署名 (base64) 第 2 パート : 署名情報 version digestalgorithms encapcontentinfo certificates crls signerinfos version signerid digestalgorithm signedattrs contenttype messagedigest signingcertref signaturealgorithm signature unsignedattrs signaturetimestamp certificatevalues revocationvalues arichivetimestamp -- Separator 24

参考文献 ETSI TS 119 403 Trust Service Provider Conformity Assessment General requirements and guidance ISO 19005 1 ~ 3 Electronic document file format for long term preservation ISO 32000 1 Portable document format Part 1: PDF 1.7 ETSI TS 102 778 1 ~ 6 PDF Advanced Electronic Signature Profiles ETSI TS 102 918 Associated Signature Containers IDPF "OEBPS Container Format (OCF)". http://idpf.org/epub/30/spec/epub30 ocf.html. PKWARE ".ZIP Application Note". http://www.pkware.com/support/zip application note. OASIS "Open Document Format for Office Applications (OpenDocument) Version 1.2 Part 3: Packages", Committee Specification 01. 25

ご清聴ありがとうございました 26

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック