Comments
Description
Transcript
安全な電子署名・認証の利用
平成15年度 電子署名・認証 普及啓発セミナー 安全な電子署名・認証の利用 -特定認証業務の認定制度- 財団法人日本情報処理開発協会 電子署名・認証センター 1 電子署名・認証の流れ 認証局 電子証明書発行依頼 登録業務 (本人確認等) 発行業務 (電子証明書の発行) 電子証明書登録 失効リスト(CRL)登録 リポジトリ (失効情報等提供) 電子証明書発行 利用の申込 (電子証明書 発行申請) 送信者A (認証業務の 利用者) 失効有無の 確認 電子証明書の受取 電子証明書 受信者B (署名検証者) Aの公開鍵 Aの秘密鍵 電子証明書 電子データへの電子署名 電子データ 電子署名 送信 Aの公開鍵 電子データ 電子署名の検証 受信 電子データ 電子証明書 電子署名 Aの公開鍵 電子署名 Aの秘密鍵 電子証明書の 有効性確認 Aの公開鍵 認証業務 電子署名に使われた暗号鍵( 電子署名に使われた暗号鍵(署名符号) 署名符号)が利用者のものであることを証明する業務 2 利用の申込みから 電子証明書の受取まで 3 利用申込み書類 利用申込書 ①氏名 ②氏名(ローマ字) ③住所 ④生年月日 ⑤電子証明書の用途 ⑥自筆署名または 印 ⑦その他属性情報 √ 合意事項 住民票の写し 戸籍抄謄本 及び 右記のいずれか 登録原票 記載事項証明書 注 利用者の所属組織名などの属性情報は、 電子署名法の認定対象外の事項 4 真偽確認の書類 ①官公庁が発行した写真付き証明書 パスポート 船員手帳 運転免許証 写真照合 住民基本台帳 カード ②印鑑登録証明書 利用申込書 印鑑登録証明書 印影照合 印 印 ③本人限定受取郵便による照会文書の返信 本人限定受取郵便 (基本型) 送付・受領 送付・ 利用申込みを確認 する照会文書 利用申込者本人 ④サイン証明書 5 電子証明書による真偽確認 利用者の 電子証明書 利用申込書 利用者氏名 利用者住所 所属組織名 など 利用者の電子証 明書による 電子署名 利用申込者 認証局 利用者氏名 + 生年月日 利用者住所 発行認証局による 電子署名 申込受付サーバ 6 利用者の電子証明書発行に係る認証局の業務 セキュアな認証設備室・認証業務用設備を用いて、 認証業務規程(CPS)・事務取扱要領等に基づき、 認証業務を行なう。 利用者 利用申込書 認証局 利用申込の審査 住民票の写し 印鑑登録証明書 CPS 利用情報の登録 電子証明書の発行 認証業務用設備 電子証明書 利用者名 電子証明書の送付 公開鍵 7 認証業務運用規程(CPS) 技術標準 IETF RFC2527 または RFC3647 1.概説 ・適用業務(目的、対象又は利用範囲) ・認証業務の関係者 (CA、利用者、署名検証者) ・認証事業者の名称及び連絡先 等 2.一般規定 ・認証業務の関係者の義務と責任 ・認定事業者の保証範囲 ・準拠性監査 ・適用される法令及び解決のための手続 ・料金 等 3.識別と認証 ・利用申込みの方法 ・利用者の真偽の確認の方法 ・電子証明書の失効の請求 等 4.運用要件 ・電子証明書の発行の方法 ・電子証明書の失効の方法 ・電子証明書の失効情報の確認の方法及び期間 ・認証業務の廃止 ・帳簿書類の保存 等 5.物理的手続き的及び要員に関する セキュリティ管理 6.技術的なセキュリティ管理 ・認証業務に係るセキュリティ 7.電子証明書とCRLのプロファイル 8.仕様管理 ・CPS改訂手続きと関係者への通知方法 8 認証業務用設備のセキュリティ 認証設備室 登録用端末設備室 登録用端末 間仕切りによる区画 施錠管理 関係者以外の操作の禁止 登録用サーバ 発行用サーバ 暗号装置 生体認証による入室 認証業務用設備への不正アクセス防止 認証業務用設備の操作権限の特定 暗号装置の安全性 認証設備室等の災害対策 9 利用申込みの審査 利用申込書類のチェック 利用申込書 ・申込書類が揃っているか ・記載漏れはないか ・氏名、住所等住民票の写しと一致しているか 住民票の写し 印鑑登録証明書 その他 利用申込者の真偽確認 ・CPS等で規定した方法で真偽確認を実施 ・申込書類等との不整合は申込者に訂正を依頼 身分証明書 開発太郎 港区芝公園 印鑑登録証明書 印 利用申込みを確 認する照会文書 10 利用者情報の登録 利用者の真偽確認後、利用者の氏名・住所など電子証明書に記 載される情報を登録する 利用申込書 ①氏名 ②氏名(ローマ字) ③住所 ④生年月日 ⑤電子証明書の用途 ⑥自筆署名または 印 ⑦その他属性情報等 登録 登録用端末 登録用サーバ 注 利用者の所属組織名などの属性情報は、 電子署名法の認定対象外の事項 11 電子証明書の作成 電子証明書 バーション情報(X.509 v3) シリアル番号(認証局毎) 電子署名方式(SHA1withRSA等) 発行認証局名 有効期間(有効開始及び終了日) 登録用サーバ 発行用サーバ 暗号装置 利用者名(ローマ字表記の氏名・住所等) (所属組織名・所属組織住所等) 電子証明書発行要求 電子証明書作成 電子署名 利用者の公開鍵(署名検証符号) 利用者別名(日本語表記の氏名・住所等) CRL公開先 発行認証局による電子署名 注 利用者の所属組織名などの属性情報は、 電子署名法の認定対象外の事項 12 電子証明書の作成 認証局が利用者署名符号を生成する場合 電子証明書 発行指示 登録用端末 登録用サーバ 発行用サーバ ◆安全性を確保した環境及び運用(複数人)での生成 ◆安全な方法での利用者への送付 ◆送付後の利用者署名符号等の迅速な消去 ICカード発行端末 PIN ・利用者署名符号 ・電子証明書 13 電子証明書の作成 利用者が利用者署名符号を生成する場合 利用申込者 利用申込 認証設備室 利用申込審査 本人限定受取郵便 利用者識別符号の送付 利用者識別符号の生成 利用者識別符号 鍵ペアの生成 電子証明書 利用者識別符号等 受信設備 利用者識別機能 登録/発行用サーバ 14 電子証明書の送付 認証局 利用者 PIN 電子証明書 (利用者署名符号) 本人限定受取郵便 ・電子証明書を利用者署名符号と一緒にICカードに格納し本人限定受取郵便などで送付 ・認証事業者は利用者からの受領書によって確実に利用者に渡ったことを確認する 15 電子署名・認証の利用 16 電子署名の仕組み 電子署名 電磁的記録に記録された情報について作成者を示 す目的で行う暗号化等の措置で、改変があれば検証可能な方 法によるもの 電子証明書 送信者A (利用者) 電子証明書 Aの公開鍵 Aの公開鍵 受信者B (署名検証者) Aの秘密鍵 電子証明書 電子データ 電子データ 電子署名の付与 ハッシュ 関数 送信 Aの公開鍵 受信 ハッシュ 関数 メッセージ ダイジェスト 電子署名の検証 一致 ⇒改ざんなし 不一致 ⇒改ざんあり 電子データ メッセージ ダイジェスト 電子署名 Aの秘密鍵 電子署名 電子署名 メッセージ ダイジェスト Aの公開鍵 17 電子署名の利用例 電子署名を利用できる主なアプリケーション 汎用的なアプリケーション S/MIME仕様の電子メール 電子ファイル署名ソフト 特定業務用アプリケーション 電子入札、電子申請、電子調達等の電子政府システム 受発注システム等のビジネスアプリケーション オンラインショッピング、オンラインバンキング等 S/MIME(Secure/Multipurpose Internet Mail Extensions) 電子メールの暗号・電子署名仕様 18 電子メールの電子署名の例 電子署名 ・電子署名付きメールを送信するには、送信者は電子証明書 を認証局に発行してもらう必要がある。 暗号化 ・暗号化メールを送信するには、受信者と鍵の交換をする必 要がある。 19 電子申請・電子届出の例 申請書 電子 証明書 申請・届出等 通知書 申請者 申請者 電子 証明書 処分権者(大臣等) 処分権者(大臣等) 許可、認可等の通知 インターネット 官職証明書 の発行 申請者証明書 の発行 電子 証明書 電子証明書の有効性確認 電子 証明書 府省認証局 商業登記認証局 商業登記認証局 民間認証局 民間認証局 相互認証 相互認証 ブリッジ認証局 府省認証局 府省認証局 政府認証基盤(GPKI) 20 政府認証基盤(GPKI)との相互認証 民間認証局がブリッジ認証局と相互認証する主な基準 ◆特定認証業務の認定を受けていること。 ◆自己署名証明書及びリンク証明書の発行 ◆相互認証証明書の発行・失効 ◆相互認証証明書、自己署名証明書及び 証明書失効リストの公開 特定認証業務の認定取得済 相互認証証明書の発行 (CSR証明書発行要求) 政府認証基盤 政府認証基盤 ((GPKI )) 相互認証 証明書 CRL/ARL 民間認証局 民間認証局 ブリッジ認証局 自己署名 証明書 21 利用に際しての利用者の注意事項 ① 電子署名の利用範囲の確認 認証事業者に利用範囲を確認して申込みすること。 ② 電子署名を行う前に内容確認 電子署名は自筆署名や押印に相当する法的効果が認められ得るもので あるため、電子署名を行う前に内容を良く確認をして電子署名を行うこと。 ③ 電子署名を行うための署名符号(秘密鍵)の厳重管理 実印と同様に署名符号(秘密鍵)については、十分な注意をもって管理すること。 ④ 電子証明書の失効 署名符号の危殆化(盗難、漏えい等により他人に使用され得る状態になる こと)や電子証明書に記載されている事項に変更が生じた場合には、電子 証明書の失効を認証事業者に請求すること。 ⑤ ⑤正確な情報による利用申し込み 正確な情報による利用申し込み 利用者が認定認証事業者等に対し不実の証明をさせる行為についての罰則 利用者が認定認証事業者等に対し不実の証明をさせる行為についての罰則 (3年以下の懲役又は200万円以下の罰金、第41条) 等 (3年以下の懲役又は200万円以下の罰金、第41条) 等 ⑥ 電子署名アルゴリズムは認証事業者が指定するものを使用 22 電子証明書の確認 ① 電子証明書記載内容の確認 利用申込書 電子証明書 バーション情報(X.509 v3) シリアル番号(認証局毎) ①氏名 ②氏名(ローマ字) ③住所 ④所属組織名・住所 電子署名方式(SHA1withRSA等) 発行認証局名 有効期間(有効開始及び終了日) 利用者名(ローマ字表記の氏名・住所等) ② 認証局の電子証明書(フィンガープリント) による電子署名の確認 利用者の公開鍵(署名検証符号) 利用者別名(日本語表記の氏名・住所等) (所属組織名・所属組織住所等) CRL公開先 発行認証局による電子署名 認証局の公開鍵 23 電子証明書の確認 ソフトウェアによる利用者の電子証明書表示イメージ 電子証明書 バーション シリアル番号 電子証明書形式(X.509 v3) 認証局毎の発行番号 署名アルゴリズム 電子署名方式(SHA1withRSA等) 発行元 発行認証局名 有効期間(有効開始及び終了日) サブジェクト 利用者名(ローマ字表記の氏名・住所等) 利用者の公開鍵(署名検証符号) サブジェクト別名 利用者別名(日本語表記の氏名・住所等) CRL配布ポイント CRLの公開先URL 発行認証局による電子署名 24 利用者署名符号の厳重管理 利用者署名符号及びPINを実印と同様に管理する 紛失、盗難などの場合は、速やかに失効申請する 署名符号(秘密鍵) PIN 利用者 PIN( Personal Identification Number ) 署名符号を利用可能とする識別番号 × 紛失 × 盗難 × 盗聴 25 電子証明書の失効 失効申請者 ◆利用者からの失効申請 ◆認証局による失効判断 ◆その他の失効申請 失効事由 ◆署名符号が危殆化又は危殆化のおそれがある場合 ◆利用者が電子証明書の利用を中止する場合 ◆電子証明書の記載事項が変更になった場合や 事実と異なるとき など 危殆化:署名符号が盗難、漏えい等により、 他人によって使用 され得る状態になること 26 失効の申請 利用者は失効申請書によって失効申請をおこなう 失 効 申 請 書 ①失効申請者氏名 ②失効する電子証明書の番号等 ③住所 ④失効事由 ⑤自筆署名または 印 但し、緊急時には、FAX等による失効申請が可能 (後日、失効申請書の提出が必要) 27 電子証明書の失効に関する認証局の業務 利用者等 認証局 失効申請書 ①失効申請者氏名 ②失効する電子証明書 ③住所 ④失効事由 ⑤自筆署名または 印 郵送または FAX等 失効業務(失効申請者の本人確認等) 失効情報の登録 電子証明書失効リストの発行 リポジトリサーバへの失効リストの登録 電子証明書失効リスト(CRL) バーション情報(X.509 v2) 電子署名方式(SHA1withRSA等) 発行認証局名 今回公開日時 次回公開予定日時 失効済み電子証明書 (電子証明書番号・失効日時・失効事由) リポジトリサーバ 発行認証局による電子署名 28 署名検証者の注意事項 ① ① 電子証明書の利用範囲の確認 電子証明書の利用範囲の確認 電子証明書を信頼すべきか否かの判断する際は、電子証明書の利用目的 電子証明書を信頼すべきか否かの判断する際は、電子証明書の利用目的 もしくは使用範囲又はその制限(利用者に通知した利用条件を含む。)を確認 もしくは使用範囲又はその制限(利用者に通知した利用条件を含む。)を確認 すること。 すること。 ② ② 認証局の署名検証符号及びフィンガープリントの確認 認証局の署名検証符号及びフィンガープリントの確認 発行者署名検証符号及びフィンガープリントを確実に入手し、電子証明書に 発行者署名検証符号及びフィンガープリントを確実に入手し、電子証明書に 行われた発行者による電子署名を検証することにより、電子証明書の発行者 行われた発行者による電子署名を検証することにより、電子証明書の発行者 を確認すること。 を確認すること。 ③ ③ 電子証明書の失効情報等の確認 電子証明書の失効情報等の確認 適切な手段を用い、電子証明書の有効期間や電子証明書について失効され 適切な手段を用い、電子証明書の有効期間や電子証明書について失効され ていないことなどを確認すること。 ていないことなどを確認すること。 29 フィンガープリントの確認 ソフトウェアによる認証局電子証明書表示イメージ 認証局の電子証明書 バーション 電子証明書形式(X.509 v3) シリアル番号 署名アルゴリズム 電子署名方式(SHA1withRSA等) 発行者 発行認証局名 有効期間(有効開始及び終了日) サブジェクト 発行者名 認証局の公開鍵(署名検証符号) CRL配布ポイント CRLの公開先URL 拇印アルゴリズム sha1 拇印 フィンガープリント(認証局の電子証明書のハッシュ値) 30 失効情報の確認 電子証明書失効リスト(CRL) バーション情報(X.509 v2) 電子署名方式(SHA1withRSA等) 発行認証局名 今回公開日時 次回公開予定日時 失効済電子証明書 (失効電子証明書番号・失効日時・失効事由 ) 失効情報の 問合せ リポジトリサーバ 署名検証者 31 特定認証業務の調査 32 特定認証業務に関する認定制度 主務大臣 申請(任意) 電子署名法 認定の基準 ・電子署名の方式 ・業務の用に供する設備 ・利用者の真偽確認の方法 ・その他業務の方法 調査通知 指定調査機関 認定 認証事業者(認証業務) 業務の実地調査 調査申請 電子証明書を 発行申請/発行 電子証明書の 有効性確認 利用者 利用者 電子署名をした電子文書に電子 証明書を添付して送信 署名検証者 署名検証者 認定を受けている業務である旨の表示により、申請 者等の真偽の確認が可能になる 33 電子署名法に定める指定調査機関 ◆電子署名法の規定 申請に係る業務の実施に係る体制について実地の調査の全部又は 一部を指定調査機関に行わせることができる(電子署名法第十七条第1項) 指定調査機関は調査を行ったときは遅滞なく当該調査結果を主務大臣 に通知しなければならない(電子署名法第十七条第4項) ◆指定調査機関による調査 特定認証業務の認定の新規申請(新規調査) 認定取得後1年毎(更新調査) 認証業務を変更する場合(変更調査) ◆調査内容 ドキュメント調査:認定基準に対する措置状況を記述した調査表、 業務の実施方針・手続き等を記述したCPS、事務取扱要領等 現 地 調 査:認証設備の調査、テストランによる認証業務運用の調査 34 調査業務フロー 指定調査機関 主務官庁で受付 申請書様式等を交付 認定を受けようとする者 認可申請書類を提出 調査申請 書様式等 を請求・ 受領 申請書及び提出資料等を受領 申請書、提出資料の 記入 申請時添付資料の 準備(認証業務規程、 ネットワーク構成等) 申請 形式チェック・受領資料の閲読・内 容のチェック・確認・照会 回答 現地調査の準備 受入承諾・調査受入準備 現地調査 調査時必要に応じて質問等 への回答・試験操作 調査結果報告書の作成/通知 (主務大臣へ) 判定・結果の通知 (主務大臣から申請者へ) 判定結果の受領 35 電子署名に関する問合せ ◆特定認証業務および一般的な問合せ (財)日本情報処理開発協会 電子署名・認証センター URL: http://www.jipdec.jp/esac/ E-mail: [email protected] TEL : 03-3432-6597 ◆電子証明書の利用等の問合せ 利用する認証機関の問合せ窓口 ◆電子署名・認証に係る法律に関する問合せ 総 務 省:03-5253-5749 法 務 省:03-3580-4111(内線2429) 経済産業省:03-3501-0397 36