19-2. デジタル証明書の管理 (デジタルID) (1) ICカ−ドに関する情報収集 `22/06〜 * ICカ−ド( Integrated Circuit Card ) とは 先ずはICカ−ドが CPU をもつ意味とは。磁気カ−ドとどう違うのか。 磁気カ−ドは改 竄も読むのも容易で 72 Bytes 程度しか記録できない、ICカ−ドは耐タンパ性があると 言われている。デジタルID用の公開鍵と秘密鍵は、ICカ−ドの中で作ることができる。 秘密鍵を使う際には、PIN( Personal Identification Number ) と呼ばれるパスワ−ドを 入れなければならない。ICカ−ドの CPU、つまりこれはICチップ、即ちコンピュ−タ なのである。カ−ドに張り付いている1センチ角のペラペラした奴がそうである。この小 さな中に ROM や RAM や CPU があるのだ。ROMにはプログラムが書き込まれている。この プログラムを通さないと、ICカ−ドのメモリに書き込まれたデジタルIDにアクセスで きない。Netscape用には PKCS #11 に対応するプログラムが入っている訳である。デジタ ルIDがフロッピ−ディスクのように、そのまま書かれているという訳ではない。 [ ICチップの構造 ] -------------------- RAM はデ−タ処理する際に使うメモリ。 | [CPU] [RAM] | ROM は暗号化プログラムなどが初めから入る。 | [ROM] [EEEPROM] | EEEPROM にデジタルIDが入る。不揮発性メモリ。 | [コプロセッサ] | コプロセッサは暗号演算を高速に行う。 -------------------- コプロセッサ搭載を特にクリプトカ−ドと呼ぶ。 ICカ−ドはヨ−ロッパで先に広まった。CPU 付きのカ−ドをヨ−ロッパでは、特にスマ −トカ−ド(Smart Card) またはICカ−ドと呼んでいる。 接触型と非接触型があり、非 接触型は電波を使い、電磁波から電力を得るようになっている。タイプとしては国際規格 の ISO/IEC 7816 準拠のもの。他 MULTOS、Java カ−ド、JICSAP 仕様カ−ドがある。 シェアはフランスのシュルンベルジュ社とジェムプラス社が二分している。展示会でシュ ルンベルジュ社の人に価格を聞いてみた、100枚まとめてで1枚3千円ぐらい。1枚だ けだと4千円ぐらいと言っていた。国内でも大日本印刷や凸版印刷が作っている。 2001年の eSun Sales カタログ Vol.22 に掲載されていた。Sun Ray 用スマ−ト・カ −ド25枚セット 12,000 円。いろいろ調べて行って、価格がはっきり記してあったのは これだけ。これでも高いと Sun の人は言っていたぞ。 ICカ−ド電話のICカ−ドが千 円で売っているご時勢である。1枚あたり480円、もう少し安くてもいいのだろう。 シャ−プ(株)から1メガのICカ−ドもでてきた。接触型、接触型/非接触型の2タイプ。 接触型は ISO/IEX 7816 準拠。非接触は ISO/IEC 1443 TypeB 準拠。1 Mbyte フラッシュ メモリ、16 bit CPU。セキュリティは ESIGN, 公開鍵暗号, DES, Triple-DES など複数使 用できる。コプロセッサ搭載により高速な暗号処理をする。 国際規格 ISO/IEC 7816。7816-1, 7816-2 と幾つかある。7816 に基づいて国内規格のJIS 6303, 6304 とか作られている。接触型 CPU 付き ISO/IEC 7816、CPU なしロジック、CPU なしメモリ。ロジックはあらかじめ決められた動作をするようにしたもの。いわゆる子供 の頃あったコンピュ−タボ−トみたいなものでないか。カムがいろいろあっただけという。 MULTOS( Multiple Application Operating System )カ−ド。Java カ−ド。 JICSAP 仕様 カ−ド。これらは、はいわゆる汎用OSが搭載されたICカ−ドである。ICカ−ド1枚 で、複数のプログラムを扱うことができる。 JICSAP は国内のICカ−ド利用促進協議会 http://www.jicsap.com/ が制定している。 USB ト−クンの中には、ICカ−ドと同じICチップが入っている。物は小さいけどIC カ−ドと一緒。http://www.aladdin.co.jp/etoken/が、2002年6月頃からよく雑誌に 広告を載せている。Check Point SecuRemote/SecureClient、Windows 2000 スマ−トログ オンなど対応。ソフトウェア開発キットもある。 携帯電話の FOMA にも、ICカ−ドと同じICチップが入っている。ケ−スの裏蓋を開け て取り出すことができる。FOMA( Freedom Of mobile multimedia Access )。 2001/10/01 東京から本格サ−ビス開始。ドコモの W-CDMA 方式 ITU-T を標準化した、IMT-2000 方式 のサ−ビス。下り最大 384 Kbps。メ−ルはパケット通信で、大容量デ−タの送受信は 64 Kbps デ−タ通信で行う。PCカ−ド型 FOMA P2401 など。 注.耐タンパ性:耐ダンパ性ではない、tamper いじくる、改竄するの意味。 * ICカ−ドヘのアクセスの規格 Windows のOSには Microsoft CryptoAPI という暗号化全般のベ−スとなる API がある。 最初は開発キットみたいなので出たのでないかと思う。Windows 2000/XP にはOSとして ビルトインされている。Internet Explorer の SSL, IPSec, Outlook Express の S/MIME、 それにICカ−ドなどデバイスとのインタ−フェ−スをとる。 PC/SC 推進ワ−キンググル−プ、元は1996年5月米国で、Windows 環境でICカ−ド 利用を推進するために設立された。Windows パソコンからICカ−ドを使う標準を定めて いる。http://www.pcscworkgroup.com/。Apple, Microsoft, Gemplus, Schlumberger, HP, Bell, IBM, Intel, Sun, 東芝などが加盟している。 PKCS #11 は RAS 社の規格で、Cryptoki( Cryptographic Token Interface ) という API である。つまりWWWブラウザからICカ−ドにアクセスするアプリケ−ション・インタ −フェ−スの取り決めである。これを実装したのが Netscape である。 PKCS #11 対応の Netscape 用 Plug-In ソフトを入れることにより、ICカ−ドのデジタルIDを認識する。 RSA 社が定めた公開鍵暗号化方式の規格。この分野での事実上の標準になっている。IC カ−ドに関するのは、PKCS #11 Cryptographic Token Interface Standard、PKCS #15 の Cryptographic Token Information Format Standard。デジタルIDの格納はPKCS #12 の Personal Information Exchange Syntax Standard である。 セキュリティ−システム推進協議会というのを、システムニ−ズ(株)が事務局になってや っている。http://www.ssipg.gr.jp/。この中に、国内での PC/SC 推進ワ−キンググル− プがある。PC/SC( Personal Computer/Smart Card )。 Microsoft 社のICカ−ド開発キット、Windows Smart Card Toolkit。1999年11月 の COMDEX で発表した。Microsoft が提案したICカ−ドにアクセスする方式の開発用ソ フト。無料でダウンロ−ドできる。Visual Basic で開発する。 Windows for Smart Card、 これは 8 Kbytes の Windows のOS。http://www.microsoft.com/japan/smartcard/。 Netscape 社のICカ−ド開発キットだと思う、PKCS #11 Utility Package 1.05。はじめ Netscape Communicator がICカ−ドにアクセスできるようにする Plug-Inソフトだと思 ったが違うようである。 http://developer.netscape.com/tech/security/security.html の "Security Developer Central" を見られたい。でも、今ダウンロ−ドできないみたい。 Windows 2000 には、PC/SC仕様のICカ−ド・インタ−フェ−スとセキュリティ・ロッグ オン機能が最初から入っている。大日本印刷のICカ−ドのリ−ダライタの SmarTLP3 用 ドライバも入って入る。大日本印刷が Microsoft 社と Windows for Smart Cards の製造 発行ライセンシ−契約を 2000/09/18 に結んだ。 * 本、雑誌など http://www.c-media.com/ (株)シ−メディア > 月刊「CardWave」1,550 円、だいたい60数ペ−ジ。95年1月号からのバックナンバ −の目次がある。店頭販売はしてない、小生見たことない。本も出している。「セキュ リティICカ−ドの基礎と応用」百ペ−ジ位?、2000/04/27、4,800 円税込。「ICカ −ド総覧2001」2001/06/15、500 ペ−ジ、9万円税込・送料込。 「PKIハンドブック」小松文子他著、2000/11/25 発刊、2,300 円+税。 > (株)ソフト・リサ−チ・センタ−、10章にICカ−ドの記述がある。 2002/09/07 や っと買うことができた。ICカ−ドは独自フォ−マットのディレクトリとファイルとな る。ファイルは予めサイズを決め、そこにデジタルIDを入れるという手順になる。 他いくつか探してみた >「ICカ−ド革命」1,800 円+税、オ−ム社、2001/09刊、経済産業省商務政策局の人が 書いた本。「スマ−トカ−ドガイドブック」 2,000 円+税、中央経済社 1999/02/25刊、 電子マネ−はごちゃごちゃになって理解しにくいので、電子マネ−のことは置いておい て、カ−ドしての機能/働きを紹介しているとのこと。これら見てはいない。 月刊「CardWave」は2003年3月7日にICカ−ドの展示会のシ−メディアのブ−スに て見た。バックナンバ−も売っていた。総じてお話が多いみたいで、パラパラと見たとこ ろ、技術的なことはあまり書かれていないようだった。例えば2002年6月号は61ペ −ジで、表題は "特集:電子政府・電子自治体でICカ−ドはこう使われる" だった。 (2) ICカ−ド/デジタルID関連製品 `22/06〜 * 暗号化やデジタルID関連製品の概要 実にいろいろある。細分化されている。ここでは Baltimore、Entrust など大手のソフト は、かなり高いようなので載せなかった。日立やNECのソフト並みか、それ以上だろう。 これら、概ね以下のようなソフトが品揃えとしてある。単独で動くのもあれば、システム として連動するのもあるようである。とりあえず、ここでは Netscape からICカ−ドに 入ったデジタルIDにアクセスしたいということで、その周辺も含め調べてみた。 ・デジタルIDのCA/RA/IA用管理ソフト。 ・IPSec によるVPN暗号化通信ソフト。 ・IPSec/PKI/VPN など暗号化アプリケ−ション開発キット。 ・Windows パソコンとICカ−ドなどとの接続ソフト。 ・Netscape ブラウザ&メ−ルとICカ−ドなどとの接続ソフト。 ・Microsoft ブラウザ&メ−ルとICカ−ドなどとの接続ソフト。 ・FireWall-1 と SecuRemote 間のVPN用のデジタルID。 ・Windows パソコンのロッグオン/スクリ−ンロック。 ・Windows パソコンのファイル暗号化/各種パスワ−ド。 * ICカ−ド/デジタルID発行製品 [ ASECard Crypto 開発キット ] http://www.athena-scs.co.jp/、(株)アテナ・スマ−トカ−ド・ソリュ−ションズが扱い。 98,000 円。2002年11月出荷予定。中味は ASECard Crypto(64KB)x10 枚、ICカ− ドリ−ダライタ ASEDriveШx2台、それにソフト。 カ−ドはホワイトカ−ドと言って真っ 白でICの接触部があるだけである。ASECard はこの会社独自のICカ−ドで、1枚から でも売ってくれるとのこと。千枚とか1万枚とかをタ−ゲットにする会社がほとんどだが、 ここは数百牧程度の中小企業も念頭においている模様である。 Netscape 用の PKCS#11 プラグインソフトが第3四半期に出るとホ−ムペ−ジに書いてあ ったが、まだ出ていない。 第3四半期というのは、9/10/11/12 月の4ヵ月のことである。 2003年11月にも確認したが、出ていなかった。アテナの営業さんにその時、聞いた 話では、開発元 http://www.athena-scs.com/ ではICカ−ドリ−ダライタを付けたキ− ボ−ドを30ドルぐらいで販売している。日本円で3千円だからかなり安い!。 [ 凸版印刷(株) ] ジェムプラス社製認証ICカ−ド ソリュ−ションキット GemSAFE。 2001年4月から 販売開始。オ−プン価格。凸版印刷とフランス Gemplus 社との合弁会社、 ディ−ジ−エ ス(株) が扱う。GemSAFE というスマ−トカ−ド、GemPC リ−ダ−ライタ−、 ソフトのキ ット。Netscape、Microsoft のブラウザ&メ−ル対応。 Windows 2000 セキュアログオン にも対応。ホワイトカ−ド(裸のICカ−ド)にユ−ザ向けデザインを印刷可。 マルチアプリケ−ション対応ICカ−ド SMARTICS-JV、2002/03/08 発表。 国内で初めて Java Card 2.1.2 仕様に準拠したICカ−ド。16 bit CISC チップ搭載。ISO/IEC 7816-3 準拠。百枚以上で1枚千円。2002年夏頃、商品化して発売予定。MULTOS 版 PKI カ− ドは2000年4月から販売している。 [ SSH Certifier PKI 製品シリ−ズ ] http://www.ssh.com/jp/ SSH( Secure Shell ) をフリ−ソフトで出している会社の製品。SSH Certifier/ Master/ Accession。CertifierがCA/RAソフトで、Windows 2000/NT/XP, Linux, Solaris 7/8 対応。LDAP, OCSP 機能。Token Master は1枚のICカ−ドで複数の証明書と鍵を管理す る、PKCS #15 対応。Accessionは PKCS #11, Microsoft Crypto API 対応する。Internet Explorer 5.0.1 以上、Outlook Express 5.0.1 以上、 Netscape Communicator 4.7 以上、 SSH Secure Shell 3.1 以上。価格は要問い合わせ。 NetWorld+Interop 2002 のブ−スで、その場で自分用にデジタルIDを入れたICカ−ド を作って、S/MIME 暗号メ−ルを自分に送るのを見せてくれた。 RA発行依頼の画面は英 語だった。CAは別の Windows パソコンになっていた。Token Master でICカ−ドにデ ジタルIDを入れるのだが、CMP という証明書管理プロトコルでCAサ−バからデジタル IDをICカ−ドに送り込むようになっていた。 OpenSSL には CMP なる機能がないので、 OpenSSL で作ったデジタルIDは Token Master では扱えないことになる。 [ 大日本印刷のICカ−ドソリュ−ション ] http://www.dnp.co.jp/bf/ic_card/。 TDC80、Standard-9, Standard-J などICカ−ドを作っている。99年8月頃の記事では、 Standard-9 が1万枚で1枚千円と書いてあった。 リゾナカ−ドという200円前後の安 価なICカ−ド、256 or 1024 Byte メモリ、8 bit CPU で、2000/06に量産を始めている。 DNP Standard-9 は 16 KByteメモリ、ISO/IEC 7816、JICSAP 仕様 1.1 をフル・サポ−ト。 DNP Standard-W1.1 は Windows for Smart Cards に対応、8 bit CPU、 32 KByte EEPROM、 WSC Ver.1.1、ISO/IEC 7816 に準拠。アプリケ−ション開発キットには、STUDY セットと いう PKI Crypto Card Study Kit -Crypto Builder- がある。 Crypto Builder は SmarTLP3 ICカ−ドリ−ダ/ライタ端末2台( RS-232C,PC/SC 準拠 )、 TBC80 パ−ソナライズICカ−ド5枚、開発用ソフト込みで18万円。TBC80 には5つま で X.509 デジタルIDが入る。Outlook Express と IE に対応。Netscape にも対応して いる模様。Windows 各種対応。VC++、Visual Basic プログラミング。Java カ−ドの開発 キット Odyssey Lab 15万円もある。 これらは大日本印刷(株)が、2001年9月にブ ル(株)を吸収合併して作った、ICカ−ド関連会社のネクサンティス(株)が扱う。キット はインタ−ネットで主に販売する。SI業者ヘの卸価格は設けてないとのことで、業者を 通すと割高になる。http://www.nexantis.co.jp/。 Nexantis SecureFolder, SecureSSO, SecureLogin, SecureMail というソフトもある。 SecureFolder は Windows パソコンのファイル、ディレクトリ単位の暗号化。 SecureLogin は Windows NT4/2000/XP 対応、ロッグオン制御とパソコンのロック。 SecureMail は Outlook Express と Netscape Messenger に対応、ブラウザにも対応。 [ システムニ−ズとベリサイン社共同開発のキット ] http://www.systemneeds.co.jp/ VeriSign OnSite サ−ビスにICカ−ド発行キットの組み合わせ。PC/SC 仕様のICカ− ド開発キット、19.8 万円+税。ICカ−ド開発者セミナ−あり、2日間。内容はWindows 2000/XP 標準搭載のICカ−ド対応機能の理解 38.8 万円+税。ICカ−ドの販売価格は、 一次発行済み Schlumberger Cryptoflex 500枚発行の場合で、8KB タイプが 2,100 円、 16KB タイプ 2,700 円、32 KB タイプ 3,100 円である。開発技術者向け PC/SC 技術解説 書 9.8 万円+税。ICカ−ド開発キットには入っている。 WinSafe シリ−ズの WinSafe Lite。 パソコンのファイルの暗号化、ロッグオンなど、個 人ユ−ス、ダウンロ−ドで1ユ−ザ 1,600 円から。体験版あり。WinSafe Standard とい うのは WinSafe Lite+デジタルID?。Non PKI とPKIの違いは。e-gate( Cryptoflex ) って何。ICカ−ドが内部でICカ−ドリ−ダライタの機能をエミュレ−トする。それで 安くなるのかな。USB アダプタにICチップを差し込む。カ−ドの場合は、USB デスクト ップコネクタというICカ−ドリ−ダライタの代わりになるものを使う。本物のICカ− ドリ−ダライタでもいい。この他、WinSafe Enterprise とか、 ICカ−ドを大量に印刷 する機械と管理ソフトなどもある。 [ RSA BSAFE Cert-C ] http://www.rsasecurity.co.jp/ PKI 用アプリケ−ションの開発に必要な、デジタル証明書の処理全般が入ったソフトウェ ア・ディベロッパ−・キット。PKCS #11 フルサポ−ト。CRS, CMP, SCEP, OCSP サポ−ト, LDAP。価格は要問い合わせのこと。Windows 各種, Solaris, RedHat Linux に対応。もち ろん、CA用ソフトの RSA Keon などもある。価格表も出しているので、細かく見て行け ばCAのコストを算出できる。人数の範囲に応じた価格体系になっている。 [ 日立のPKI ] http://www.hitachi.co.jp/Prod/comp/soft1/pki/ CAソフト Enterprise Certificate Server 200万円。これの機能限定版の Light が 48万円、2001/03/16。RAソフト PKI Management Program 200万円、証明書発行ラ イセンス100個含む。ICカ−ドを発行するには Enterprise Certificate Server /IC Card Registration 100万円が別途必要。個々のパソコンには Secure Plug-in 1ユ− ザ1万円がいる。IE、Netscape の SSL v3 と S/MIME 対応。Microsoft Office のマクロ やファイルにデジタル署名ができる。Secure Plug-in は Windows 各種対応。管理ソフト は Windows NT/2000 に対応する。 [ NTTエレクトロニクス(株) ] http://www.nel.co.jp/security/ CAstation@白山:2000年2月の記事から、認証局システムの共同開発、東芝情報シス テム、NTTエレクトロニクス、東洋情報システムによる共同開発、250万円、デジタ ル証明書千ユ−ザ分。1万人規模のプライベ−ト認証局を構築するためのソフト。CRL 発 行機能、LDAP 対応、Solaris 2.6/7/8 用。 プライベ−トCAビルダ−:PKI システムに必要な認証局を自社ブランドで安価に構築運 用するための最適なソリュ−ションです、と書かれている。価格、詳細は不明。CRL 発行 機能。Windows NT/2000 用。ICカ−ド、UCB ト−クンにも書き込み配布できる。 PKCS 暗号ソフトウェア標準キット:200万円。 自分で暗号化アプリケ−ションを開発 するためのソフトウェア。開発後のライセンス料は10%とか。Windows 各種対応、VC++ プログラミング、Solaris 8 for SPARC( gcc 2.8.1/SUN Workshop )。 ト−クンデバイス 接続用インタ−フェ−ス( PKCS#11 )もサポ−トする。 [ NECソフト ] 個人認証システム SecureTrue/ICカ−ドデスクトップセキュリティ:100ユ−ザ当た り250万円から。2002/07/02 発表。スクリ−ンロック、Windows ログオン、PKIドライ バパック、電子証明書 PIN の定期変更、PIN 自動入力。クライアントは Windows 各種対 応。管理者機能は Windows 2000 対応。専用カ−ド発行装置と連携できる。このソフトは 大日本印刷からのOEM供給とあった。ICカ−ド認証システム iSecSmart、ICカ−ド 入退館システム SAFEWARE と統合もできる。http://www.necsoft.com/soft/securetrue/。 SecureWare/ICカ−ド発行キット:基本セット、100ライセンスで100万円。 IC カ−ドとリ−ダライタは付いていない。Ver.3.0 は 2001/03 出荷。 Windows ログオン認 証、スクリ−ンロック。Netscpae、IE 対応。 管理センタ−というソフト Windows NT4.0 と 2000 に対応、Oracle 8i が別途必要。個々のパソコンに入れるICカ−ドマネ−ジャ というソフト Windows 各種、XP にも対応する。 [ Litronic NetSign/Profile Manager ] ( 国内ではCTCが扱う ) Profile Manager は証明書の発行を依頼するソフトで、登録局として動作する。VeriSign OnSite、Cyber Trust Enterprise CA から連動してデジタルIDを発行してもらう。自社 認証局を構築する場合は、iPlanet Certificate Management System などを利用する。証 明書の管理に Microsoft SQL Server などデ−タベ−スソフトが必要。LDAP サ−バ、CSV ファイルによる一括発行ができる。デ−タガ−ド社製のICカ−ドプリンタ−と連携して、 カ−ド表面の印刷、大量発行ができる。NetSign はICカ−ドにデジタルIDを保管利用 するクライアントツ−ル。PKCS #12 のインポ−ト機能。CAPI/PKCS #11 に対応する。 CTCの 2001/07 総合カタログによれば、 Profile Manager は500ユ−ザ320万円 より、NetSign は1セット 17,820 円で10セット単位の販売とあった。2002年8月 CTCに問い合わせたら、NetSign の取り扱いはやめたとのこと。何てこと!。米販売元 の http://www.sspsolutions.com/を見ると、インタ−ネット販売している。NetSign for Windows with 210 Reader がICカ−ド1枚、RS-232C/ISO 7816 準拠リ−ダライタ1個、 ソフトのパッケ−ジで $99.00。Windows 各種対応、IE と Netscape に対応する。 [ コンパックの認証用製品 ] 拡張スマ−トカ−ドリ−ダ 4,800 円、拡張スマ−トカ−ドキ−ボ−ド 12,000円。`02/02 発売。指紋認証リ−ダ 19,000 円 '98/07 発売。これら組み合わせて、またはそれぞれで も使用できる。製品のレポ−トがある。「ASCII network PRO」 2000/06, P.77〜79, "ス マ−トカ−ド&指紋認証を検証する"。 Windows NT で指紋認証の話で Administrator の ロッグインは残しておいて、指紋認証機能が使えなくなった場合にでも、"Ctrl+Alt+Del" キ−を押してパスワ−ドを入れ、ログオンできるようにしておくのが望ましいと書いてあ った。スマ−トカ−ドリ−ダは、ISO 7816 準拠スマ−トカ−ド対応、 インタ−フェ−ス は PC/SC 準拠。スマ−トカ−ドはない。`22/08/末、問い合わせたら販売は終了していた。 (3) デジタルIDの管理的な検討 `22/08 * デジタルIDを作成、配布するガイドライン それぞれの人の秘密鍵とデジタルIDは、ネットワ−ク管理部門が一括して作成し、保管 することにする。個々のパソコンで秘密鍵、公開鍵を作る、証明書発行のリクエストを送 るといった作業を、エンドユ−ザにやってもらうのは無理がある。否認防止の効力がなく なるとかいわれるが、社内だけの利用なら問題はない。 利用できるブラウザとメ−ルのソフトを、この際限定したらどうか。セキュリティ上問題 が多い Microsoft の IE、Outlook Express 用にはデジタルIDを発行しない。奇しくも 2002/08/29、証明書を登録する ActiveX コントロ−ルにも、 セキュリティホ−ルが発見 された。Netscape Communicator 用だけにデジタルIDを発行するのが無難である。 ウィルスの入った添付ファイルを暗号化メ−ルで送られたらどうなる。添付ファイルとい っても、MIMEで区切られた全文の内の文字列でしかない。当然、ウィルスも暗号化されて しまう。Outlook Express を暗号化で使うのは、自殺行為かも知れない。 期限切れの場合は、有効期限を延ばす手続きは。毎年、新規発行とか更新とか繁雑なので、 いっそ5年ぐらい有効にしてしまうか。それで何か問題あるか?、ないと思う。イントラ ネットのWWWサ−バのデジタルIDも5年ぐらいにしてしまう。 個人用デジタルIDは、社員だけに配布することにする。協力会社やグル−プ会社とかま で広げることはしない。それをやりたければ、また考えることにする。xxx@nix.co.jj の 自社内でのメ−ルのやり取りに限定してしまう。 それぞれの人にメ−ルでデジタルIDを添付して送る。CAのデジタルIDも入れておく。 この際のフォ−マットに注意したい。添付ファイルをいったん別なとこに単独ファイルと してセ−ブし、それをインポ−トする作業になる。PKCS #12 形式しかないのでないか。 接触型ICカ−ドはチップ以外の所なら、シ−ルを貼っても構わない。100枚や200 枚ならカ−ド表面を印刷するまでもない。会社のシ−ルなど適当なのを貼っておけばいい。 ICカ−ド発行機なら大量に発行でき、印刷もできるらしいが、そこまではいらない。 個人用のデジタルIDの中身はどうする。 DN 値はメ−ルアドレスだけで区別するのでい いのでないか。へたに部署名(OU)とか入れると、異動のたびに新規に発行しなければなら なくなる。ユ−ザもパソコンにデジタルIDを入れ直しになるわけで、大変である。 ル−トCAを作り、WWWサ−バ用と個人用のデジタルIDを同じル−トCAで署名して デジタルIDを作る。Netscape WWW用の仕様で、Apache でも問題なく使える。個人用 のは Netscape WWWブラウザと S/MIME メ−ル共用で使えるものとする。 [ 発行デジタルIDの仕様 ] 内容 | CA(ル−トCA) | WWW Apache 等 | Netscape/Mail ------------------|------------------|-----------------|---------------- basicConstraints | CA:TRUE | CA:FALSE | CA:FALSE nsCertType | sslCA,emailCA | server | client,email C (Country Code) | JP | JP | JP O (Organazation) | NIX | NIX | NIX CN (Common Name) | NIX_CA | www.nix.co.jj | Katou EMAIL | admin@nix.co.jj | admin@nix.co.jj | katou@nix.co.jj * 利用の形態の検討 何が何でも個人用のデジタルIDを使わないかんということにはしない。メ−ルで使えば、 安全にやりとりできますよ。イントラネットのWWWに外から利用できるように、安全な 暗号化WWWも用意しましたよ。使いたい人から、順次使っていくというポリシ−にする。 メ−ルの暗号化 S/MIME の相手用は、やりとりしたい相手と署名付きのメ−ルを先ず直接 やりとりする。これでそれぞれのデジタルID、つまり公開鍵を入手できる。ディレクト リサ−バを使って、皆のデジタルIDを公開するまでもないと思う。 イントラネットのWWWサ−バは、同じ内容で暗号化なしと暗号化の2つを稼働させては どうか。rsync などで同期をとればいい。いや、そんなことするまでもなく同じコンテン ツをノ−マルと SSL WWWサ−バで共用すればいいはずだ。 イントラネットのWWWサ−バへのアクセスは。暗号化WWWの方へは必ず、個人用デジ タルIDを提示して双方向認証する。Apache の制御ファイルでは SSLVerifyClient 2 と する。個人認証をやるならやる、やらないならやらないということ。 デジタルIDの有効期限を延長する。この場合、公開鍵と秘密鍵は別物になってしまうの か。EasyCert で試したところ同じだった。 前のメ−ルも更新したデジタルIDで読めた。 該当デジタルIDをクリックし [更新] を押すと、その時の日時からの有効期限に変わる。 ブラウザとメ−ルのソフトの使い易い設定は。メ−ルは暗号化と署名が可能ならそうする ように設定しておく。暗号化をとく、即ち秘密鍵にアクセスする際の PINコ−ドは、ソフ トが開いている間は有効とする。これは Netscape での扱いの場合である。 暗号メ−ルを見る度に PIN コ−ドを入れるのが、安全といえば安全なのだが、 いちいち めんどうである。ICカ−ドの抜き差しで、画面とキ−ボ−ドのロックをできるようソフ トを組込む。アプリケ−ションのパスワ−ド入力代行までは、やらない方がいいと思う。 メ−ルを暗号化する目的は、通信路でのメ−ルの盗聴を警戒したいのであって。いったん メ−ルを自分のコンピュ−タに取り込んだら、もはや暗号化しておく必要はない。しかし メ−ルソフトでは、常には暗号化されていて、読む毎に復号化するようになっている。 これまできたメ−ルを暗号化しておきたい。これは Word やその他自分が作成したドキュ メント等、これらファイルを暗号化しておくかどうかという判断の中で決めるべきことで ある。暗号化したいなら、ファイルを暗号化するソフトがある。それを使うべきだと思う。 ※電子メ−ルソフトに欲しい機能、一度復号化したら、そのまま暗号なしにもできる。 * デジタルID失効の扱いの検討 パソコンを置き忘れたとか、盗まれたとか。個人用デジタルIDを失効、使えないように するのは。イントラネットのWWWに、誰それさんのデジタルIDは有効ではありません、 というリストを公開すること。管理者が失効させた時点で、全員にその旨メ−ルで通知す る。それぞれのパソコンに該当者のデジタルIDを入れてあれば、各自で消去すること。 もし失効したデジタルIDで、どこからか暗号メ−ルがきたら。そのメ−ルに電子署名が してあれば、送り手のデジタルID(公開鍵)が自分のパソコンに入ってなければ署名を確 認できない。暗号だけされていれば、自分の秘密鍵で復号はできてしまう。これから、メ −ルを暗号化する場合は、必ず電子署名を付けるようにする。 イントラネットの暗号化WWWは、失効したデジタルIDのユ−ザはアクセスできないよ うにする。Microsoft の IIS や Netscape のWWWサ−バには、 デジタルIDの情報を 扱う関数がある。Apache では PHP にはそのような関数は見当たらなかった。CGI の環境 変数で、クライアントのデジタルIDの情報を取り出して、制御することになる。 デジタルIDが別物になると、これまで来た暗号化されたメ−ルが読めなくなってしまう。 暗号化なしの署名だけなら署名が確認できなくなるだけで、メ−ル本文は読むことはでき るが。以前のデジタルIDも残しておかなければ、いけないということになる。 失効したユ−ザさんには、新たにデジタルIDを発行する。同じ DN 値で発行すればいい。 即ち Subject の C=JP,O=NIX,CN=Katou,/EMAIL=katou@nix.co.jj 項目が、 前のと同じで いいということである。Serial No は新しいのが付くので、それで区別される。 同じ DN 値だと、日付けか Fingerprint 位でないと、新旧の区別が付かない。例えば CN を少し変更してはどうか。これまでのが CN=Katou なら、新しいのは CN=Katou2とすると か。もし、電子メ−ルで一度復号化したら、そのまま暗号なしにできれば、前のデジタル IDは必要なくなるのだが。 失効リスト CRL は使わない。 というより、実際のところブラウザもメ−ルも対応してい ないと言った方がいい。まだまだである。OCSP も対応しているのはない。 ディレクトリ サ−バも必要ないだろう。どうしても使いたければ、対応する市販CAソフトを使う。 失効リストはCAソフトで作成する。該当個人デジタルIDを失効(廃棄)マ−クを付けて CRL ファイルを吐き出す。これを Netscape などで読み込む。これで該当者に暗号メ−ル は送れなくなる。失効リストを読み込むと、Netscape 側では解除できない。 * デジタルID失効リスト CRL について [ CRL によるデジタルIDの検証 ] 腹づもりとしては、CA管理ソフトの EasyCert で個人用のデジタルIDを先ず発行する。 そして、それを Netscape Communicator に入れた後、 このデジタルIDをCA管理ソフ トで失効させ、CRL ファイルをCA管理ソフトから作成する。 さらに、この CRL ファイ ルを LDAP サ−バに LDIF でもって登録する。Netscape Communicator では S/MIME で暗 号メ−ルを送ろうとする。この際に LDAP サ−バに、相手または自分のデジタルIDが有 効かどうか問い合わせをする。といった一連のテストをやろうとしたわけである。これが うまく行けば、Mozilla 1.0 安定版 2002/06/05 が、CRL、OCSP をサポ−トしているよう なので、そのテストをと目論でいた。しかし、以下の通りテストはうまくいかなかった。 Netscape Communicator 4.75 ではおかしかった。[Communicator]->[ツ−ル]->[セキュリ ティ情報]->[署名者] をクリックすると、[CRL の表示/編集] がある。 証明書取り消し リストを表示または編集するには CRL の表示/編集 を押してください。と書いてあるの だが、クリックするとハングして落ちてしまう。Version 4. 代、最新の 4.78 を CD-ROM からインスト−ルしてみた。これでも同様だった。友人のところで 4.78 を Netscape の サイトからダウンロ−ドし、Windows ME に入れてみた。何と [CRLの表示/編集] のメニ ュ−がなかった。一体どうなっているの。まあ、CRL はあてにならないということか。 [ CRL を HTTP でダウンロ−ドする ] 無料でデジタルIDを発行している(株)デジオンが、CRL もちゃんと出している。これを 使わせてもらって CRLの動きを見てみた。http://freeca.digion.com/download_crl.html の "CRL(証明書リスト)のダウンロ−ド"をクリックすると、https://freeca.digion.com/ crl/cacrl.crl を取ってくる。Netscape では一度ダウンロ−ドすると、 だいぶ日数をお いて再度クリックしても、 "読み込もうとしている証明書取り消しリストが現在のものよ り新しくありません" と出てしまった。CRL の有効期限を Netscape は見てないのか。ま たダウンロ−ドした CRL ファイル、一体どこに入ったのか分からない。 Mozilla なら CRL をかなり扱えるみたい。CRL を同じく Mozilla でダウンロ−ドしてみ た。[編集]->[設定]->[プライバシ−とセキュリティ]->[検証] 画面の {CRL マネ−ジャ} をクリックする。CRL を扱う画面が出て来る。 ここにダウンロ−ドした CRL の情報が出 て来る。"組織,部門,最終更新日,次回更新日,自動更新"。{設定}をクリックすると CRLの インポ−ト元がどこそこ、自動更新を有効/無効にする設定画面が出て来る。さらに CRL を取りに行く日数の間隔も設定ができるようになっていた。{更新}でその場で、取りに行 くこともできる。概ね問題なく動作しているようだった。 (4) ICカ−ドへアクセスしてみる `22/06〜 * デジタルIDをICカ−ドに入れるには ICカ−ドとその読み書き装置がないことには先に進まない。裸のICカ−ドを買うこと ができるのか。ICカ−ドの規格というのもあるだろうし。パソコンショップにはないみ たいだし。ICカ−ド開発キットとかICカ−ドセットなるものがある。セットのは ISO 7816準拠のICカ−ド数枚、リ−ダライタ、それにソフトで10万円位から。ICカ−ド のリ−ダライタには PCMCIA、RS232C、USB タイプがある。 アテナか大日本印刷のキット はどうか。VB か VC++ で API を通して、ICカ−ドにアクセスするようである。 Windows 2000 Server には独自ル−トになってデジタルIDを作成、発行できる機能が入 っている。ICカ−ドにも書込みができるみたいである。 Active Directory と連携して いるもよう。多分ICカ−ドを使いたい Windows パソコンは全部、Windows 2000 Server の管理下にないとだめということなのだろう。これとICカ−ドの開発キットとで、比較 的簡単に、ICカ−ドを使ったパソコンのロッグオン制御なんかもできるらしい。ただし Microsoft Crypto API でのアクセスである。RSA PKCS#11 アクセスはできない。 デジタルIDをICカ−ドに入れる際のファイル構造と名称は?。 DF はファイルIDか 識別名で区別される。いわゆるディレクトリである。 EF はファイルIDでのみ区別され る、いわゆるファイル。MF は最初からある、DF の特別なもの。 DF, EF にはアクセス制 限を付けることができる。ICカ−ドは最初、初期化されている。アクセスするには PIN のパスワ−ドを入れる。このパスワ−ドは、出荷時にメ−カがそれぞれに設定しているも よう。パスワ−ドを入れないことには DF, EF ファイルは作ることができない。 ISO 7816-4,8,9 と JICSAP 2.0。これらはICカ−ドにアクセスする規格である。それに 準じたアクセス用の基本的なコマンドが APDU である。ICカ−ドリ−ダライタをパソコ ンに接続し、ドライバを入れると、1つのドライブとして認識される。そこで APDU コマ ンドで基本的なアクセスができる。いわば telnet や HTTP のコマンドを自分で入れるよ うなことである。ICカ−ドの開発キットではGUI操作で、ディレクトリやファイルを 作ったり見たり、その場で APDU コマンドを入れたりと、簡単に扱えるようにしている。 そのままの Netscape の証明書の辺りを見ると分かるように、デジタルIDはディスクの 中にしか置くことができない。 Netscape がICカ−ドの中にあるデジタルIDにアクセ スするには、PKCS #11 に基づいた Netscape 用の Plug-In ソフトを入れる?。いや違う ような気がする。それともすでに入っているのかな?、下の文書を読むとそう取れるのだ が。PKCS #11 のサポ−トは、Netscape 6.x や Mozilla とか Opera とか、新しいWWW ブラウザには実装されていないのかな。メ−ルソフト Becky! や Eudora はどうなのかな。 [ Netscape Communicator のICカ−ドへの対応 ] '97/08/06 発表 http://wp.netscape.com/ja/newsref/pr/newsrelease454.html によれば -------------------------------------------------------------------------------- Netscape Communicator、スマ−ト・カ−ドとト−クンをサポ−ト。 モバイル・ユ−ザは、 企業ネットワ−クに安全にリモ−ト・アクセスすることが可能に。 Netscape をはじめと する主要なセキュリティ・ベンダ10社が RSA の PKCS #11 標準サポ−ト。 相互運用ソ リュ−ションにより、デジタル証明書の持ち運びが可能に。 記事:元来ユ−ザの証明書は、各自のコンピュ−タのハ−ド・ディスクに納められて、ユ −ザ名とパスワ−ドで保護されていました。Netscape Communicator が PKCS #11 をサポ −トしたことにより、ユ−ザは各自の証明書をスマ−ト・カ−ドやハ−ドウェア・ト−ク ンに乗せて運ぶことができるようになります。対応するスマ−ト・カ−ドは Litronic の NetSign、Security Dynamics の SecurID、Chrysalis-ITS のLuna など。と書かれている。 -------------------------------------------------------------------------------- * メモ 英語の本は Smart Card 何たらというのが5〜6冊でているが、日本語の本はまるでない。 Solaris 8、スマ−トカ−ド対応 Open Card Framework (OCF) 1.1 準拠。2000/03/06。 とあるSI会社の社員証のICカ−ドを読んでみようとしたが、全然アクセスしなかった。 非接触ICカ−ドの Felica はどうか。かざすだけでOK。ARCACLAVIS は Felica 対応。 * いろいろ調査 http://jt.mozilla.gr.jp/projects/security/ Mozilla セキュリティプロジェクト > このプロジェクトの一つにオ−プンソ−ス PKIプロジェクトというのがあり、その中に Netscape PKCS #11 Test Suites というのがある。 「Software Design」 `22/08, P.180〜190 > "体験!暗号プログラミング オ−プンソ−ス PKI プロジェクトのツ−ルを使って"、が 少し参考になる。NSS( Network Security Service )ライブラリでの SSL 使用例がある。 http://www-6.ibm.com/jp/developerworks/security/020125/j_s-pkcs.html > IBMが Linux 用に作っている。PKCS #11 に準拠した Linux 版 openCryptoki。 IBM developerWorks: Open source projects、IBM PKCS #11 API Project ftp://www-126.ibm.com/pub/opencryptoki/ 「UNIX MAGAZINE」'98/02, P.143〜148。 > スマ−トカ−ド技術とセキュリティ。PKCS #11 の構造とプログラミングについて。 Jpnny Goldman 著。WAIS の主要開発者。BITSource 設立者の1人。 「インタ−フェ−ス」`23/03, "特集 ICカ−ド技術の基礎と応用"、CQ出版。 > アテナのICカ−ドの開発キットのことが詳しく載っている。ICカ−ドのチップにあ る暗号化モジュ−ルへアクセスするサンプル・プログラムもある。840 円税込み。 http://www.iajapan.org/bukai/isec/forum/2001/pki.pdf 62ペ−ジ > PKI アプリケ−ション環境。セコム(株) 松本泰氏。 財団法人 インタ−ネット協会のセキュリティ部会。 http://www.cyberflex.com/SDKGuide_4-3.pdf 2662 KB 301ペ−ジ > シュルンベルジュのICカ−ド開発キットのマニュアル。 Cyberflex Access Software Development Kit User's Guide http://www.cyber.ust.hk/handobook8/smartcard.doc 983 KB 100ペ−ジ > Guide to Smart Card Handbook。ダウンロ−ドしたら VVOHARVO.doc なんてファイル名 になった。ダウンロ−ドする毎に違う名前になるみたい。 * アテナの開発キットのサンプル・プログラムを試す? ドキュメントにも、どこにも何でコンパイルして、ライブラリを作ったか書かれていない。 ソ−スを見たらC++で記述されていた。ともかく手元の Windows 98 で、C++言語の プログラムをコンパイルできるようにしなければならない。Borland C++ Compiler 5.5が 2000年3月にフリ−ソフトで出ている。 以前 Borland C++ を購入したことはあるの だが、GUI環境のためディスク容量もだいぶ食いそうだった。 それで DOS 窓での実行 しかできないフリ−ソフトを入れることにしたのだ。8.46MB、freecommandlinetool2.exe を実行して、解凍したら 80MB 位に膨れた。AUTOEXEC.BAT に C:\BORLAND\BCC55\BINパス を設定した。コンパイラのインクル−ド・ファイルとライブラリ・ディレクトリを指定す る設定プログラムがあった。http://www.cmagazine.jp/setbcc.html から setbcc15a.exe、 309KB をダウンロ−ドする。解凍して setbcc.exe をクリックし実行する。これで、お決 まりの hello.c をやってみる。問題なくできた。 > bcc32 hello.c > hello.exe ではアテナの開発キットのサンプル・プログラムをコンパイルしてみる。ASECard Crypto 開発キットでの、インクル−ド・ファイルとライブラリ・ディレクトリのパスを入れる。 > copy DF.c DF.cpp > bcc32 DF.cpp ASEPCOS.lib これでコンパイルしてリンクできれるものならできる。しかしできない。ASEPCOS.lib は Microsoft の Visual C++ 用みたいである。Visual C++ は買ってないのだ。 Visual C++ のライブラリを Borland C++ のライブラリに変換するユ−ティリティが、Borland C++に あるのを発見。COFF2OMF コマンドという。しかしできない。COFF2OMF コマンドで変換で きるのは動的ライブラリで静的ライブラリはだめということか。いかん、まるで分からん。 http://www.athena-scs.com/ を見たら、Visual C++, Visual Basic, Delphi が使えるよ うなことが書いてあった。多分、別々のライブラリがきっとあるんだよな。 > coff2omf ASEPCOS.lib temp.lib > bcc32 DF.cpp temp.lib で、一体どうすればいいのか。どうやらサンプル・プログラムには PKIのサンプルはない。 秘密鍵、公開鍵をICカ−ド内で作成するとか、個々の暗号化の技術的なサンプルはある ようだが、PKI やパソコンのロッグオン制御などシステムとしてのサンプルはないようで ある。2003年3月知ったのだが、Microsoft の開発者用サ−ビスを受けるようにする と、Microsoft の IE、 Outlook Express からICカ−ドを利用するための開発情報を得 ることができるという。Microsoft Visual Studio など開発ツ−ルも必要である。これに はICカ−ドにアクセスする関数が用意されている。これによりICカ−ドの中のファイ ル構造なんかは、まるで知らなくてもいい、ブラックボックスでいい。しかし Microsoft の製品用なので Netscape のブラウザとメ−ルには対応しない。これは困る。 Microsoft の開発者用サ−ビス MSDN というのは、有償で2万円から40万円位まで何段階にも別れ ている。さて、どれを契約すればいいのか。 -------------------------------------------------------------------------------- 正直言ってアテナの開発キット触るの諦めました。IE しか対応してないこと、Microsoft 有償ソフトが必要なこと。それよりも実際に利用の先が見えないことが大きいかも。東京 の2005年6年の展示会で、このキットを使った参考出品を見た。開発している技術者 が直接ブ−スに立ち説明していた。一つはNTT関連の会社だったか。こうやって取り組 んでいる所もあるんだと思った。そこの人も実際に社内展開するのが難しいと言っていた。 -------------------------------------------------------------------------------- (5) 個人ユ−ザ認証の方向性 `22/07 * デジタルID発行と管理 [ 有料のサ−ビスを使う場合 ] JENS(株) Secure Licence での例。2000年8月のセミナ−より。クライアントデジタ ル証明書発行サ−ビス。費用は2002年7月、再確認したが変わってなかった。初期費 用100万円、月額利用料が20万円。デジタルID年間発行料は最低100人で36万 円、1年以内に100枚発行できる権利がある。発行してから1年間有効。ICカ−ドに 関する記載はなかった。このサ−ビス、VeriSign OnSite の再販契約で、 JENS が認証局 になって、JENS をル−トCAとするクライアント用の Class 3 デジタル証明書を発行す るものである。WWWブラウザ、S/MIME 暗号メ−ル。 ユ−ザはそれぞれ JENS の証明書 発行WWWサ−バにアクセスし、自分のデジタルIDをダウンロ−ドする。 OnSite では RAは自社サイトに置き、CAをアウトソ−シングする。RAもアウトソ−シングするこ とができる。 他にも、FireWall-1 と SecuRemote/SecurClient 間のVPN通信用のデジ タルIDの発行サ−ビスもある、VeriSign "Go Secure!" for CheckPoint という。 ・2002/07、日本VeriSign はプロバイダと連携して、クラス1のデジタルIDを発行する サ−ビスを始める。IIJ4U, OCN, @nifty, BIGLOBE などが予定。 @nifty が個人と法人 会員に月200円で 2002/09/04 に開始、Microsoft と Netscape に対応する。 ・NTTコミュニケ−ションズ。2002/04/03、企業向けの「セ−フティパスビジネス」を 開始する。ICカ−ドとインタ−ネットVPN、最強の認証・接続サ−ビス。 [ 無料のサ−ビスを使う場合 ] WWWサ−バ、ブラウザ、メ−ルで1年間無料で使えるデジタルIDを発行している会社 がある。はじめアメリカかどこか訳のわからないところがやっているのか思ったが、信用 してよさそうである。アイ・オ−・デ−タ機器やジャストシステムなどが出資して作った 会社で、(株)デジオンという、1999/01 設立。本社は福岡。NPO法人電子認証局市民ネ ットワ−ク福岡と関係している。一応、利益は音楽やビデオ関係のソフトウェアの販売で 得ているようである。http://free.ca.digion.com/ の FreeCA サ−ビス。 毎月のメ−ル マガジンとメ−リングリストあり。メ−ルマガジンはバックナンバ−がホ−ムペ−ジにあ る。証明書発行局運用規定 CSP もちゃんと書いてある。 デジタル証明書破棄リスト CRL をダウンロ−ドできるようにもなっている。友達同士のメ−ルとかなら、これで暗号化し てやれば十分でないのか。会社でも、限定的に使うには別にいいのじゃないかと思う。 ・FreeCA パ−ソナル。申込みは性と名をロ−マ字、メ−ルアドレスが必須。 2001/04/01 から試験運用を開始した。1年間有効、更新は30日前から当日までにできる。 ・FreeCA サ−バ。Apache WWWサ−バで使える。IIS には対応してないとある。IIS で もデジタルIDのフォ−マットをちょっと変換すれば使えるという話も。 ・FreeCA アドレス帳サ−ビス、LDAP ディレクトリサ−ビス。自分の情報を登録しておけ ば、公開鍵でメ−ルを暗号化して送ってもらえる。 [ 自社で認証局を立てる場合 ] 著名なところでは Baltimore UniCERT、Entrust/PKI、RSA Keon といったのがある。国内 でも日立、東芝、NECなども作っている。どれもカタログを見ても、いろいろ細かくモ ジュ−ルが別れていてさっぱり分からない。どっちにせよ、かなり高額商品であることは 間違いない。多分、よい子の想定企業では導入は無理だと思う。2002年の NetWorld+ Interop でちょっと聞いた。千ユ−ザで、ざくっと1千万円とブ−スのお兄ちゃんは答え ていたぞ。ちっとは押えても、500〜600万円はいるようである。価格も高い、何や いろいろある。これでビビってはいけない。要は社内での利用では、イントラネット用の WWWサ−バと、個人認証もしたければWWWブラウザに、デジタルIDを発行するだけ のことである。日の丸工業の独自ル−トCAを作り、 このCAで署名した X.509 デジタ ルIDを発行するだけである。フリ−ソフトの OpenSSL、名古屋工業大学が作ったのAiCA や EasyCert でできる。社内だけでデジタルIDを利用する分にはこれで十分でないのか。 * そして個人認証の方向性は? パソコンを今起動して使うという時の認証。座席を離れる際のスクリ−ンロック。パソコ ンのファイルの暗号化など、ICカ−ドを使っていろいろ制御できる。ソニ−の指紋認証 などの生体認証を組み合わせれば、尚強力な個人認証が実現できるだろう。ICカ−ドに はデジタルIDも入れて、認証も兼ねてSSL 暗号化と S/MIME 暗号化も利用する。このよ うに社員一人一人が、デジタルIDなどが入ったICカ−ドを持つことになるだろう。但 し、カ−ドを落としたり、盗まれたりした場合の扱いは、まだこれからの課題である。 社内のWWWや、社外のWWWサ−バにアクセスする時の認証。どなたさんでも誰でもフ ァイルを覗けるのでなく、これからは何らか制限が必要になってくるだろう。同じ部の人 だけOK、他部署の人もOK、よその会社の人はNGとか。これらは単なるパスワ−ドじ ゃなく、デジタルIDによる認証をするのが望ましい。WWWブラウザ側もデジタルID をもち、サ−バ側で認証する。 デジタルIDの X.509 フォ−マットに記載されている内 容によって、アクセス範囲を特定する。パケットも暗号化されるので、尚いいだろう。 取引先企業との間で、機密内容のやり取り、購入するなど身分を明らかにする必要がある 場合の認証。外向けWWWサ−バなどにアクセスする際の認証ということになる。WWW サ−バ側だけ暗号化対応して、クライアントへはパスワ−ド制限する。もっと重要な内容 の場合は、WWWブラウザの個人用デジタルIDをサ−ビス側が発行し相互認証する。こ れで S/MIME 暗号メ−ルも使うことができる。グル−プ企業なんかでは、どこかがまとめ 役になって、デジタルID発行センタ−を立ち上げるといいかも知れない。 政府機関や市町村役場に電子メ−ルやファイルで、何か届け出書類を出す場合。法人とし て身分を明らかにする認証。政府などが発行するデジタルIDが必要になるだろう。確か に私が申請しました、否認できませんという電子署名に使われる。ここらは経理辺りが個 別に対応することになると思う。 GPKI、LGPKI、e-Japan 構想でも民間の企業間のことは、 あまり言及されていない。エレクトロック・コマ−スという大枠で括られてしまっている。 2003年に、B-to-B 市場が70億円という話とかはあるが。 帝国デ−タバンク(TDB)の発行する企業向けのデジタルIDは、TDB企業コ−ドが入ってい る。ル−トCAは TDB である。 企業の存在を帝国デ−タバンクのスタッフが直接訪問し 確認する。国土交通省の電子入札が平成13年10月開始されたのに伴い、電子入札参加 用デジタルIDを発行するサ−ビスも始めた。登記簿や印鑑証明などが取得に必要。IC カ−ドを使用するための暗証番号 PIN は書き留め郵便で、 ICカ−ドは本人限定受取郵 便で送付する。初年度なんやかんや、ICカ−ドリ−ダなどで10万円程いる。 日本認証サ−ビス(株) JCSI は、日本で初めて電子署名法に基づいた証明書発行サ−ビス "AccreditedSign パブリックサ−ビス" を 2001/08/01 開始した。タイプ2サ−ビス、行 政への電子申請専用の証明書、1年間有効、9,000 円(税+本人限定受取郵便代込み)。タ イプ1サ−ビス、電子署名法対応証明書、料金は同じ。 2000/01/21、JCSI ル−トCA証 明書が Windows 2000, NT4.0 Service Pack 6a, IE 5.01 に組み込まれたのを確認とある。 Outlook Express 5.50.. には、SecureSign RootCA1, CA2, CA3 が入っていた。有効期限 限 1999年6月25日〜2020年6月24日。Netscape 4.78 も調べたが、入ってなかった。 認証局をどこに置くかの議論。先に社内だけのWWWやメ−ルの暗号化なら、認証局はフ リ−ソフトを使って自社管理でも構わないとした。しかし、デジタルIDが対外的なもの で、金銭の保証問題まで発展する可能性があるとか、役所ヘの届けとか準公的な性格をも つ場合、VeriSign OnSite など外部サ−ビスを使うしかないだろう。あるいは社内ユ−ス に限っても千枚、2千枚とたくさん発行しなければならないとすれば。その認証局は厳格 な運用が求められる。多分、中小企業ではそのような運用は無理だと思う。この場合でも、 デジタルIDの発行、失効などの管理は外部のを利用するのが実際的な選択だと思う。 FOMA の SSLクライアント認証サ−ビス FirstPass (無料,NTTドコモ 2003/06/20発表)。 このサ−ビスはいかに。NTTドコモに申し込むだけ、費用は無料。 一つ確認、FOMA の クライアント認証サ−ビスのユ−ザ証明書(デジタルID)がどこからとられているか。い や FOMA にユ−ザ証明書が入っても FOMA の中の iモ−ドでの話だ。FOMAをパソコンにつ ないでWWWブラウザでという話ではない。いやそれが 2004/04/26、FOMA をつないだパ ソコンからも利用できるソフトが出た、FirstPass がパソコンからもご利用可能に。 * Felica が有力そうな気配になってきた 「日経コミュニケ−ション」2006/02/01, P.114〜119, Felica について記載あり。本も出 ていた。「モバイル Felica プログラミング」アスキ− 3,675 円(税込) 2006/03/01出版。 サンプルプログラムが CD-ROM にある。Felica の SDK を別途、購入しないと動かせない。 Felica の内容、購入については http://www.sony.co.jp/Products/felica/index.htmlを 見ること。しかし、ここには SDKの種類やICカ−ドやリ−ダの紹介は載っているが、値 段は載ってない。開発ソフトの SDK はどうも3つか4つの種類がある。 どうもだいぶ値 段にひらきがあるようである。法人しか買えないとも書いてあった。ともかく、ソニ−の FeliCaリ−ダ内臓のノ−トパソコンを買うことにして、SDK についても業者に聞いてみよ う。開発言語はC++みたい。かなり難しそうな気配がする。もし SDKを扱えても、実際 社内でこれを展開していくのは難しい。結局は誰が日々の維持管理して行くかということ になる訳で、社内に強力な協力者がいないことには実施は困難である。 * デジタルIDをもう一度勉強 `27〜 ブラザ−が2007年5月に発表したICタグ書込み装置。ICタグのプリント装置のよ うなのを作った。ICタグ自体は 1.5cm 角のペラペラしたやつ。 何ができるのか、なか なか面白そうだ。ICタグのテストにはいいかも知れない。これで簡単にICタグを作る ことができる。社員証にICタグを必要な人だけに張り付ければいい。ブラザ−のブログ http://d.hatena.ne.jp/brotherblog/ には、2006年9月に記事が出ていた。 顔写真をとって首からさげるIDカ−ド。これはもう一般的になった。総務が従業員の顔 写真を一人ずつとる作業。この仕事はIT部門でなく総務だろう。総務がITもめんどう みているなら、なおさらだが。ならばICタグの作成をするのも、総務にやってもらって もいいか。手間のかかること。食堂の会計もIDカ−ドでやるところが、どんどん増えて いる。IDカ−ドが既にあれば、パソコンを使う人にはICタグを張り付ければいい。 これでIDカ−ドができたと。それでどうするか。パソコンを使う際には、そのIDカ− ドを差し込んでおく?。CTCはそうやっている。抜いて別な端末に行って差し込むとさ っきの画面が出てくる。IDカ−ドを差し込んだところで、パスワ−ドをまた入れるのだ が。IDカ−ドを差し込むことをもって、そのまま認証するというのもある。パスワ−ド は入れない。あるいはIDカ−ドは差し込み放しでなく、認証したらすぐに出てくるとか。 デジタルIDの証明書と秘密鍵をスマ−トカ−ド(ICカ−ド)に入れる。秘密鍵にはパ スフレ−ズを付けると、より強固になる。固有証明書認証と署名済証明書認証。40万円 ぐらいでプライベ−トCAをやる装置はある。SSL-VPN 装置にもプライベ−トCAの機能 がある。SSL-VPNでのクライアント認証で、デジタルIDの Common Name を使うと書いて あるのを見た。これってどういう意味があるのかな。 Felica の開発用のプログラムは、バ−ジョンは。 Visual Basic は 6.0 までは単純なや つだったが、今は .NET 環境も入っていてかなりでかいものになっているらしい。Felica は実際に広く使われているので、テストするのはいろいろ制約がある。ソニ−の PUPPYな ら自分で制御ソフトを開発できる、SDK 開発ソフトは20万円ぐらいとのこと。 * 自社で認証局(CAサ−バ)を設置する `28〜`29 だいぶ前に検討したときはCAサ−バは非常に高価なものだった。5百万円とか1千万円 とかそんなお値段だった。高額なソフトは淘汰されたか、あらたに出てきたソフトはそこ そこ値段は下がってきたようである。だいたい RADIUS サ−バのアプライアンスにCA機 能が入っている製品が多いようである。詳しくは書かないが横河電気(株)の総合ユ−ザ認 証アプライアンスASシリ−ズ、2005年3月入手のパンフレットより。802.1x対応に 加え RADIUS 機能、CA、LDAP搭載。特許出願中と書いてあった。もう1つ(株)インフィ ニコの NetWyvern RADIUS アプライアンスのパンフレット、2006年2月にクライアン ト証明書発行機能、Active Directory 連携機能追加。 NetWyvern って何て読みにくい見 にくい綴りだこと。Infinico のパンフレット、もらって手元にはあるが知らない会社だ。 [ FutureNet RA ] RADIUS Server Appliance。FutureNet RA-1100 1U、200万円。 最大5万ユ−ザ管理。 IEEE802.1x (EAP-MD5/TLS/PEAP/TTLS ) に対応する RADIUS サ−バ。2007/07/31出荷予定。 http://www.centurysys.co.jp/。FutureNet RA-630 弁当箱ぐらいのサイズ、378,000円税 込み。国産開発ソフト。無線LANアクセスポイントや認証スイッチで利用する。外の装 置やソフトのCAからデジタルIDを取り込む。この装置にてプライベ−トCAの発行や クライアントのデジタルIDを発行ができる。 Active Directory や LDAP サ−バのユ− ザ情報を参照して、IEEE802.1X 認証ができる。 LDAP に登録した Attribute を認証結果 として返すことができる、どういうこと?。複数の証明書を発行して、有効期限が切れる 前に証明書を発行できる、どういうこと?。 [ Windowsサ−バ ] とりあえず Windows 2003 Server 等に入っている機能が使える。 「NETWORK MAGAZINE」 2007/02, P.80〜83, "Windows Server 活用テクニック 第4回自前で電子証明書を発行す る。IIS に自前のデジタルIDを組み込む、ユ−ザに自動的にデジタルIDを配布する方 法。エンタ−プライズのル−トCAを作る方法、これは Active Directory と統合してい る。他3つのCAがある。Windows のWWWサ−バである IISにアクセスするのにデジタ ルIDを使いましょう、デジタルIDはプライベ−トなもので、自分とこだけで使えると いう話。「UNIX MAGAZINE」2006/01, P.53〜59, "プライベ−ト認証局を作ろう (2) 16文 房具としてのUNIX"。電子証明書の中身、OpenSSL、くれぐれもこれで会社の認証局を作ろ などと考えないようにと書いてあった。 [ Pentio の製品 ] Pentio PKI Private CA と Pentio PKI USB Token。 実際に一番よく使われているのでな いかと思う。デジタルID発行の1UアプライアンスとデジタルIDを格納するUSBト −クン。SSL-VPN の FirePass のユ−ザ認証で知った。 http://www.pentio.com/ に参考 価格がでている。 SSL-VPN 以外にも Apache や WebDAV、メ−ルの暗号化などいろいろ利 用ができる。USBト−クンが有名だがICカ−ドも加えたもよう。クライアント証明書 100ライセンス 150万円、200個で 212.5万円、500個で 337.5万円。ハ−ドウェ ア1台 50万円。Pentio PKI USB Token 2100 は10個で6万円、1個6千円。`29/07 に サイト見たら、Ruby on Rails をベ−スに完全リニュ−アルした全く新しいプライベ−ト 認証局アプライアンス、グレアス誕生とあった。100ライセンス130万円から。 * Active Directory のデジタルID管理機能 `2e/12/s Active Directory にデジタルIDを発行する機能がある。 だいぶ前から、そう10年ぐ らい前からは機能としてあるのでないか。Windows 2003 Server とかからとか。ずっと簡 易的なものだと思っていた。それが1万人を越すような企業で、利用しているのを知った。 SSL-VPN ユ−ザ用にクライアント用デジタルIDを発行している、発行数は全員ではなく 500とか位でないか。 Active Directory の機能なのか Windows Server 自体の機能な のか。管理的なことまで十分やれるのか分からないのだが、すでに使っている訳で、デジ タルID管理用の製品でなくてもやれるという事なのだろう。 Active Directory にはユ −ザの項目にクライアント用デジタルIDを入れる所がある。多分 Active Directory を 操作すれば、ここにそのユ−ザ用のデジタルIDが作られて入るのだろう。 * デジタル証明書ついて改めて `2f/05 [ 端末を固定できるか? ] NetAttest EPS アプライアンスの製品紹介で、端末に紐づいて認証するデジタル証明書の 利用、認証情報の複製や偽造が行えないと書かれてあった。端末に紐づくという件りが気 になる。日経の雑誌には IEEE 802.1X 認証プロトコルには6つの方式があり、 クライア ントもデジタル証明書を使うには EAP-TLS 認証方式だけで、 端末固有の電子証明書を利 用すると書かれてあった。この記述も気になる、まるでクライアント用のデジタル証明書 は利用できるパソコンを固定できると、捕えることができそうである。以下、単にユ−ザ 証明書と書くのはクライアント用のデジタル証明書(デジタルID) とする。 あるSI業者が NetAttest EPS を扱っていて、 ユ−ザ証明書を SSL-VPN 装置の Camail で利用するマニュアルを見せてもらった。40ペ−ジぐらいあり細かに設定方法が記載さ れていた。NetAttest EPS 内臓の RADIUS サ−バでユ−ザを登録し、ユ−ザ証明書を発行 する。登録画面にはユ−ザ証明書の有効期限とパスワ−ドを入れる項目しかない。ユ−ザ 証明書は NetAttest EPS からダウンロ−ドして、 デスクトップにアイコンにあるのをク リックしてIEに入れる。マニュアルではユ−ザ証明書のインポ−トウィザ−ドでユ−ザ 証明書を入れるところで、秘密キ−のパスワ−ドを入れる画面がでてくる。 端末に紐づくなんてのはどこにもそんな作業は出てこないぞ。ユ−ザ証明書をインポ−ト する時に秘密キ−のパスワ−ドを入れる他、このインポ−トウィザ−ド画面では2つ設定 項目がある。秘密キ−の保護を強力にするということで、アプリケ−ションが秘密キ−を 使う毎にパスワ−ド入力を求めるか。もう1つはこのキ−をエクスポ−ト可能にするかと いう、つまりバックアップを取ったりトランスポ−トを可能にする。秘密キ−のパスワ− ド、ここでは NetAttest EPS に登録したユ−ザのアカウントのパスワ−ドだが、 これが 分かればユ−ザ証明書は取り出すことができる。他のパソコンに入れるのも出来るはず。 つまりユ−ザ証明書が入っているパソコンなり端末を認証するということでしかないと解 釈すべきである。Windows Server にユ−ザ証明書を発行する機能があるが、 この作業に おいてもパソコンのMACアドレスを入れたり、スマ−トフォンのIDを入れたりする場 面はない。MACアドレス認証もできますと唱っているとすれば、デジタル証明書の処理 とは別に処理して組み合わせる。MACアドレスも認証アプライアンスに登録して、パソ コンには汎用言語で開発したプログラムか、IEブラウザにActiveX なりのプログラムを 送り込んでおきMACアドレスを引き出して比較する。そんな処理をするのでないか。 [ デジタル証明書の強度 ] このように組み合わせて端末を認証するしかない。ユ−ザ証明書だけでは端末を固定でき ない。とりあえずMACアドレス認証を組み合わせるにしても現実問題、これさえなかな か難しい。 SSL-VPN 装置でよく目にする Juniper MAG は装置内にMACアドレスを登録 できるが、パソコンと紐づくものではない。MACアドレスを列挙して該当するのがある かないかを見るだけである。CamailはMACアドレス認証は対応してない。それにMAC アドレスは Active Directory では管理項目はない。一生懸命MACアドレス認証できる ようにしても、MACアドレスは偽造ができると言われそんなに認証強度は高くない。 デジタル証明書は、いわば長いパスワ−ドみたいなものである。パスワ−ドが長いので覚 えられなくて、このパスワ−ドを使えるようにするために短いパスワ−ドで利用できるよ うにする。つまりこれが秘密キ−のパスワ−ドということになる。別な見方をすれば、長 いパスワ−ド、長い文字のままでは実際には利用するのはできないというか、扱いずらい。 扱い易くするために短いパスワ−ドで保護することになる。結果的にその短いパスワ−ド さえ分かればそれで使えてしまうことになる。デジタル証明書は強力な暗号化方式ではあ るが、こうした性質を持つものであり、安易に安全と考えるのは危険である。 簡単な例えを一つ。銀行のすごい金庫、厚さ20センチ位ある丸い扉、これを開ける暗礁 番号があって6桁としようか。それと自転車のチェ−ンの鍵で番号をあわせるので、これ も6桁。いかにも銀行の方が強固なセキュリティが施されているかのような印象を受ける が認証強度としては同じである。一つ疑問、秘密キ−のパスワ−ドは変えることができる のか。多分できると思う。ユ−ザ証明書は Active Directory(AD) で管理できるのだから。 Windows Server の ADでは、ユ−ザのアカウントのパスワ−ドは変えることができる。で きないと半年毎にパスワ−ドを変えるようなポリシ−は実施できない。 その後追記。ユ−ザ証明書の秘密鍵は多分変更できないと思う。変更では なくて新規発行、作り直しということになると思う。 AD の管理でのユ− ザのパスワ−ドとユ−ザ証明書の秘密鍵のパスワ−ドは別物である。ADの ユ−ザの管理項目の中にユ−ザ証明書を入れる所があるということである。 Windows Server の中で、 ユ−ザ証明書を作る際にユ−ザ名を自動的に取 るということはあるかも知れない。しかし基本的には別物である。`2g/06 もう一度デジタル証明書についておさらい。公開鍵暗号方式という通信の暗号化の方式で ある。公開鍵と秘密鍵でもってパケットを暗号化、復号化する。この鍵と言うのは具体的 には長い文字の羅列であり、それでもって文面を暗号化する。暗号化鍵はブラウザの証明 書のところに入れる。確かユ−ザ証明書を入れる際には、秘密鍵のパスワ−ドを入れない といけないはず。デジタル証明書をより安全に利用するには、ユ−ザ証明書をICカ−ド かUSBト−クンに入れることである。無理に取り出そうとするとこれらは耐タンパ性と いう機能により、中のデ−タが壊れるようになっている。確かめたことはないけど。