Passive Authenticationの仕組みを見れば、 各国の政府機関が発行するCSCA証明書がトラストアンカーとなっている事に気がつくと思います。 日本の場合CSCA証明書は外務省が発行します。 まずはこのCSCA証明書を手に入れなければ電子的なパスポートの真正性を確認できません。
ということで外務省に対してCSCA証明書を下さいという旨の情報開示請求を行いました。
しかし残念ながら外務省の回答は、CSCA証明書(公開鍵)は公開しない。でした。
先に説明したICAO(国際民間航空機関)はICAO Public Key Directory(以下ICAO PKD)というLDAPサーバーにCSCA証明書をアップロードすることを推奨しています。
このICAO PKDにはドイツのマスターリスト(ドイツが信頼するCSCAのリスト)が公開されており、その中に日本のCSCA証明書が含まれていました。 これは信頼モデルとして日本のパスポートでドイツに入国できることを意味します。
私はこのドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出しました。
以下ソース
https://www.osstech.co.jp/~hamano/posts/epassport-security/reason.jpg
https://www.osstech.co.jp/~hamano/posts/epassport-security/ 公開鍵を公開しているサイトの信ぴょう性を保証する為の認証機関も必要だよな?
0623名無しさん@涙目です。(東京都) [JP]2019/04/26(金) 19:33:59.23ID:Aq9PEohr0
秘密鍵が特定できるようになる確率も低いからメリットが十分にあれば公開すればいいと思う
公開鍵を最初から公開することが間違ってるわけでもない、公開することで新しい利用法が考えられるかもしれないし、対応手順を事前に検討すればいい
当然、公開鍵を非公開にするという判断も間違いではない、リスクを検討したり対応手順を考える猶予ができる
0624名無しさん@涙目です。(空) [US]2019/04/26(金) 19:39:33.21ID:YdwZakg80
公開鍵の秘密鍵
0626名無しさん@涙目です。(空) [ニダ]2019/04/26(金) 19:45:51.45ID:246tgjhz0
canとmustをなんで冷静に判断できないの?
まあ、外務省の理由は嘘多いけどさ
>>5
サイモン・シンがわかりやすく書いてくれてるから暗号解読って本を読め
エニグマの仕組みもわかるぞ ていうか
こんな事態になったら
> 2030年 量子コンピュータが開発されたRSA4096bitが現実的な時間内で解読できるようになりました
こんな理由で
> B「公開鍵は然るべき機関にしか公開してないからすぐにはパスポート偽造されないのではないか」
こんな対策をするのは論外もってのほかだよ
> C「そうかなら1年を目処に全交換を行おう」
> 半年後に現状のを利用不可にしよう」
セキュリティをなんだと思ってるんだ
公開鍵から秘密鍵は生成できないじゃなく時間がかかって現実的じゃないってだけだぞ
だからベリサインの証明書は有効期限がある
0632名無しさん@涙目です。(茸) [IN]2019/04/26(金) 20:50:53.15ID:YlfRvCrS0
・よくわかってるから公開する
・よくわからないけど公開する
・よくわかってるから公開しない
・よくわからないから公開しない
役所の対応としてどう転んでも公開しないのが安牌ってだけの話だろうに
0633名無しさん@涙目です。(dion軍) [US]2019/04/26(金) 21:46:12.10ID:kBSvG8GE0
WPA2だって脆弱性あるのに使われてるからね
脆弱性が明らかになっても悪用されればインフラ壊滅される懸念があっても使われてる例なんていくらでもある
検証する権限が無いんだろ?
誰が検証するのか知らんが
0635名無しさん@涙目です。(静岡県) [US]2019/04/26(金) 22:02:19.05ID:TeLkVRI/0
>>633
ソフトウェアの修正で対処できるものは修正して使うからな。
仕様面でどうにもならんものは廃止する。
SSLv3.0とかSHA1とかな。 0637名無しさん@涙目です。(catv?) [ニダ]2019/04/26(金) 22:11:24.78ID:Y4qE42Uf0
わかりやすく言うと、非公開ルールを作ったやつが無能
>>637
非公開のオレオレ暗号理論ってのはオープンな理論にくらべて圧倒的にバトルプルーフが少ない
間違いなく穴だらけなのでセキュリティ的に重要な場面で絶対に使おうと思ってはいけない 0641名無しさん@涙目です。(庭) [US]2019/04/27(土) 00:23:07.72ID:YEXPsQE30
認証局・認証機関てのもよくわからんよな
ベリサインより安い認証機関とかあるけどそういうのは電子証明書がOSによっては入ってない所もあるからな
0642名無しさん@涙目です。(SB-iPhone) [ニダ]2019/04/27(土) 00:29:27.55ID:lfGLqWmb0
>>641
まずオレオレルート証明書をインストールしていただきます 0643名無しさん@涙目です。(庭) [US]2019/04/27(土) 00:33:09.07ID:YEXPsQE30
>>642
ルート証明書がOSに最初から入ってるのって例えばWindowsならマイクロソフトに金払って入れてもらってるの? 0644名無しさん@涙目です。(SB-iPhone) [ニダ]2019/04/27(土) 00:55:11.98ID:lfGLqWmb0
>>643
そう
実はルート証明書をさらに証明してるのはビルゲイツ、リーナストーバルズ、スティーブジョブズ、ティムクック
さらにその上ではロスチャイルド、ロックフェラーが認証している 0645名無しさん@涙目です。(庭) [US]2019/04/27(土) 01:02:08.42ID:YEXPsQE30
嘘こけw
0646名無しさん@涙目です。(やわらか銀行) [FR]2019/04/27(土) 02:37:57.18ID:Du/eI2+k0
0647名無しさん@涙目です。(静岡県) [US]2019/04/27(土) 02:43:43.11ID:87eWW94V0
0648名無しさん@涙目です。(神奈川県) [BO]2019/04/27(土) 08:39:16.01ID:g65RCFkq0
>>621
Bの最初の発言がおかしい
公開鍵から秘密鍵は作れない
Bが知ったか野郎のせいでCが誤った判断に陥ってる
>>622
外務省が公式サイトで公開して
確認用に、公開鍵のフィンガープリントも公開すれば良いだけ
>>625
受験勉強に出てこないからね
試験範囲しか勉強しない、典型的使えない日本人
>>628
うむ
>>629
ベリサインだけじゃなく全認証局だよ
数年前までは5年間の証明書作れたけど、今はMAX3年 0649名無しさん@涙目です。(神奈川県) [BO]2019/04/27(土) 08:43:24.28ID:g65RCFkq0
>>638
?
使ってる技術はどっちも一緒
公的な第三者がその証明書の正当性を保証してるかどうかの違いだけ
使う当事者が互いの証明書だと確認できてれば、第三者の証明など不要
そこにセキュリティの脆弱性など無い 0650名無しさん@涙目です。(やわらか銀行) [US]2019/04/27(土) 12:03:15.06ID:LSeeQZE50
>>543
てゆーかさ
公開鍵は本人から貰わないと第三者アタックの可能性あるわけで
外務省が公開鍵を送らないってこと自体が危険なんだよな
まあドイツのサーバってところが信頼できるんならいいけど
そこを信頼するのにもそこの発行した公開鍵を使うわけで 署名用なんだから、誰かが外務省になりすまして、公開鍵と偽造パスポートを作ることを懸念すべきだろ。
公開鍵は正規の配布ルートを作り、いつでも誰でも参照できるようにすべき。
0652名無しさん@涙目です。(空) [CN]2019/04/27(土) 13:19:21.98ID:L585dozB0
日本のパスポートの公開鍵を欲しがる人ってどんな人なんだろう。
何に使う積もりだろうね?
>>652
お願いですからほんのちょっとでも「公開鍵」がなんなのか、勉強してから言ってください 0654名無しさん@涙目です。(茨城県) [JP]2019/04/27(土) 13:24:44.04ID:gw/H3/Zw0
鍵を公開とかセキュリティ違反だろ
クレーム入れてくるわ
0655名無しさん@涙目です。(空) [CN]2019/04/27(土) 13:32:40.32ID:L585dozB0
>>655
少なくともこのスレに書き込むのは応用情報取得者以上な
素人のくせに書き込むな 0657名無しさん@涙目です。(空) [CN]2019/04/27(土) 13:41:54.42ID:L585dozB0
>>656
何の為に日本のパスポートの真贋チェックをするの? 0658名無しさん@涙目です。(空) [CN]2019/04/27(土) 13:52:19.97ID:L585dozB0
>>575
住民票の発行は本人または同一世帯人若しくは代理人だよ。
誰でも発行してくれる訳ではない。 0659名無しさん@涙目です。(やわらか銀行) [US]2019/04/27(土) 14:07:44.49ID:LSeeQZE50
0660名無しさん@涙目です。(やわらか銀行) [US]2019/04/27(土) 14:17:29.55ID:LSeeQZE50
>>655
AがBにデータを送るときに
Aの持っている暗号鍵で署名データを作って送るよ
受け取ったBはAの公開鍵で署名データを検証するよ
他の公開鍵では検証はできないから
受け取ったデータがAからのものだって確認ができるよ
暗号化して送りたいときは
AはBの公開鍵を使って暗号化して送るよ
このデータはBの持つBの暗号鍵でしか復号化できないから
B以外の人がデータを入手しても中身は読めないよ 0661名無しさん@涙目です。(庭) [US]2019/04/27(土) 14:19:19.25ID:oV69PXqF0
>>1
院卒博士号持ちの俺に分かるように誰か解説プリーズ >1
日本の外務省の 無能さは
恐ろしいな
まともな採用試験をやってないだろ
0663名無しさん@涙目です。(空) [BY]2019/04/27(土) 15:42:02.74ID:fx0pN7My0
>>660
ご説明して頂いた理屈の理解は出来るのですが、
「IC旅券用プロテクションプロファイル」に関する調査報告書の
中のIC旅券用プロテクションプロファイル解説書には、
「CSCA
証明書の管理方法に対する要求事項は、厳重に守られた安
全な外交手段で配送すべきと記
載されている。ヒアリング調査の
結果、CSCA証明書はインターネット上に公開せず、IC旅券発国
と受入国の旅券発給当局又は出入国管理当局等で共有されること
が確認できた。
また、HSM(Hardware Security Module)等の安全なデバイスに格
納したCSCA証明書を安全に読み出すために、EAL4+SOF-Highの
CC認証を取得しているCAD(Card Acceptor
Device)に格納するこ
とが推奨されている。」
と、書かれており、外務省の対応は技術的な事よりも、これに従っ
たものと思われます。
>1の人が何故、公開鍵を知りたがったのかを思うに、自身のBlog
中に紹介してるアプリの為の話題作りではないかと思うのです。
「IC旅券用プロテクションプロファイル」に関する調査報告書
https://www.ipa.go.jp/security/fy20/reports/epassport/index.html
IC旅券用プロテクションプロファイル解説書
https://www.ipa.go.jp/files/000013976.pdf 0664名無しさん@涙目です。(愛媛県) [CA]2019/04/27(土) 21:06:55.47ID:KM5SfyUA0
>>622
公開鍵を公開しているサイトの信憑性なんて関係ない
公開鍵そのものに署名している認証局が正当な物ならその公開鍵は本物だ
そもそもPKIなどのシステムは暗号化や署名のアルゴリズムも含めて公開することによって
多くの眼によって検証可能にすることによってセキュリティを高めるようになっているんだけどな。
オープンにされない暗号化システムの方が危険という考え方 0665名無しさん@涙目です。(dion軍) [US]2019/04/27(土) 21:11:03.60ID:G1DOhLkk0
>>662
英語すら出来ない職員がいるらしいからな、、 0666名無しさん@涙目です。(愛媛県) [CA]2019/04/27(土) 21:14:25.63ID:KM5SfyUA0
>>641
SSL認証通ったからと安心するやついるけど、その鍵が信頼できる認証機関のどのレベルの
認証を受けているかも確認しないといけないんだよな
まぁhttpsのサイト閲覧なんかはそれほど気にする必要ないかもしれないけど、
ECサイトなんかは少しは気にした方がいい >>651
いやだから正規の配布ルート以外から開示を請求したら拒否されたって話だろ 0668名無しさん@涙目です。(愛媛県) [CA]2019/04/27(土) 21:20:47.88ID:KM5SfyUA0
>>651
その場合公開鍵にされている認証局の署名が正規のものと一致しない
公開鍵を誰が持っているかとか、どこに掲載しているかは重要ではなくて
公開鍵にされている署名が正規の物かというのが重要 >>620
ドイツが公開しているものを信じてしまう段階でセキュリティ意識は相当低い
ドイツの公開している証明書で日本のパスポートが真正だと判断できた時点で、まずはそのパスポートがドイツによって偽造されたものだと疑うべきだ 0670名無しさん@涙目です。(愛媛県) [CA]2019/04/27(土) 22:21:51.68ID:KM5SfyUA0
>>669
何度も書いてるけど、公開鍵を誰が持っているかや誰が公開しているかは関係ない
なぜなら公開鍵というのは誰が持っててもかまわないように作成されたものだから
極端なこと言えば、外務省のホームページで公開されているからと言ってそれが偽造された
ものではないという証明にはならない。
その公開鍵の真正性を証明するのはその鍵に署名されている認証局の署名のみ >>670
分かってないな
今回の話題になってるCSCA証明書は認証局の証明書であひ、ルート証明書で自己署名証明書だから、どこから入手したかでしか正当性は保証できない
https://www.ipa.go.jp/files/000024445.pdf
>9.3.1. CSCA 証明書
>CSCAは旅券発行国にあるIC旅券専用のルート認証局であり、CSCA秘密鍵・公開鍵のペア (KPr_CSCA, KPu_CSCA) を管理し、CSCA公開鍵を格納したCSCA証明書 (C_CSCA)の発行を自分自身が行う。 