【悲報】外務省 パスポートの公開鍵の公開を拒否
■ このスレッドは過去ログ倉庫に格納されています
https://www.osstech.co.jp/ ~hamano/posts/epassport-security/reason.jpg https://www.osstech.co.jp/ ~hamano/posts/epassport-security/
>>3 パソコンにパスポートでログインする仕組みでも作ろうとしたんか? 公開キーが何なのかを外務省は理解してないだけの馬鹿しかいない、ということ。 良くわからんやつに公開しないだけの話だろ パスポートが本物かどうか確認するアプリの開発者みたいだけど誰がそのアプリを使うんだ?どんな場面で? 良くわからんのだけどパスポートの真偽を個人で確認する必要ある? 公開鍵わからないと署名の検証ができないので完全に無価値になるんだが まあルート辿れば信頼性確認できるし 公開鍵を必要としてるところ(ドイツ入管)に公開してるのに困るってストーリー 公開鍵がなんなのかわかってない人が ツイッターで直接河野太郎に外務省はアホしかいないんですか?って質問すれば 個人でパスポートの検証するってのはナンなんだ? 一般人にホイよって言う必要もないものってだけなのになぁ 外務省は別組織を立ち上げて >>32 公開鍵だからと言って、広くあまねく公開する義務はない。 >>32 >>34 >>37 >>38 >>26 外務省がこいつ個人相手に公開はやばいって判断したんだろ、それが全てだろとw >>44 公開鍵なのに公開しないなら、暗号化の意味もないし、解読できないなら何のセキュリティーにもなってない。 >>41 スマートニュースの人も食いついてるけどやっぱりわかってなさそう >>48 言質取れた!!!!ってノリなのかな AISとかも公開鍵使ってるけどネット上で開示してないかな >>53 パスポートの真正確認が必要なところには公開してあるんだから ツイッターの自称識者様たちが言質取り出来たー! 鍵ペアを作成し >>53 公開鍵を公開することが危険だったら世界中大パニックになるぞw 公開鍵だって技術革新で突然丸裸になる可能性あるんだから必要な間のみ共有の方がより安全だろう ドイツ以外も当然公開鍵はネット公表してんだろ? >>60 我推薦的TikTokアル! LINEいいね〜ニダ♪ http://yamatotakeru999.jp/index.html >>62 >>7 公開鍵請求出して行けば? >>62 技術者風の人が公開鍵だろ!とツイッターとかでやってるのな まずそのアプリって何のためにあるんだろうな >>66 自社が開発してるシステムで使用されてる公開鍵どんどんアップして行ってよ >>74 個人に公開しないってだけの様だが、 外務省に「ドイツが日本の鍵も公開しちゃってますけど」って教えてやってみたい >>61 >>2 >>78 >>1 https://i.imgur.com/4UzEtS9.jpg >>82 >>78 >>79 >>43 >>86 >>89 >これは信頼モデルとして日本のパスポートでドイツに入国できることを意味します。 民間に公開はしない、と方針を明確に言ってるじゃないか >>74 http://pgp.nic.ad.jp/pgp/pks-commands-j.html >>90 >>95 こうかいかぎ なのか こうかいけん なのか >>97 公開鍵にカンするトンチンカンな反応 公的機関にだけ公開すれば用足りるんだから別にいいんじゃね。 >>61 >>103 >>98 謎の第三者が入手するのは踏まえたものだけど >>90 >>108 不特定多数と暗号でのやり取りを行うのであれば公開キーは誰もが見られる状態にしておかないといけない >>103 パスポートのICカードは認証に失敗すると永久に読み出せなくするセキュリティ機能あるから、下手に仕様公開するとパスポートに出鱈目なパスワード入力して使い物にならなくなるいたずらが流行るんじゃないか? >>106 「公開鍵ください」 >>116 >>116 >>113 >>114 未だにmd5ではね?とかそういう話出ないじゃない? >>122 >>119 >>119 >>125 しょうがないですね、うんち鍵のうんちは承諾しましょう…。 公開鍵は公開されるもんだ!の事例の続き待ってるんだけど無いもんだな 全世界のパスポートにicチップ載せられてんの? >>84 >>130 >>110 https://security.srad.jp/story/19/04/03/0613215/ よくわからんが、ドイツ経由で手に入れてるってことはドイツが日本の鍵も公開しちゃってるんだろ? >>134 >>126 >>84 >>138 >>139 >>135 >>137 >>133 >>135 >>120 ID:WXL+nTfC0が正しいと思う。 ならドイツが公開してるのをすぐ止めさせないと >>143 >>141 >>144 >>149 >>150 >>150 >>153 今回のケースは公開対象にするべきだ!って理由が手ぶらになるのは何でなの? >>149 >>154 >>157 >>155 こういう話って常識なん? 【正解の対応】 >>162 >>161 >>162 暗号の安全性と 日本は早くDNAで個人や食料を管理したほうがいいよ >>160 >>166 >>170 >>166 >>151 というかさあ、おまえら今5chやってるわけじゃん? ITパスポート試験だとメッセージダイジェストの種類とかやらんのか >>170 >>172 >>178 >>182 >>176 メッセージダイジェストでも堅牢性の違いとかあるし >>183 >>185 ああ、外務省肯定派の言いたいこと何となく分かったわ てか何でそんなに公開鍵欲しいの? >>174 >>184 >>187 SIerが独自の署名を使ったシステムを顧客に納入したとして >>192 >>1 出せてねえから >>182 >>189 >>197 >>193 >>181 >>200 >>201 >>199 >>199 >>196 外務省が一般に認証をしないってことだろうな ITパスポートレベルをわかってねー!ってやってる人らいるけど >>204 >>205 俺様は応用情報もってるけどなw どこの馬の骨とも知れぬ一私人が 数学的安全性なんだよ >>206 >>185 暗号化技術って現代社会の根幹なのに高校とかで教えないよな >>212 https://www.google.co.jp/amp/s/s.rbbtoday.com/article/2016/05/19/142113.amp.html 公開っていうか単に鍵送るときに盗聴されても問題ないってだけだから >>218 >>219 現代社会の根幹インフラを全く解しないバカどもが 個人じゃなく企業なら通ったのかもねってところかな >>211 公開鍵と訳すから勘違いするやつが多くなる >>226 >>225 身分証って発行された時点で保障されてると思うんだけどな >>227 >>225 >>225 >>228 >>233 >>230 日本はエリートがテクノロジー解しないからこういうことが往々にして起きる 公開先の法人が >>232 >>233 >>236 >>238 >>244 おい、国立印刷局よ。 >>243 まぁ外務省なんかに頼まんでもドイツだけじゃなくて普通にネット上に公開鍵は落ちてるな。 https://i.imgur.com/i2T29Ae.jpg >>248 >>1 がただの馬鹿じゃないですか そもそも秘密機鍵が一つしか存在できないことを確認するためにも公開しなきゃ意味がない >>246 >>252 これは専門家の意見を聞かないとどっちが正しいかわからんと思うわ >>255 >>248 今の日本の場合暗号化してるフリだけでされてない可能性も微レ? でもまーなんだな。 漏れた程度で詐欺とかに悪用されるような暗号強度の公開鍵の暗号使ってるほうが脆弱で危険なんですよ >>261 >>256 >>261 >>260 >>269 勉強になるスレだなー 自前検証しなくても認められた組織ならお役所や公的機関のサーバ経由でこれ正しい電子パスポートですか?って検証出来るんだろ >>271 >>272 一度作られた公開鍵をそのパスポートはずーっと使うの? >>274 >>1 だけど >>274 「どうだい?俺のパスポート本物だろ >>8 一般に公開したらリスクあるとか言ってるヤツはドイツに抗議でもするんか?w 素数マニアがいて、沢山の素数を記録して集めてるヤツなら すみませんが、>>1 のブログを書いてる人は何者なんですかね >>283 >>200 そうか。よく分かった。 「外務省から正式に開示された公開鍵を使用しています!」 よくわからないからじっくり読んでたら公を見すぎてハムになってきた 他で手に入れられる以上公開しないことで担保できるセキュリティは無い >>5 >>30 >>11 公開鍵を公開する機関なんて関係ないんだけどな >>302 は? >>290 政府機関同士には公開し合ってるだろ もともと、オープンなWEBサーバ上に置くようなモノなのに、なぜか目につくところに置くなとか変な対応多すぎでバカは使うなと言いたい 公開鍵の意味が分かっていないのと 外務省wwww >>1 公開鍵は公開しないと意味がないし、ホームページ等で不特定多数に公開してもまったく問題ない >>307 ITパスポートで学びました! >>317 >>308 >>315 公開鍵は必ずオープンにされている!の事例が >>322 >>2 >>1 が無能。 公開鍵までは語れても >>326 公開鍵といっても不特定多数に公開するものじゃないでしょ かんこく 行政の持っている情報は、すべて公開が原則。それが日本の法律。 結局政府が隠匿したーって騒ぎたいだけなんだろうなw >>315 日本のパスポート偽造といえば昔からチョンと相場が決まってる ドイツ以外だとどこが公開してるか >>322 >>341 原理の話と運用の話が噛み合うはずもなくの典型の様なスレ 公開しないのに公開鍵www >>346 それよりも外交特権で駐禁踏み倒しだろ 確かにアクセスコントロールの観点で不特定多数への公開はやめたのかも 個人に信用ありませんから出しませんってだけでしょ。 外務省はバカ無知だと語る人らなら余計分かりそうだけど うむ >>69 >>71 >>201 公開鍵を非公開にするなら電子証明手続そのものが意味なくね? >>344 >>358 >>356 >>49 なんでハッシュ関数も知らない人らが公開鍵認証を調べろ! >>362 >>25 >>365 >>197 >>325 >>341 >>367 >>370 欧州出張のとき、時々ヘルシンキで乗り換えになるんだけど、小さな空港でおまけに中国人だらけだからパスポートコントロールが長蛇の列になってるが、日本人はICパスポートのお陰で自動化ゲートを通れるからホント助かるわ。 結局公開鍵認証についてウェブ通信事例だけ読んだITパスポートの人らって話なのか >>201 日本の場合は、外務省にFAXでパスポートコピーを送信して真贋判定を貰うんだろ?(´・ω・`) ITパスポート試験ドットコム 公開鍵暗号方式だからといって不特定多数に公開する義務も必要もない ドイツは連邦電子情報保安局のページで既に失効したものまで含めて全て公開してるな。ICAO PKD及び、外交ルートを通じて手に入れたものであり、真正で完全なものだと証明されていると主張している。 パスポートの公開鍵って、パスポートって物理的なもんだから公開する必要あるのかな 「公開鍵っていうくらいだから公開してもいいんじゃないっすか?」 >>381 せっかく情報処理安全確保支援士なんて資格作ったんだから、全ての官公庁と大企業は雇用を義務化しろ 個人的には日本の外務省よりもドイツの政府機関の発表(歴史認識と環境問題は除く)の方を信頼するし、ドイツが公開しているのなら情報公開請求なんてせずにありがたく使えばいいと思うけどねー。 >>1 は悪くないけど、仕方ない。 >>384 >>82 子供部屋のITパスポートおじさん「公開鍵なんだから一般公開しろ!当たり前だろ公開鍵なんだから!」 >>387 >>371 公開鍵だから公開して良い・・これはわかる >>142 確かに民間で本人確認書類にパスポートを挙げているケースがあるから、 つまり、個人の怪しいアプリ開発のために情報提供しなかった外務省まじふぁっくってことか 今ならタイムバンクに登録してミニストップソフトクリームが貰える!他にもアマゾンや各種セール随時 外務省「利用者には秘密鍵が本物かわからないけど、そんなのどうでもいいよね」 もう20年近く前だが、俺も初めて勉強したとき https://qiita.com/jabba/items/e5d6f826d9a8f2cefd60 フェルマーの最終定理が証明されたらなぜ暗号が危険に晒されるのか 基地外にヒント渡す方がリスクってことだろ フェルマーの最終定理じゃねえや >>319 >>404 暗号化するだけの鍵を公開したところでリスクなんか何もないだろーに これ、実は量子コンピュータが既に稼働していて、公開鍵から著名文書を経て暗号鍵を解析する技術が既にあるって事なんだろ? >>409 真正性の検証を天下り企業に独占させるため、って正直に言いなよ >>1 が理解できなかったら 官公庁の奴のITに関する知識なんてExcelと一太郎使えます程度だからな >>408 >>410 パスポート10年使うからね、10年後の未来に公開鍵から秘密鍵が特定できない保証あんの? >>418 公開鍵暗号という名前がよくない、ちゃんと非対称鍵暗号というべきだろうな 運用側が自分たちがしている仕事の内容をわかってないってことだな 組み込みの運用の基本としては、簡単には交換できないから、交換するリスクを限りなく減らすのは普通 >>420 >>82 パスポートの真贋は外務省の定めた機関のみ判断するってだけの話では? >>425 >>418 の言ってるような、悪意のあるものの手に量子コンピュータや、RSA解法アルゴリズムが >>426 最大有効期限(パスポートなら10年)まで交換する必要がないようにする 2020(令和02)年の東京五輪に合わせ、日本国旅券の絵柄が変更されると聞いて、2016(平成28)年に旅券が失効しても再申請せずに待ち続けるワイw そもそも公開鍵暗号なんか使わなければドイツに公開されることもなかったのでは?w >>427 >>433 公開鍵って利用者が勝手に公開してもいいからドイツが公開してるんだよね 政府機関もしくは認証を受けた民間意外に公表したくないってことなら、許可を受けたリストとかあるんだろうか >>438 >>440 情報開示請求するときにメリット提示したのか? >>442 >>82 >>307 公開鍵は公開されたほうがセキュリティーが高まるってのは机上と論理はそうでも 既に国内でもIC読み取ってクラウドにアップし指紋紐付けとかやってるし >>443 >>307 公開鍵ってのは共通の認識を持って管理するだけだし 公開してもセキュリティ的に何の問題もないけど、言うてまったく業務に関係の無いパンピーに公開する必要もないよね。 旅券発行プロセスって委任状か本人n申請じゃね?と思ったり 誰もソース読んでないんか? つい先日、平文でパスワードを保存してたフェイスブックかどっかが保存してた 公開鍵の情報自体より いや、ドイツの鍵が偽物で誤った情報返すサーバを第三者が用意してる可能性はあるかw >>457 ただ、それが本物かどうかわからないと悪意を持つ第三者に悪用されてる可能性があるから逆に確認できる必要があるという主張だな 俺、PGPって名前は知ってるけど使った事ないのでイマイチ判って無い 公開鍵暗号方式で公開鍵は不特定多数に公開しても問題ないが、広く公開しなければいけないものでもない。 >>463 >>467 >>443 民間にパスポート認証とか作られたくないから国家間でしか公開しないってのは全然普通だろ。 官僚って頭悪いわけではないけど、門外漢なところでも賢しる悪い癖があるよね >>470 >>441 >>473 >>472 >>475 公開鍵ってネット上でやり取りすることでセキュリティが上がり担保されるって机上の空論を強く強く言う方々は >>475 >>477 >>479 なんで素人が電子的なパスポートの真正性を確認する必要があるんだよ このスレであるのが大学のゼミのそれだけ >>481 >>478 >>483 >>484 のコマンドのドメイン部分書き換えたら この話題は前提となる知識が多過ぎて正確に議論できてる人が非常に少ない >>82 スーパーバッカーが真っ赤にしながら書き込んでんのか >>469 >>493 生データなりに当たれば公開鍵が観れるのと公開するの違いわからない人が沢山 >>494 「公開鍵を公開しても大丈夫」って話と パスポート内容が正しいと認定できる権限は外務省と契約した各国組織にしか与えないって言ってるんじゃね? 公開鍵は公開しても問題ない前提で、それが そもそも○○certみたいな認証機関に登録してない公開鍵なんか httpsとかsmimeで使われてるやつ 一般人が作ったアプリで >>498 キーでっせっていうか偽造パスポートじゃないっていうお墨付きね >>508 >>502 >>511 >>510 通り抜ける偽物作るのにしか利用価値ねーから一般には公開しないってことでしょ いや偽物には元から公開キーなんて必要ないんだよ どうでもいいけど雑魚はITパスポートからやり直せよ >>516 暗号アルゴリズムは秘密にしたほうが安全!ぐらい間違ってるな >>500 >>518 >>515 >>498 制裁の決定打は IMF救済の拒否である。 制裁の決定打は IMF救済の拒否である。 公開鍵暗号も知らずに運用してんのか >>58 >>434 おまいら無知に教えとくと >>534 >>535 >>524 >>536 通信相手と公開鍵を交換する際に 安全性は暗号化アルゴリズムによってのみ担保されてるんだから公開鍵をどうしようと影響は無い ちなみに暗号化アルゴリズムも公開されてる ここで公開鍵を公にしなくていいとか言ってる奴はリンク先全部読んだのか? 結局ドイツのサーバで公開されてた鍵で実装して、実際にパスポート読み取れてるだろ その時点でその公開鍵はまず本物だよ >>538 公開鍵って方式は素人には難しいからな >>539 情報開示請求に答えると、第三者が偽物の証明書を外務省から入手したと偽って広めることが可能になる >>544 >>547 外務省が公開しないのとドイツが公開してるのは完全に別問題 >>549 >>552 公開鍵は公開しないほうが危険だろうが 素因数分解が高速に出来る方法が確立されたらどうなるん? >>557 >>555 >>1 >>560 安全性の問題じゃねえだろw 開鍵を公開しないって・・・意味不明だけど、 アプリに組み込むから頂戴という流れでキョヒされたのね。 >>563 ドイツでオープンにされちゃって一ミリも安全に寄与してないのに頑張る理由はただのメンツやろ?w >>489 >>446 アホな役員がp@sswordとか書かれた秘密鍵を公開しちゃうから >>536 >>566 >>570 このアプリの作者、CRLなりOCSPとかどうするつもりなんだろうか・・・ >>574 >>574 >>576 安全なんだから皆で普段GitHubやsshのログインに使ってるキーペアの公開鍵をこのスレで公開しようぜ。 >>578 >>544 >>577 >>552 >>582 >>570 >>578 この国で〜大臣がその分野の専門家でもなくエアプなのは普通だが >>584 この件に関する問題は公開鍵を公開する事の是非じゃなくて、不開示とする理由が インチキではない検証をしたいから本物の公開鍵が必要になるのであって >>588 >>591 >>592 >>593 >>593 >>593 >>594 >>597 >>594 真の偽造パスポートの信頼性を外務省自身が保証することになってその価値が上がるわけだから、偽造リスクは上がるんじゃないの? >>596 まあ、公開鍵の公開方法が分からないから公開しないんだろうけどな。 公開鍵を保証しているのは外務省じゃない。 >>597 >>602 面倒なのは、認証を求めた相手への認証が必要で、その為にはさらにその認証に認証が必要で、また更にその認証の為に認証が…。 自分で認証すればいいんだよ >>607 >>610 こんなの公開しても黒電話とかの事実上の無政府機関が喜ぶだけだからなw >>611 >>613 >>610 のようなことは可能なんだから >>615 外務省を所在地を公開すると外務省を騙った犯罪が発生するリスクがあるので非公表とします。 Webを例に出してるやつは、10年間容易に変更出来ないって視点が抜けてないか? >>619 2030年 量子コンピュータが開発されたRSA4096bitが現実的な時間内で解読できるようになりました 公開鍵を公開しているサイトの信ぴょう性を保証する為の認証機関も必要だよな? 秘密鍵が特定できるようになる確率も低いからメリットが十分にあれば公開すればいいと思う canとmustをなんで冷静に判断できないの? >>5 ていうか 公開鍵から秘密鍵は生成できないじゃなく時間がかかって現実的じゃないってだけだぞ ・よくわかってるから公開する WPA2だって脆弱性あるのに使われてるからね 検証する権限が無いんだろ? >>633 わかりやすく言うと、非公開ルールを作ったやつが無能 >>637 認証局・認証機関てのもよくわからんよな >>641 >>642 >>643 >>621 >>622 >>625 >>628 >>629 >>638 >>543 署名用なんだから、誰かが外務省になりすまして、公開鍵と偽造パスポートを作ることを懸念すべきだろ。 日本のパスポートの公開鍵を欲しがる人ってどんな人なんだろう。 >>652 鍵を公開とかセキュリティ違反だろ >>655 >>656 >>575 >>655 >>1 >1 >>660 https://www.ipa.go.jp/security/fy20/reports/epassport/index.html https://www.ipa.go.jp/files/000013976.pdf >>622 >>662 >>641 >>651 >>651 >>620 >>669 >>670 https://www.ipa.go.jp/files/000024445.pdf ■ このスレッドは過去ログ倉庫に格納されています
