【悲報】外務省 パスポートの公開鍵の公開を拒否
■ このスレッドは過去ログ倉庫に格納されています
Passive Authenticationの仕組みを見れば、 各国の政府機関が発行するCSCA証明書がトラストアンカーとなっている事に気がつくと思います。 日本の場合CSCA証明書は外務省が発行します。 まずはこのCSCA証明書を手に入れなければ電子的なパスポートの真正性を確認できません。
ということで外務省に対してCSCA証明書を下さいという旨の情報開示請求を行いました。
しかし残念ながら外務省の回答は、CSCA証明書(公開鍵)は公開しない。でした。
先に説明したICAO(国際民間航空機関)はICAO Public Key Directory(以下ICAO PKD)というLDAPサーバーにCSCA証明書をアップロードすることを推奨しています。
このICAO PKDにはドイツのマスターリスト(ドイツが信頼するCSCAのリスト)が公開されており、その中に日本のCSCA証明書が含まれていました。 これは信頼モデルとして日本のパスポートでドイツに入国できることを意味します。
私はこのドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出しました。
以下ソース
https://www.osstech.co.jp/~hamano/posts/epassport-security/reason.jpg
https://www.osstech.co.jp/~hamano/posts/epassport-security/ 暗号アルゴリズムは秘密にしたほうが安全!ぐらい間違ってるな >>500
確かにそうだが今回のは
お前には教えてやらん。なぜなら
パスポート偽造などのリスクがあるからだ(ドヤ
理由が的外れすぎてクサ >>518
むしろ半端な知識をつけるくらいなら石器時代レベルの生活してて欲しい >>515
そのでっち上げる業者に「外務省印の公開鍵使用」なんて唱われたら拙いからだろ
例えば航空会社とかセキュリティーチェックにパスポート確認するとして、自社の責任とリスクの下に公開鍵で照合するのはいいと思うがそれを第三者に任せる訳にはいかんだろ >>498
パスワードを真贋を偽るアプリなんて本物の公開鍵なんかもつ必要ないぞ。
適当にピッて効果音鳴らして検証したフリをすれば良いだけ。 制裁の決定打は IMF救済の拒否である。
すでに日本が制裁せずとも国家破産は既定路線である。
しかしやつらはIMFによる救済をあてにして
また三年ほどで浮上できると考えている。
その希望を完全に絶やせ。
発言権の低い、貧しい衛星国家へと変貌させよ 制裁の決定打は IMF救済の拒否である。
すでに日本が制裁せずとも国家破産は既定路線である。
しかしやつらはIMFによる救済をあてにして
また三年ほどで浮上できると考えている。
その希望を完全に絶やせ。
発言権の低い、貧しい衛星国家へと変貌させよ 公開鍵暗号も知らずに運用してんのか
秘密鍵とセットで誰かに渡しそうで寒気がするわ >>58
誰でも検証できれば検証者の証明は要らないよね >>434
うむ
手元のパスポートが誰かにすり替えられた可能性が出た場合に
本物かどうか確認するために必要不可欠だよね
検証を誰かに頼むって時点で証明書のトラストチェーンから外れてる おまいら無知に教えとくと
公開鍵は公開して良いしそのためのものだからな >>534
canとmustは違うと散々スレで言われてるだろドアホ >>535
じゃあ外務省が公開鍵提供を拒否理由とした
パスポート偽造などのリスクが〜
って的外れな理由はなんでスルーなの? >>524
パスポートは自分の物だよな
パスポートの正当性を主張するのはパスポートの持ち主であって、パスポートの正当性を
確認する業者の方ではない。
例えば麻薬検出するのに試薬を垂らして検出したりするけど、公開鍵というのはその試薬に
相当するもの。 その試薬を販売するかしないかというのと似ている。
試薬が販売されたとしてもその試薬から麻薬は作れない。
その試薬が正規の物かどうか、その試薬を使って調べる人が信用できるかどうかは
別の方法で検証しないといけない。
試薬自体はその試薬に付いている保証書とか検査証。 これは公開鍵に対しては
権威のある認証局の署名が公開鍵にされていることによって堪忍する。 >>536
公開鍵を公開して偽造リスクが発生するなんて事になったら世の公開鍵暗号化システムは
使い物にならんってことになるよな。w 通信相手と公開鍵を交換する際に
経路を暗号化することが激しく推奨されてるのはなぜだ? 安全性は暗号化アルゴリズムによってのみ担保されてるんだから公開鍵をどうしようと影響は無い ちなみに暗号化アルゴリズムも公開されてる ここで公開鍵を公にしなくていいとか言ってる奴はリンク先全部読んだのか? 結局ドイツのサーバで公開されてた鍵で実装して、実際にパスポート読み取れてるだろ その時点でその公開鍵はまず本物だよ >>538
パスポート用の試薬は公開鍵か?
否、公開鍵を使ったシステムだろ?
殆どの企業は試薬を作る技術はないどころか無視できない数の企業が怪しい試薬(テロリストと組んで特定の偽造パスポートをホンモノ判定)のリスクを認識するリテラシーすら有さない
このような現状では「外務省印の試薬の材料(公開鍵)は一般に提供していません」という運用にも一理あると思う 公開鍵って方式は素人には難しいからな
私が持ってるパスポートは本物でしょうか?って外務省に聞いたら、安全のために教えられませんって回答されたってだけだよ
仕方ないからドイツに入国してみたら本物だって言われたから、多分本物だろうってこと >>539
ほんと
基本情報とは言わない、パソコン検定程度で良いから知識をつけてほしい
この役人に子供がいたとして、自分の親がこんな回答したと知ったら不登校になるレベルw 情報開示請求に答えると、第三者が偽物の証明書を外務省から入手したと偽って広めることが可能になる
外務省が証明書を公開するためには、パスポートに用いるという性格上、誰でも全世界のどこでも確実に本物の証明書を外務省から入手出来なければならないが、現実には難しい
実際に外務省に出来ることは外交チャンネルがある相手に直接渡すことぐらいしかない
つまり、外務省が直接証明書を渡した相手以外には、パスポートの公開鍵暗号方式による真贋判定の権能を与えていないってこと >>544
その役人が、試薬を公開したら
違法薬物を精製されるリスクがある
とか言い出してもか? >>547
外務省が公式サイトで公開すれば良いだけ
EVSSL証明書を導入したサイトでも作ってな 外務省が公開しないのとドイツが公開してるのは完全に別問題
情報が分散されてるのと一元化されてるのではセキュリティレベルが異なる
理論的に問題があっても実現可能性が低かったり、その手間が多いと判断すれば、パスポートの全て再発行なんてしない
公開鍵は不明
公開鍵がドイツで公開されてる それを知ってる人は少ない
公開鍵がドイツで公開されてて誰でもそれを知ってる
公開鍵が誰でも容易に取得できる
全部同じなわけないだろ >>549
その言い分をプギャーしたいのは分かるが俺の論旨に対する指摘には当たらないだろ
寧ろ役人含めてリテラシーが低い証左と思うが? >>552
公開鍵を知ってる人の多寡は暗号の安全性に影響しない
一部でも知ってるならそれは世界に公開されているのと同じ ネットで拡散される画像と一緒だよ 公開鍵は公開しないほうが危険だろうが
何勘違いしてるか知らんが 素因数分解が高速に出来る方法が確立されたらどうなるん? >>557
公開鍵ができて半世紀以上経つ
その間、最先端の数学者がそれに取り組み続けてきたが現在のところ確立の目途なし
唯一見込みがあるのが量子コンピューターだけど
すでに新しく耐量子コンピュータ暗号というものも研究されている >>555
何がどう同じなのか
0か1でしか考えないなら、確率が1%でもあったらダメとかなら安全なんて考慮するだけ無駄
セキュリティは0か1かではなく、いかに低減するかだから
攻撃者は手間が掛かったら攻撃を諦めるし、目的を達成するまでのコストが増えても諦める
パスポートが不正に作られ不法入国が出ようとその数が少なければ影響は大きくない、なぜなら現状で不法入国を100%防げてるわけではないから >>1
反日分子に公開する必要なし
文句あるなら日本から出てけ >>560
公開により攻撃者の手間が省かれる事は一切ない(ドイツで公開済み)し
公開鍵暗号の性質的に1%とかそういう問題じゃなく、一切安全性は変わらない 安全性の問題じゃねえだろw
公開するという規則もルールもない上に対応する職員の手間も考えろよアホが 開鍵を公開しないって・・・意味不明だけど、 アプリに組み込むから頂戴という流れでキョヒされたのね。
それよか ICAO PKD で公開するのは良しとしても、 アクセス制限ないのかね? >>563
これ
アホな役人が公開したら偽造されるとか抜かしたばっかりに「そもそも公開鍵とは〜」言いたいだけの輩が沸いてるだけ
正式な天気予報は天気予報士しか出せないのと根は一緒
勝手に明日の天気を予測するのは構わないがその結果にお墨付きは与えないってだけ
って書いたら「公開鍵があれば誰でも完璧な天気予報が出せる」とかズレたレスされる ドイツでオープンにされちゃって一ミリも安全に寄与してないのに頑張る理由はただのメンツやろ?w >>489
アリスとボブの話を最近のエンジニアが知らなくて困る >>446
高まらねぇからな
信用のできない検証機関には検証能力を与えない方が
ソーシャルハッキングの可能性を下げられる アホな役員がp@sswordとか書かれた秘密鍵を公開しちゃうから
公開しないのは正解 >>536
パスポート偽造のリスクは確かにあるよ
信用のできない検証機関に検証能力を与えることで
偽造パスポートを真と認める検証機関が発生するリスクがある
外務省から検証情報の提供を受けるのは信用できる検証機関にのみ
って運用にするのはリスクマネジメントとして正解
"部外者"に検証させる必要なんてない >>566
「信用のできない検証機関」が「外務省から鍵の提供を受けて」、「偽物の検証を行う」という問題を避けるためだから
流出や第三者が公開する分には問題ない
技術的にもね >>570
リスクなんかねーよ
だったら例えば
グーグルのSSL証明書から秘密鍵生成してみろよ このアプリの作者、CRLなりOCSPとかどうするつもりなんだろうか・・・ >>574
だからって技術的にトンチンカンな理由を持ち出して、申請を拒否することが許されるわけがない
これぐらい馬鹿げた拒否理由なのだよ
お前「住民票の写しを取得しにきました」
役人「転写機は各種証明書を偽造しうるリスクがあるので拒否する」 >>574
子供部屋ITパスポートおじさんに
"運用"を理解してもらうのは無理ゲーだわ >>576
出たw「運用」
開示請求に適切に真摯に対応しないのが運用w
MS社がよく使う「仕様です」の亜種だね 安全なんだから皆で普段GitHubやsshのログインに使ってるキーペアの公開鍵をこのスレで公開しようぜ。
一緒に公開鍵が本物かを証明するために秘密鍵で暗号化したデータも忘れずに。 >>578
だから上で銀行のオンラインバンキングに使う公開鍵調べる方法乗せてやってるぞ
世界中の銀行のオンラインバンキングの公開鍵が見れるからやってみ
万人の資産移動のいちばんクリティカルな部分の鍵だよ >>544
公開鍵を造る方法は公開されてて誰でもつくれるよ
造るのに秘密鍵とその秘密鍵のパスフレーズが必要なだけで
公開鍵の真贋を判定するには秘密鍵が必要
また公開鍵の発行元を補償するのは、鍵の発行者でも持ち主でもなくて認証局 >>577
まぁ子供部屋おじさんなんてこんなもんだわな >>552
そのリストされた項目はすべてセキュリティレベルは変わらないよ >>582
否定する論拠なくそれを頑なに信じない人がいるんだよなぁ
変わったらSSLなんて成り立たなくなるのにね… >>570
誰もが安全に検証を行えるための仕組みが公開鍵による検証なんだけどな。
たとえば銀行なんかでは口座の持ち主の検証に印鑑を使うよな。
その為には口座の名義人の印影を銀行が所持していて、預金引き出しの書類に押された印影と比較して確認をする。
この場合、この印影情報を持っている銀行しか本人確認ができないし、印影情報が他に漏れたら偽造されるリスクがある。
そういったデメリットを解決するため、誰もが公開鍵を使えば真偽の確認が出来、かつ署名の偽造もできない
公開暗号鍵による署名システムができた >>578
sshのログインは秘密鍵でログインするだろ。 公開鍵はサーバー側にある
httpsなどの暗号化はサーバー側に秘密鍵を置いてアクセス側は公開鍵でアクセスする この国で〜大臣がその分野の専門家でもなくエアプなのは普通だが
実務当局者までエアプだったら問題だ >>584
「誰もが行う」時点で望ましくない者が検証を偽る可能性がある
だから「誰もが」という運用を避けてリスクを低減するんだよ この件に関する問題は公開鍵を公開する事の是非じゃなくて、不開示とする理由が
間違っているところなんだよな。
+ インチキではない検証をしたいから本物の公開鍵が必要になるのであって
インチキしたいだけなら適当にピーピー鳴らす機械で事足りる
よって自分で検証できることにも大いに意味がある >>588
前の方でもでてたが「検証を偽る」のなら公開鍵なんて必要としない。
正規の公開鍵で検証して不正な署名という結果が出ているのに「正規のパスポート」と報告する
でたらめな公開鍵で検証して不正な署名という結果が出ているものを「正規のパスポート」と報告する
どちらも同じ >>591
そのインチキ検証装置が「外務省から提供された公開鍵で検証装置を作りました」になるか
「外務省は公開鍵を限られた機関にしか提供していないため、それ以外の検証装置は使えません」になるか >>592
我々は限られた機関なので正規の公開鍵を取得しています >>593
しかし、提供の事実がないならば外務省の責任にはならん
勝手にそう言ってるだけ >>593
それを外務省が否定できるだろ
公開鍵つかっていいよと言ってしまえば誤解の余地を与えると言ってるの >>593
そうなるよね
多くの人が検証(たとえば自分のPCでも)できれば、そういったなりすまし機関の
不安がある場合他の検証ソフトなどを使って検証する事によって不正をふせげる >>594
情報公開法に基づいて公開鍵を公開しても外務省に責任はないよね >>597
NO。リスクは一切上がらない
だいたい他国のサイトで入手可能だし >>594
提供してても外務省の責任にはならないよ
公開鍵の正当性の証明をするのは外務省じゃなくて認証局なんだから 真の偽造パスポートの信頼性を外務省自身が保証することになってその価値が上がるわけだから、偽造リスクは上がるんじゃないの? >>596
かわりに公開鍵は広く一般に公開されているので限られた機関に発行するような類のデータではありませんって言えばいいよね まあ、公開鍵の公開方法が分からないから公開しないんだろうけどな。
下手に自らのHPで公開しても、HPごと乗っ取られて偽の公開鍵を置かれてしまう危険もあるわけだしな。
その為の専門機関があったはずだけど、だれかググって。 公開鍵を保証しているのは外務省じゃない。
ってことじゃね? >>597
公開鍵は電子署名をする為の秘密鍵に関して一切類推も生成もできない
できるのはされている署名がその公開鍵とペアになっている秘密鍵で署名されているか否かの判定だけ >>602
>真の偽造パスポートの信頼性
意味がわからん?
偽造パスポートだと認証通らないだろ
オレオレ署名で公開鍵もその鍵ペアのものを使えば正規の署名って結果は出るけど
公開鍵の認証局の署名が異なるから外務省の鍵じゃないって結果が返ってくるよ 面倒なのは、認証を求めた相手への認証が必要で、その為にはさらにその認証に認証が必要で、また更にその認証の為に認証が…。
しかもこの全てを異なる媒体を介して行う必要がある点。 自分で認証すればいいんだよ
公開鍵とopensslモジュールが使える言語があれば
パソコン大先生レベルの知識で確認するコードは書ける
一画面に収まる程度のコードで終わるし >>607
偽の秘密鍵と公開鍵のペアがあり
その偽の公開鍵と正規の公開鍵をor判定する検証ならば特定の偽造署名と正規の署名の両方を真と認証するシステムが作れるよ >>610
それ暗号と関係ない話になってるのに気づいてる?
そもそもそれをやりたいんだったら偽の公開鍵も正規の公開鍵もいらない
検証したふりだけしたらいい訳で こんなの公開しても黒電話とかの事実上の無政府機関が喜ぶだけだからなw >>611
だから最初から言ってるだろ
技術ではなく運用の話だと >>613
運用も関係ないだろ
公開鍵を公開していまいが>>610のようなことは可能なんだから
そもそも「パスポートの署名を検証したい人」=「そのパスポートの真贋を知りたい人」のわけで、
その検証結果を偽る必要性がないんだよ。
「パスポートの真贋を保証する機関」として検証を行いたいんだったら、その機関としての政府の
お墨付きをもらえばいいわけで、公開鍵を提供されているかどうかでその機関の信頼性を計るのは
間違っているだろう。 >>615
「真贋の検証をしたい人は検証機関で検証してください
野良検証は認めていないので公開鍵は配布いたしません」
という運用 外務省を所在地を公開すると外務省を騙った犯罪が発生するリスクがあるので非公表とします。 Webを例に出してるやつは、10年間容易に変更出来ないって視点が抜けてないか?
配布されてるパスポートを政府負担で全交換がどれだけ大変か >>619
ドイツが公開している時点で公開の拒否の有無はその視点でまったく影響を与えないんだけど
技術的な側面から擁護する筋は全滅だよ 2030年 量子コンピュータが開発されたRSA4096bitが現実的な時間内で解読できるようになりました
A「10年前のパスポートが使えなくなり再発行必要です、2025年以降に発行したパスポートは暗号アルゴリズムを変更してあります」
B「公開鍵は然るべき機関にしか公開してないからすぐにはパスポート偽造されないのではないか」
C「そうかなら1年を目処に全交換を行おう」
D「ドイツで公開鍵が公開されています」
B「ドイツで公開鍵が公開されていることを知ってる人は現段階では少ないだろう、それが周知され悪意のあるものが偽造を行い、大量の不法入国が起きるまでを考えて、半年後に現状のを利用不可にしよう」
D「中には知ってる人がいてすぐにでも偽造される可能性があります」
C「即座に利用停止して混乱を招くことを考えて、数人程度なら許容する」
B「偽造が横行した場合即座に停止する。ICチップだけでなく、パスポートに不審な点がないか十分に確認するよう通達せよ。
また、10年パスポートの利用率をモニタリングし急増するようなことがあれば報告せよ」
D「10年ほど前に炎上して、公開鍵を知ってる人が多くいます」
B「仕方ない、でら二週間で完全利用不可にする。2025年以前発行のパスポートが利用できなくなることを周知するように」
C「今回の対応のために特別予算を申請する」 ■ このスレッドは過去ログ倉庫に格納されています