Upgrade to Pro — share decks privately, control downloads, hide ads and more …

デジタルIDウォレットが切り開くHigh Assurance Identity Proofin...

kokukuma
October 04, 2024
860

デジタルIDウォレットが切り開くHigh Assurance Identity Proofingの未来

デジタルIDウォレットを利用できる環境が整備されつつあり、「高度な保証レベルと優れたユーザー体験を備えた身元確認」が実現する未来がすぐそこまで迫ってきています。

「日本でのApple Walletの身分証明書機能の展開」のニュースのように、マイナンバーカードのスマートフォン搭載は、これまで以上に一般的になっていくでしょう。また、一般的なサービスがウォレットを利用する方法も、AppleのVerify with Wallet APIを始めとして、AndroidやWebでも準備が進んでいます。

本発表では、現状を振り返りつつ、開発者として今後この状況を楽しみ尽くすための知識として、ユーザー体験の概略や、HPKE(RFC 9180)、mDL/mdoc(ISO/IEC 18013-5)について解説します。また、プロダクトへの応用やもっと先の期待したい未来の話にも触れていきます。

https://fortee.jp/yapc-hakodate-2024/proposal/11f7ffaf-a9b7-4c53-bcd7-7dd14f43d824

kokukuma

October 04, 2024
Tweet

Transcript

  1. 今、Digital Identity Walletが熱い!! Apple、日本でのAppleウォレットの 身分証明書機能の展開を発表、米 国外で初 NIST SP 800-63-4 (2nd

    Public Draft) Digital Identity Guidelines A digital ID and personal digital wallet for EU citizens, residents and businesses
  2. EU Digital Identity Wallet EUの各加盟国が提供する責任があるウォレット https://github.com/eu-digital-identity-wallet Credential Manager API Android

    Native appからDIWに繋ぐためのAPI com.google.android.gms.identitycredentials Verify with Wallet API・Verifier API iOS Native appからApple walletに繋ぐためのAPI What’s new in Wallet and Apple Pay; wwdc2022 What’s new in Wallet and Apple Pay; wwdc2023 Digital Credential API WebからDIWに繋ぐためのAPI https://github.com/WICG/digital-credentials https://developer.chrome.com/blog/chrome-128-beta?hl =ja#digital_credentials_api いろんな機能が、実際に触れる状態になっている!!
  3. ホ方式 Resolution: 顧客の容貌と写真 付き本人確認書類の画像情報を 収集。 Validation: 本人確認書類の記 載内容と特徴を確認し真正性を 検証。 Verification:

    容貌画像と本人確 認書類の写真を比較し同一人物 性を確認。 犯収法規則6条1項1号ホ 出典:金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要
  4. ヘ方式 Resolution: 顧客の容貌画像 とICチップ付き本人確認書類の 電子情報を収集 Validation: ICチップから読み 取った情報の真正性を確認。 Verification: 容貌画像と

    ICチッ プ内の写真情報を比較し同一 人物性を確認。 犯収法規則6条1項1号ヘ 出典:金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要
  5. ワ方式 Resolution: 署名用電子証明書 と電子署名された特定取引情報 を受信。 Validation: 電子証明書の有効 性と電子署名の正当性を検証。 Verification: 電子署名により情

    報の作成者が証明書所有者 (顧 客)であることを確認。 犯収法規則6条1項1号ワ 出典:金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要
  6. HPKE: RFC 9180: Hybrid Public Key Encryption • 公開鍵暗号と共通鍵暗号を組み合わせた汎用的な枠組み •

    基本的な流れ ◦ 1. DH鍵交換で受信者側と送信者側で対象鍵を生成 (DHKEM) ◦ 2. 対象鍵から、暗号化に使用する鍵を生成 (KDF) ◦ 3. メッセージの暗号化・複合 (AEAD) mdoc/mDL: ISO/IEC 18013-5:2021 • モバイル運転免許証(mDL)の規格定義 • デバイス間の対面認証プロトコル (NFC、QRコードなど) • mdoc responseの暗号化方式 (ECKA-DH,HKDF,AES-256-GCM) • 汎用的なモバイル文書(mdoc)フォーマットの規定 データの復号と検証
  7. Walletでmdoc responseの作成 Data Digest issuer signature Device pub key 本人情報

    本人情報 Device signature Device Private key Session Transcript Selective disclosure https://www.iso.org/standard/69084.html Mobile Security Object (MSO) Data Digest issuer signature Device pub key mdoc response
  8. WalletからVerifierへのmdoc response送信 Data Digest issuer signature Device pub key 本人情報

    Device signature 送信者側 Public key 受信者側 Private key Symmetric key KEM/KDF Session Transcript 受信者側 Public key 送信者側 Private key Symmetric key KEM/KDF Session Transcript 暗号化 Apple walletから、 Verifierに送信 復号 Apple wallet (送信者側) Verifier (受信者側) Data Digest issuer signature Device pub key 本人情報 Device signature Data Digest issuer signature Device pub key 本人情報 Device signature Data Digest issuer signature Device pub key 本人情報 Device signature
  9. Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature

    Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証
  10. Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature

    Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証 ドキュメントの真正性を確認 (Validation) ドキュメントの真正性を確認 (Validation)
  11. Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature

    Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証 ドキュメントの真正性を確認 (Validation) ドキュメントの真正性を確認 (Validation) ドキュメントの本人性(所持)を確認 (Verification)
  12. Digital Identity Walletを使った身元確認 ワ方式 DIW方式 Resolution 署名用電子証明書+署名 mdoc response Validation

    署名用電子証明書の検証 Issue signatureの検証 Verification 電子署名の検証 Device signatureの検証
  13. • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました ! •

    Digital Credential APIからApple Walletに繋げるようになりました ! これから出てきて欲しい5大ニュース
  14. • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました ! •

    Digital Credential APIからApple Walletに繋げるようになりました ! • 身元確認と一緒にパスキーの登録できるようになりました ! これから出てきて欲しい5大ニュース
  15. • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました ! •

    Digital Credential APIからApple Walletに繋げるようになりました ! • 身元確認と一緒にパスキーの登録できるようになりました ! • Walletで提示できるようになる情報が増えた ! (Apple/Googleが持ってる検証ずみ Email / phone numberとか) これから出てきて欲しい5大ニュース
  16. これから出てきて欲しい5大ニュース • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました !

    • Digital Credential APIからApple Walletに繋げるようになりました ! • 身元確認と一緒にパスキーの登録できるようになりました ! • Walletで提示できるようになる情報が増えた ! (Apple/Googleが持ってる検証ずみ Email / phone numberとか) • 海外展開した時に同じ枠組みで身元確認できる ! (EUDIWがEU圏外でも使えるとか、たとえば )
  17. • どうやってマイナンバーカードをスマホに登録する? • Verify with Wallet API使えるんだよね? • Verify with

    Wallet API使えたとして、法要件を満たすのか? • Google Walletへのマイナンバーカード搭載はいつですか? 不明確なところ
  18. 番号法のアップデートから読み取れること 行政手続における特定の個人を識別するための番号の利用等に関する法律 • 「カード代替電磁的記録」が追加されてる。mdocのことっぽい。 • Mdoc発行には、署名用電子証明書のパスワードが必要そう。 • 有効期限は、3ヶ月ぽい。 • Verify

    with Wallet APIからレスポンス返す前に、有効性確認はしそう。 • Mdocの有効期限切れても、勝手に再発行してくれるぽいこと書いてある。 • プログラムは認定を受ける必要がありそう(詳細不明)
  19. 犯収法規則6条1項1号ヘ 当該顧客等又はその代表者等から、特 定事業者が提供するソフトウェアを使用 して、本人確認用画像情報(当該顧客 等又はその代表者等に当該ソフトウェア を使用して撮影をさせた当該顧客等の 容貌の画像情報をいう。)の送信を受け るとともに、当該顧客等又はその代表者 等から当該顧客等の写真付き本人確認 書類(氏名、住居、生年月日及び写真

    の情報が記録されている半導体集積回 路(半導体集積回路の回路配置に関す る法律(昭和六十年法律第四十三号) 第二条第一項に規定する半導体集積回 路をいう。以下同じ。)が組み込まれた ものに限る。)に組み込まれた半導体集 積回路に記録された当該情報の送信を 受ける方法 犯収法規則6条1項1号ワ 当該顧客等から、電子署名等に係る 地方公共団体情報システム機構の認 証業務に関する法律(平成十四年法 律第百五十三号。以下この号におい て「公的個人認証法」という。)第三条 第六項又は第十六条の二第六項の 規定に基づき地方公共団体情報シス テム機構が発行した署名用電子証明 書及び当該署名用電子証明書により 確認される公的個人認証法第二条第 一項に規定する電子署名が行われた 特定取引等に関する情報の送信を受 ける方法(特定事業者が公的個人認 証法第十七条第四項に規定する署 名検証者である場合に限る。) 犯収法規則6条1項1号ホ 当該顧客等又はその代表者等か ら、特定事業者が提供するソフト ウェアを使用して、本人確認用画像 情報(当該顧客等又はその代表者 等に当該ソフトウェアを使用して撮 影をさせた当該顧客等の容貌及び 写真付き本人確認書類の画像情 報であって、当該写真付き本人確 認書類に係る画像情報が、当該写 真付き本人確認書類に記載されて いる氏名、住居及び生年月日、当 該写真付き本人確認書類に貼り付 けられた写真並びに当該写真付き 本人確認書類の厚みその他の特 徴を確認することができるものをい う。)の送信を受ける方法 現在の身元確認 (犯罪収益移転防止法) https://laws.e-gov.go.jp/law/420M60000F5A001#Mp-At_6
  20. ワ方式 Resolution: 署名用電子証明書 と電子署名された特定取引情報 を受信。 Validation: 電子証明書の有効 性と電子署名の正当性を検証。 Verification: 電子署名により情

    報の作成者が証明書所有者 (顧 客)であることを確認。 ヘ方式 Resolution: 顧客の容貌画像 とICチップ付き本人確認書類の 電子情報を収集 Validation: ICチップから読み 取った情報の真正性を確認。 Verification: 容貌画像と ICチッ プ内の写真情報を比較し同一 人物性を確認。 ホ方式 Resolution: 顧客の容貌と写真 付き本人確認書類の画像情報を 収集。 Validation: 本人確認書類の記 載内容と特徴を確認し真正性を 検証。 Verification: 容貌画像と本人確 認書類の写真を比較し同一人物 性を確認。 現在の身元確認 (犯罪収益移転防止法) by ChatGPT https://laws.e-gov.go.jp/law/420M60000F5A001#Mp-At_6