デジタルIDウォレットが切り開くHigh Assurance Identity Proofingの未来

Transcript

1. デジタルIDウォレットが切り開く High Assurance Identity Proofingの未来 kokukuma

2. 今、Digital Identity Walletが熱い!! Apple、日本でのAppleウォレットの 身分証明書機能の展開を発表、米 国外で初 NIST SP 800-63-4 (2nd

   Public Draft) Digital Identity Guidelines A digital ID and personal digital wallet for EU citizens, residents and businesses

3. EU Digital Identity Wallet EUの各加盟国が提供する責任があるウォレット https://github.com/eu-digital-identity-wallet Credential Manager API Android

   Native appからDIWに繋ぐためのAPI com.google.android.gms.identitycredentials Verify with Wallet API・Verifier API iOS Native appからApple walletに繋ぐためのAPI What’s new in Wallet and Apple Pay; wwdc2022 What’s new in Wallet and Apple Pay; wwdc2023 Digital Credential API WebからDIWに繋ぐためのAPI https://github.com/WICG/digital-credentials https://developer.chrome.com/blog/chrome-128-beta?hl =ja#digital_credentials_api いろんな機能が、実際に触れる状態になっている!!

4. この発表では 開発者として今後この状況を楽しみ尽くすために … • 今の身元確認の仕組み • Digital Identity Walletを使った身元確認 •

   HPKE・mdoc/mDLの解説 • 今後出てきて欲しい5大ニュース

5. 今の身元確認のやり方

6. 一般的に身元確認に必要なもの NIST SP 800-63A-4 (2nd Public Draft) Identity Proofing and

   Enrollment

7. ホ方式 Resolution: 顧客の容貌と写真 付き本人確認書類の画像情報を 収集。 Validation: 本人確認書類の記 載内容と特徴を確認し真正性を 検証。 Verification:

   容貌画像と本人確 認書類の写真を比較し同一人物 性を確認。 犯収法規則６条１項１号ホ 出典：金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要

8. ヘ方式 Resolution: 顧客の容貌画像 とICチップ付き本人確認書類の 電子情報を収集 Validation: ICチップから読み 取った情報の真正性を確認。 Verification: 容貌画像と

   ICチッ プ内の写真情報を比較し同一 人物性を確認。 犯収法規則６条１項１号ヘ 出典：金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要

9. ワ方式 Resolution: 署名用電子証明書 と電子署名された特定取引情報 を受信。 Validation: 電子証明書の有効 性と電子署名の正当性を検証。 Verification: 電子署名により情

   報の作成者が証明書所有者 (顧 客)であることを確認。 犯収法規則６条１項１号ワ 出典：金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要

10. Digital Identity Walletを使った 身元確認

11. Verify with Wallet APIのユーザ体験のイメージ

12. Verify with Wallet APIのユーザ体験のイメージ 1.毎回マイナンバーカードかざさなくてもいい 2.必要最小限の情報だけ渡せるようになる

13. Verify with Wallet APIの全体像

14. Verify with Wallet APIの実行 1. 身元確認を 開始 2.サーバから 情報取得

15. 共有情報の確認および認証 4.提供する情報の 提示、同意・認証 3.Verify with Wallet APIをcall 5.Verifierに返すデータ (mdoc)を暗号化

16. Verify with Wallet APIの結果を復号・検証 8.復号および検証 6-7. 暗号化済み mdocをサーバ に投げる

17. HPKE・mdoc/mDLの解説

18. HPKE: RFC 9180: Hybrid Public Key Encryption • 公開鍵暗号と共通鍵暗号を組み合わせた汎用的な枠組み •

    基本的な流れ ◦ 1. DH鍵交換で受信者側と送信者側で対象鍵を生成 (DHKEM) ◦ 2. 対象鍵から、暗号化に使用する鍵を生成 (KDF) ◦ 3. メッセージの暗号化・複合 (AEAD) mdoc/mDL: ISO/IEC 18013-5:2021 • モバイル運転免許証(mDL)の規格定義 • デバイス間の対面認証プロトコル (NFC、QRコードなど) • mdoc responseの暗号化方式 (ECKA-DH,HKDF,AES-256-GCM) • 汎用的なモバイル文書(mdoc)フォーマットの規定 データの復号と検証

19. IssuerからWalletに対してmdoc発行 https://www.iso.org/standard/69084.html hash Data Digest issuer signature Device pub key

    本人情報 本人 Wallet issuer Private key Mobile Security Object (MSO)

20. Walletでmdoc responseの作成 Data Digest issuer signature Device pub key 本人情報

    本人情報 Device signature Device Private key Session Transcript Selective disclosure https://www.iso.org/standard/69084.html Mobile Security Object (MSO) Data Digest issuer signature Device pub key mdoc response

21. WalletからVerifierへのmdoc response送信 Data Digest issuer signature Device pub key 本人情報

    Device signature 送信者側 Public key 受信者側 Private key Symmetric key KEM/KDF Session Transcript 受信者側 Public key 送信者側 Private key Symmetric key KEM/KDF Session Transcript 暗号化 Apple walletから、 Verifierに送信 復号 Apple wallet (送信者側) Verifier (受信者側) Data Digest issuer signature Device pub key 本人情報 Device signature Data Digest issuer signature Device pub key 本人情報 Device signature Data Digest issuer signature Device pub key 本人情報 Device signature

22. Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature

    Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証

23. Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature

    Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証 ドキュメントの真正性を確認 (Validation) ドキュメントの真正性を確認 (Validation)

24. Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature

    Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証 ドキュメントの真正性を確認 (Validation) ドキュメントの真正性を確認 (Validation) ドキュメントの本人性（所持）を確認 (Verification)

25. Digital Identity Walletを使った身元確認 ワ方式 DIW方式 Resolution 署名用電子証明書+署名 mdoc response Validation

    署名用電子証明書の検証 Issue signatureの検証 Verification 電子署名の検証 Device signatureの検証

26. これから出てきて欲しい５大ニュース

27. • Walletを使った身元確認で、法要件満たせます ! これから出てきて欲しい５大ニュース

28. • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました ! これから出てきて欲しい５大ニュース

29. • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました ! •

    Digital Credential APIからApple Walletに繋げるようになりました ! これから出てきて欲しい５大ニュース

30. • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました ! •

    Digital Credential APIからApple Walletに繋げるようになりました ! • 身元確認と一緒にパスキーの登録できるようになりました ! これから出てきて欲しい５大ニュース

31. • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました ! •

    Digital Credential APIからApple Walletに繋げるようになりました ! • 身元確認と一緒にパスキーの登録できるようになりました ! • Walletで提示できるようになる情報が増えた ! (Apple/Googleが持ってる検証ずみ Email / phone numberとか) これから出てきて欲しい５大ニュース

32. これから出てきて欲しい５大ニュース • Walletを使った身元確認で、法要件満たせます ! • Google Wallet と マイナンバーカードで身元確認可能になりました !

    • Digital Credential APIからApple Walletに繋げるようになりました ! • 身元確認と一緒にパスキーの登録できるようになりました ! • Walletで提示できるようになる情報が増えた ! (Apple/Googleが持ってる検証ずみ Email / phone numberとか) • 海外展開した時に同じ枠組みで身元確認できる ! (EUDIWがEU圏外でも使えるとか、たとえば )

33. Appendix

34. • どうやってマイナンバーカードをスマホに登録する？ • Verify with Wallet API使えるんだよね？ • Verify with

    Wallet API使えたとして、法要件を満たすのか？ • Google Walletへのマイナンバーカード搭載はいつですか？ 不明確なところ

35. Apple Walletにマイナンバーカードから読み取れること Apple、日本でのAppleウォレットの身分証明書機能の展開を発表、米国外で初 • 対面のユースケースは、明言されている。 • 非対面のユースケースは、特に書かれてないが、本当にVerify with Wallet API使

    えるんだよな？信じてるからな!?

36. 調達仕様書から読み取れること マイナンバーカード機能等のスマートフォンへの搭載に係るセキュリティ規定作成業務 調達仕様書 • Verify with wallet API経由でで取得可能な情報 ◦ 姓名、生年月日、現住所、性別、市町村コード、マイナンバー、写真、

    20歳以上、年齢確認

37. 番号法のアップデートから読み取れること 行政手続における特定の個人を識別するための番号の利用等に関する法律 • 「カード代替電磁的記録」が追加されてる。mdocのことっぽい。 • Mdoc発行には、署名用電子証明書のパスワードが必要そう。 • 有効期限は、3ヶ月ぽい。 • Verify

    with Wallet APIからレスポンス返す前に、有効性確認はしそう。 • Mdocの有効期限切れても、勝手に再発行してくれるぽいこと書いてある。 • プログラムは認定を受ける必要がありそう（詳細不明）

38. 動画 iOS/native/Apple wallet(demo) Android/chrome/OWF Android/chrome/EUDIW

39. 犯収法規則６条１項１号ヘ 当該顧客等又はその代表者等から、特 定事業者が提供するソフトウェアを使用 して、本人確認用画像情報（当該顧客 等又はその代表者等に当該ソフトウェア を使用して撮影をさせた当該顧客等の 容貌の画像情報をいう。）の送信を受け るとともに、当該顧客等又はその代表者 等から当該顧客等の写真付き本人確認 書類（氏名、住居、生年月日及び写真

    の情報が記録されている半導体集積回 路（半導体集積回路の回路配置に関す る法律（昭和六十年法律第四十三号） 第二条第一項に規定する半導体集積回 路をいう。以下同じ。）が組み込まれた ものに限る。）に組み込まれた半導体集 積回路に記録された当該情報の送信を 受ける方法 犯収法規則６条１項１号ワ 当該顧客等から、電子署名等に係る 地方公共団体情報システム機構の認 証業務に関する法律（平成十四年法 律第百五十三号。以下この号におい て「公的個人認証法」という。）第三条 第六項又は第十六条の二第六項の 規定に基づき地方公共団体情報シス テム機構が発行した署名用電子証明 書及び当該署名用電子証明書により 確認される公的個人認証法第二条第 一項に規定する電子署名が行われた 特定取引等に関する情報の送信を受 ける方法（特定事業者が公的個人認 証法第十七条第四項に規定する署 名検証者である場合に限る。） 犯収法規則６条１項１号ホ 当該顧客等又はその代表者等か ら、特定事業者が提供するソフト ウェアを使用して、本人確認用画像 情報（当該顧客等又はその代表者 等に当該ソフトウェアを使用して撮 影をさせた当該顧客等の容貌及び 写真付き本人確認書類の画像情 報であって、当該写真付き本人確 認書類に係る画像情報が、当該写 真付き本人確認書類に記載されて いる氏名、住居及び生年月日、当 該写真付き本人確認書類に貼り付 けられた写真並びに当該写真付き 本人確認書類の厚みその他の特 徴を確認することができるものをい う。）の送信を受ける方法 現在の身元確認 (犯罪収益移転防止法) https://laws.e-gov.go.jp/law/420M60000F5A001#Mp-At_6

40. ワ方式 Resolution: 署名用電子証明書 と電子署名された特定取引情報 を受信。 Validation: 電子証明書の有効 性と電子署名の正当性を検証。 Verification: 電子署名により情

    報の作成者が証明書所有者 (顧 客)であることを確認。 ヘ方式 Resolution: 顧客の容貌画像 とICチップ付き本人確認書類の 電子情報を収集 Validation: ICチップから読み 取った情報の真正性を確認。 Verification: 容貌画像と ICチッ プ内の写真情報を比較し同一 人物性を確認。 ホ方式 Resolution: 顧客の容貌と写真 付き本人確認書類の画像情報を 収集。 Validation: 本人確認書類の記 載内容と特徴を確認し真正性を 検証。 Verification: 容貌画像と本人確 認書類の写真を比較し同一人物 性を確認。 現在の身元確認 (犯罪収益移転防止法) by ChatGPT https://laws.e-gov.go.jp/law/420M60000F5A001#Mp-At_6