Slide 1

Slide 1 text

デジタルIDウォレットが切り開く High Assurance Identity Proofingの未来 kokukuma

Slide 2

Slide 2 text

今、Digital Identity Walletが熱い!! Apple、日本でのAppleウォレットの 身分証明書機能の展開を発表、米 国外で初 NIST SP 800-63-4 (2nd Public Draft) Digital Identity Guidelines A digital ID and personal digital wallet for EU citizens, residents and businesses

Slide 3

Slide 3 text

EU Digital Identity Wallet EUの各加盟国が提供する責任があるウォレット https://github.com/eu-digital-identity-wallet Credential Manager API Android Native appからDIWに繋ぐためのAPI com.google.android.gms.identitycredentials Verify with Wallet API・Verifier API iOS Native appからApple walletに繋ぐためのAPI What’s new in Wallet and Apple Pay; wwdc2022 What’s new in Wallet and Apple Pay; wwdc2023 Digital Credential API WebからDIWに繋ぐためのAPI https://github.com/WICG/digital-credentials https://developer.chrome.com/blog/chrome-128-beta?hl =ja#digital_credentials_api いろんな機能が、実際に触れる状態になっている!!

Slide 4

Slide 4 text

この発表では 開発者として今後この状況を楽しみ尽くすために … ● 今の身元確認の仕組み ● Digital Identity Walletを使った身元確認 ● HPKE・mdoc/mDLの解説 ● 今後出てきて欲しい5大ニュース

Slide 5

Slide 5 text

今の身元確認のやり方

Slide 6

Slide 6 text

一般的に身元確認に必要なもの NIST SP 800-63A-4 (2nd Public Draft) Identity Proofing and Enrollment

Slide 7

Slide 7 text

ホ方式 Resolution: 顧客の容貌と写真 付き本人確認書類の画像情報を 収集。 Validation: 本人確認書類の記 載内容と特徴を確認し真正性を 検証。 Verification: 容貌画像と本人確 認書類の写真を比較し同一人物 性を確認。 犯収法規則6条1項1号ホ 出典:金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要

Slide 8

Slide 8 text

ヘ方式 Resolution: 顧客の容貌画像 とICチップ付き本人確認書類の 電子情報を収集 Validation: ICチップから読み 取った情報の真正性を確認。 Verification: 容貌画像と ICチッ プ内の写真情報を比較し同一 人物性を確認。 犯収法規則6条1項1号ヘ 出典:金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要

Slide 9

Slide 9 text

ワ方式 Resolution: 署名用電子証明書 と電子署名された特定取引情報 を受信。 Validation: 電子証明書の有効 性と電子署名の正当性を検証。 Verification: 電子署名により情 報の作成者が証明書所有者 (顧 客)であることを確認。 犯収法規則6条1項1号ワ 出典:金融庁 犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要

Slide 10

Slide 10 text

Digital Identity Walletを使った 身元確認

Slide 11

Slide 11 text

Verify with Wallet APIのユーザ体験のイメージ

Slide 12

Slide 12 text

Verify with Wallet APIのユーザ体験のイメージ 1.毎回マイナンバーカードかざさなくてもいい 2.必要最小限の情報だけ渡せるようになる

Slide 13

Slide 13 text

Verify with Wallet APIの全体像

Slide 14

Slide 14 text

Verify with Wallet APIの実行 1. 身元確認を 開始 2.サーバから 情報取得

Slide 15

Slide 15 text

共有情報の確認および認証 4.提供する情報の 提示、同意・認証 3.Verify with Wallet APIをcall 5.Verifierに返すデータ (mdoc)を暗号化

Slide 16

Slide 16 text

Verify with Wallet APIの結果を復号・検証 8.復号および検証 6-7. 暗号化済み mdocをサーバ に投げる

Slide 17

Slide 17 text

HPKE・mdoc/mDLの解説

Slide 18

Slide 18 text

HPKE: RFC 9180: Hybrid Public Key Encryption ● 公開鍵暗号と共通鍵暗号を組み合わせた汎用的な枠組み ● 基本的な流れ ○ 1. DH鍵交換で受信者側と送信者側で対象鍵を生成 (DHKEM) ○ 2. 対象鍵から、暗号化に使用する鍵を生成 (KDF) ○ 3. メッセージの暗号化・複合 (AEAD) mdoc/mDL: ISO/IEC 18013-5:2021 ● モバイル運転免許証(mDL)の規格定義 ● デバイス間の対面認証プロトコル (NFC、QRコードなど) ● mdoc responseの暗号化方式 (ECKA-DH,HKDF,AES-256-GCM) ● 汎用的なモバイル文書(mdoc)フォーマットの規定 データの復号と検証

Slide 19

Slide 19 text

IssuerからWalletに対してmdoc発行 https://www.iso.org/standard/69084.html hash Data Digest issuer signature Device pub key 本人情報 本人 Wallet issuer Private key Mobile Security Object (MSO)

Slide 20

Slide 20 text

Walletでmdoc responseの作成 Data Digest issuer signature Device pub key 本人情報 本人情報 Device signature Device Private key Session Transcript Selective disclosure https://www.iso.org/standard/69084.html Mobile Security Object (MSO) Data Digest issuer signature Device pub key mdoc response

Slide 21

Slide 21 text

WalletからVerifierへのmdoc response送信 Data Digest issuer signature Device pub key 本人情報 Device signature 送信者側 Public key 受信者側 Private key Symmetric key KEM/KDF Session Transcript 受信者側 Public key 送信者側 Private key Symmetric key KEM/KDF Session Transcript 暗号化 Apple walletから、 Verifierに送信 復号 Apple wallet (送信者側) Verifier (受信者側) Data Digest issuer signature Device pub key 本人情報 Device signature Data Digest issuer signature Device pub key 本人情報 Device signature Data Digest issuer signature Device pub key 本人情報 Device signature

Slide 22

Slide 22 text

Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証

Slide 23

Slide 23 text

Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証 ドキュメントの真正性を確認 (Validation) ドキュメントの真正性を確認 (Validation)

Slide 24

Slide 24 text

Verifierでmdoc responseを検証 本人情報 Device signature https://www.iso.org/standard/69084.html Data Digest issuer signature Device pub key Digestの検証 Issuer signature の検証 Issuer public key Session Transcript device signature の検証 ドキュメントの真正性を確認 (Validation) ドキュメントの真正性を確認 (Validation) ドキュメントの本人性(所持)を確認 (Verification)

Slide 25

Slide 25 text

Digital Identity Walletを使った身元確認 ワ方式 DIW方式 Resolution 署名用電子証明書+署名 mdoc response Validation 署名用電子証明書の検証 Issue signatureの検証 Verification 電子署名の検証 Device signatureの検証

Slide 26

Slide 26 text

これから出てきて欲しい5大ニュース

Slide 27

Slide 27 text

● Walletを使った身元確認で、法要件満たせます ! これから出てきて欲しい5大ニュース

Slide 28

Slide 28 text

● Walletを使った身元確認で、法要件満たせます ! ● Google Wallet と マイナンバーカードで身元確認可能になりました ! これから出てきて欲しい5大ニュース

Slide 29

Slide 29 text

● Walletを使った身元確認で、法要件満たせます ! ● Google Wallet と マイナンバーカードで身元確認可能になりました ! ● Digital Credential APIからApple Walletに繋げるようになりました ! これから出てきて欲しい5大ニュース

Slide 30

Slide 30 text

● Walletを使った身元確認で、法要件満たせます ! ● Google Wallet と マイナンバーカードで身元確認可能になりました ! ● Digital Credential APIからApple Walletに繋げるようになりました ! ● 身元確認と一緒にパスキーの登録できるようになりました ! これから出てきて欲しい5大ニュース

Slide 31

Slide 31 text

● Walletを使った身元確認で、法要件満たせます ! ● Google Wallet と マイナンバーカードで身元確認可能になりました ! ● Digital Credential APIからApple Walletに繋げるようになりました ! ● 身元確認と一緒にパスキーの登録できるようになりました ! ● Walletで提示できるようになる情報が増えた ! (Apple/Googleが持ってる検証ずみ Email / phone numberとか) これから出てきて欲しい5大ニュース

Slide 32

Slide 32 text

これから出てきて欲しい5大ニュース ● Walletを使った身元確認で、法要件満たせます ! ● Google Wallet と マイナンバーカードで身元確認可能になりました ! ● Digital Credential APIからApple Walletに繋げるようになりました ! ● 身元確認と一緒にパスキーの登録できるようになりました ! ● Walletで提示できるようになる情報が増えた ! (Apple/Googleが持ってる検証ずみ Email / phone numberとか) ● 海外展開した時に同じ枠組みで身元確認できる ! (EUDIWがEU圏外でも使えるとか、たとえば )

Slide 33

Slide 33 text

Appendix

Slide 34

Slide 34 text

● どうやってマイナンバーカードをスマホに登録する? ● Verify with Wallet API使えるんだよね? ● Verify with Wallet API使えたとして、法要件を満たすのか? ● Google Walletへのマイナンバーカード搭載はいつですか? 不明確なところ

Slide 35

Slide 35 text

Apple Walletにマイナンバーカードから読み取れること Apple、日本でのAppleウォレットの身分証明書機能の展開を発表、米国外で初 ● 対面のユースケースは、明言されている。 ● 非対面のユースケースは、特に書かれてないが、本当にVerify with Wallet API使 えるんだよな?信じてるからな!?

Slide 36

Slide 36 text

調達仕様書から読み取れること マイナンバーカード機能等のスマートフォンへの搭載に係るセキュリティ規定作成業務 調達仕様書 ● Verify with wallet API経由でで取得可能な情報 ○ 姓名、生年月日、現住所、性別、市町村コード、マイナンバー、写真、 20歳以上、年齢確認

Slide 37

Slide 37 text

番号法のアップデートから読み取れること 行政手続における特定の個人を識別するための番号の利用等に関する法律 ● 「カード代替電磁的記録」が追加されてる。mdocのことっぽい。 ● Mdoc発行には、署名用電子証明書のパスワードが必要そう。 ● 有効期限は、3ヶ月ぽい。 ● Verify with Wallet APIからレスポンス返す前に、有効性確認はしそう。 ● Mdocの有効期限切れても、勝手に再発行してくれるぽいこと書いてある。 ● プログラムは認定を受ける必要がありそう(詳細不明)

Slide 38

Slide 38 text

動画 iOS/native/Apple wallet(demo) Android/chrome/OWF Android/chrome/EUDIW

Slide 39

Slide 39 text

犯収法規則6条1項1号ヘ 当該顧客等又はその代表者等から、特 定事業者が提供するソフトウェアを使用 して、本人確認用画像情報(当該顧客 等又はその代表者等に当該ソフトウェア を使用して撮影をさせた当該顧客等の 容貌の画像情報をいう。)の送信を受け るとともに、当該顧客等又はその代表者 等から当該顧客等の写真付き本人確認 書類(氏名、住居、生年月日及び写真 の情報が記録されている半導体集積回 路(半導体集積回路の回路配置に関す る法律(昭和六十年法律第四十三号) 第二条第一項に規定する半導体集積回 路をいう。以下同じ。)が組み込まれた ものに限る。)に組み込まれた半導体集 積回路に記録された当該情報の送信を 受ける方法 犯収法規則6条1項1号ワ 当該顧客等から、電子署名等に係る 地方公共団体情報システム機構の認 証業務に関する法律(平成十四年法 律第百五十三号。以下この号におい て「公的個人認証法」という。)第三条 第六項又は第十六条の二第六項の 規定に基づき地方公共団体情報シス テム機構が発行した署名用電子証明 書及び当該署名用電子証明書により 確認される公的個人認証法第二条第 一項に規定する電子署名が行われた 特定取引等に関する情報の送信を受 ける方法(特定事業者が公的個人認 証法第十七条第四項に規定する署 名検証者である場合に限る。) 犯収法規則6条1項1号ホ 当該顧客等又はその代表者等か ら、特定事業者が提供するソフト ウェアを使用して、本人確認用画像 情報(当該顧客等又はその代表者 等に当該ソフトウェアを使用して撮 影をさせた当該顧客等の容貌及び 写真付き本人確認書類の画像情 報であって、当該写真付き本人確 認書類に係る画像情報が、当該写 真付き本人確認書類に記載されて いる氏名、住居及び生年月日、当 該写真付き本人確認書類に貼り付 けられた写真並びに当該写真付き 本人確認書類の厚みその他の特 徴を確認することができるものをい う。)の送信を受ける方法 現在の身元確認 (犯罪収益移転防止法) https://laws.e-gov.go.jp/law/420M60000F5A001#Mp-At_6

Slide 40

Slide 40 text

ワ方式 Resolution: 署名用電子証明書 と電子署名された特定取引情報 を受信。 Validation: 電子証明書の有効 性と電子署名の正当性を検証。 Verification: 電子署名により情 報の作成者が証明書所有者 (顧 客)であることを確認。 ヘ方式 Resolution: 顧客の容貌画像 とICチップ付き本人確認書類の 電子情報を収集 Validation: ICチップから読み 取った情報の真正性を確認。 Verification: 容貌画像と ICチッ プ内の写真情報を比較し同一 人物性を確認。 ホ方式 Resolution: 顧客の容貌と写真 付き本人確認書類の画像情報を 収集。 Validation: 本人確認書類の記 載内容と特徴を確認し真正性を 検証。 Verification: 容貌画像と本人確 認書類の写真を比較し同一人物 性を確認。 現在の身元確認 (犯罪収益移転防止法) by ChatGPT https://laws.e-gov.go.jp/law/420M60000F5A001#Mp-At_6