$30 off During Our Annual Pro Sale. View Details »

マイナンバーカードで署名する / mynumbercard

Mako
August 09, 2021
Technology
1
1.5k

マイナンバーカードで署名する / mynumbercard

seccamp2021 LT大会での発表内容

Mako

August 09, 2021
Tweet

More Decks by Mako

See All by Mako
マイナンバーカードの暗号技術とセキュリティ
tex2e
0
140
SELinuxで堅牢化する / selinux
tex2e
3
370
TLS 1.3自作入門 / tls13
tex2e
0
230
プロトコルの形式的安全性検証ツールProVerif / proverif
tex2e
0
380

Other Decks in Technology

See All in Technology
CI/CDプロセスの拡充からはじめる技術的負債の解消/Eliminate technical debt, starting with expanding CI/CD processes
onecareer_tech
0
580
Cloud Security Day 2023パネルディスカッション資料
coconala_engineer
0
160
APIテスト導入から2年。アジャイルな組織で見えてきたmabl活用の道
bengo4com
0
1.9k
That One Script You Wrote is Now a Platform
bownie
0
100
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
6
5.2k
Azure OpenAI Serviceの採用と挑戦 - Azure AI Hub meetup #1
cimadai
1
280
開発チーム横断タスクフォース 「Goサブ会」の 運用事例と今後の展望
stefafafan
0
100
Java in containers and serverless
takesection
0
130
DMMプラットフォームにおける GKE を利用した プラットフォームエンジニアリングへの 取り組み
pospome
1
180
朝起こしてくれるメイドさんが欲しい (LT) - NIFTY Tech Day 2023
niftycorp
1
110
CPOが開発する覚悟 〜コンパウンドスタートアップにおける、爆速の新規プロダクト開発スタイル〜
mosa_siru
7
6.5k
継続的なコツコツ技術広報とブランディング磨き込みの過程と課題/engineering-brand
nishiuma
0
110

Featured

See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
113
17k
YesSQL, Process and Tooling at Scale
rocio
160
13k
Mobile First: as difficult as doing things right
swwweet
214
8.3k
Building an army of robots
kneath
299
41k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
9.8k
GraphQLとの向き合い方2022年版
quramy
26
12k
Three Pipe Problems
jasonvnalue
89
9.3k
GraphQLの誤解/rethinking-graphql
sonatard
45
8.7k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8.3k
Designing for humans not robots
tammielis
246
24k
Imperfection Machines: The Place of Print at Facebook
scottboms
257
12k
Automating Front-end Workflow
addyosmani
1354
200k

Transcript

  1. マイナンバーカードで署名する
    @tex2e
    2021/8/9

    View Slide

  2. マイナンバーカード
    個人番号が書かれた ICカード。内部に認証用・署名用の証明書 (公開鍵)と秘密鍵を持つ
    ↑※QRコードにも個人番号がある点に注意

    View Slide

  3. マイナンバーカードでできる処理
       <処理>
    ● 認証用証明書の取得
    ● 認証用秘密鍵による署名
    ● 署名用証明書の取得
    ● 署名用秘密鍵による署名
    ● 個人番号の取得
    ● 基本4情報の取得
     <出力>
    (DER形式のデータ)
    (データに対する署名)
    (DER形式のデータ)
    (データに対する署名)
    (文字列)
    (UTF-8文字列)

    View Slide

  4. 認証用証明書・署名用証明書
    署名用証明書のみ基本 4情報(名前, 生年月日, 性別, 住所)あり↓
    ↑J-LIS 地方公共団体情報システム機構

    View Slide

  5. 公開鍵基盤
    ←HTTPS証明書
         ↓認証用・署名用証明書
    左図:プロフェッショナル
    SSL/TLS, p. 62
    https://www.lambdanote.com/collections/ssl-tls
    右図:富士通, 2017-7月号 マイナンバー特集 マイナンバーカードの技術仕様と利活用方式
    , p.62
    https://www.fujitsu.com/jp/about/resources/publications/magazine/backnumber/vol68-4.html

    View Slide

  6. デジタル署名
    改ざん・なりすまし・否認を防ぐための技術
    鍵生成
    署名 検証
    公開鍵
    ※RSA署名のため、
     検証鍵=公開鍵
     署名鍵=秘密鍵
    ※メッセージは
     文書のハッシュ値を使う
    秘密鍵
    メッセージ
    署名
    公開鍵
    (メッセージ, 署名)
    OK / NG

    View Slide

  7. マイナンバーカードで署名する手順
    公的個人認証AP を選択
    署名用PIN を選択
    署名用PIN送信
    署名用秘密鍵 を選択
    署名対象データ送信
    署名データ
    認証
    root/
    +-- 公的個人認証AP/
    +-- 署名用証明書
    +-- 署名用PIN
    +-- 署名用秘密鍵

    View Slide

  8. 通信プロトコル (APDU)
    00 A4 04 0C 0A D3 92 F0 00 26 01 00 00 00 01
    00 A4 02 0C 02 00 1B
    00 20 00 80 06 31 32 33 34 35 36
    00 A4 02 0C 02 00 17
    80 2A 00 80 33 (...署名対象データ ...) 00
    (...署名データ...) 90 00
    90 00
    ←SHA256RSA署名に必要な
     データの構造は「DigestInfo」
    SELECT FILE
    VERIFY
    COMPUTE DIGITAL SIGNATURE

    View Slide

  9. SHA256RSA 署名に必要な DigestInfo
    マイナンバーカードに署名させるデータを送るためのデータ構造( RFC, ASN.1参照)
    (1) RFC 2315 (PKCS #7: Cryptographic Message Syntax Version 1.5)
    (2) RFC 5280 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile)
    以上をまとめると:
    DigestInfo ::= SEQUENCE {
    SEQUENCE {
    algorithm OBJECT IDENTIFIER,
    parameters ANY DEFINED BY algorithm OPTIONAL
    }
    digest OCTET STRING
    }

    View Slide

  10. ASN.1 と SHA256のOID
    algorithm: RFC 5754 (Using SHA2 Algorithms with Cryptographic Message Syntax)
    parameters: NULL必須
      05 00  ← タグがNULL(0x05)、長さが0x00のデータ、内容はなし(ASN.1参照)
    digest: 文書 (ファイル) のハッシュ値
    以上でDERエンコードするとDigestInfoは:
    DigestInfo ::= SEQUENCE {
    SEQUENCE {
    algorithm OBJECT IDENTIFIER,
    parameters ANY DEFINED BY algorithm OPTIONAL
    }
    digest OCTET STRING
    }
    30 31 30 0B 06 09 60 86 48 01 65 03 04 02 01 05
    00 04 20 22 D6 28 B5 3B C6 B3 56 F5 91 3E 98 C5
    A3 BC 8A E1 A5 BE 91 C2 91 68 02 35 8E 0E C2 BC
    FE 71 E7
    (Tag, Len, Value)
    Tag:
    0x30 : SEQUENCE
    0x05 : NULL
    0x04 : OCTET STRING

    View Slide

  11. 署名データ
    SHA256RSA (SHA256 with RSA Encryption)
    メッセージ→SHA256ハッシュ値(32byte)→RSA暗号化→署名(256byte)
    0000000 6d 79 3e d3 0a d5 25 84 58 63 66 06 9c 0e 87 ad
    0000010 87 82 65 16 6e 87 b6 35 5a 0a a2 6f 09 8b f6 43
    0000020 45 9c 4b 73 65 93 2c 3b b9 7b 19 56 54 d7 0b 63
    0000030 6c 13 e4 9d 0c b9 f5 1f d4 7b 03 88 95 73 6b d5
    0000040 1a 27 fc 70 05 9e 62 45 69 22 6b 8b 3a 93 a4 6c
    0000050 24 8a 33 be d3 84 3e d1 6e f6 f7 e3 0b da 46 7b
    0000060 10 be 97 1a 28 81 8c 0e 75 9d 25 8b 24 1e 8d ec
    0000070 28 d2 35 9d c6 e5 02 ad cd 77 2c 59 1a 47 62 91
    0000080 8f e6 eb 6f 52 ed c9 17 b1 a6 43 81 9a b6 60 e3
    0000090 ff 94 13 94 03 52 87 c6 bf c5 8c ed ed 17 ed 75
    00000a0 da 6e d1 54 45 6a 20 24 ed 4b 41 dc d8 4f 16 be
    00000b0 a5 0e e5 7a e4 29 22 60 64 10 3d b4 1a 23 bf 5e
    00000c0 45 86 ce 32 18 d9 40 49 b7 43 af b3 44 41 63 40
    00000d0 8a a0 94 d1 6b c5 5d 49 e0 7d 83 54 70 5c a0 6c
    00000e0 02 7f ae 83 20 ef a2 5c 1c af e2 d5 2e cf ac 1e
    00000f0 8b a3 95 76 fa cc 82 a0 3b 82 46 d5 10 77 9a aa
    0000100

    View Slide

  12. 署名データの検証
    検証者には (文書, 文書のハッシュ, 署名データ) と 証明書 が与えられる
    1. マイナンバーカードから署名用証明書を取り出す
    2. 署名用証明書から公開鍵を取り出す
    openssl x509 -in SignCert.der -inform der -out SignCert.pem -outform pem
    openssl x509 -pubkey -noout -in SignCert.pem -out SignPub.pem
    3. OpenSSLに公開鍵と文書と署名データを渡して検証する
    openssl dgst -verify SignPub.pem -signature TARGET.pdf.sig TARGET.pdf
    4. 「Verified OK」で検証成功
    検証
    公開鍵
    (メッセージ, 署名)
    OK / NG

    View Slide

  13. より詳細な解説
    マイナンバーカードとAPDUで通信して署名データ作成 | 晴耕雨読
    https://tex2e.github.io/blog/protocol/jpki-mynumbercard-with-apdu
    ASN.1 のタグ一覧 | 晴耕雨読
    https://tex2e.github.io/blog/protocol/ans1-tags

    View Slide

  14. おわりに
    マイナンバーカードは民間利用が可能です!どんどん使いましょう!
    マイナンバーカード
    マイナンバー
    (個人番号)
    電子証明書
              ↑
    個人番号は社会保障、税、
    災害対策にしか使えない
      ↑
    認証用証明書、署名用証明書は
    民間でも利用可能

    View Slide

  15. Thank you!

    View Slide