Your SlideShare is downloading. ×
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
公的個人認証Ict2009
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

公的個人認証Ict2009

895

Published on

久留米工業大学ICT講座2009の第4回目の講義です。公開鍵暗号基盤の話から、公的個人認証の話、実際に住基カードに証明書を入れて、あーだこーだと面倒でしたという経験談です。

久留米工業大学ICT講座2009の第4回目の講義です。公開鍵暗号基盤の話から、公的個人認証の話、実際に住基カードに証明書を入れて、あーだこーだと面倒でしたという経験談です。

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
895
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 久留米工業大学ICT講座2009 公的個人認証を知っていますか? e-Taxを実践してわかったこと... 佐塚秀人 久留米工業大学 情報ネットワーク工学科 電子認証局市民ネットワーク福岡 2009/12/09 久留米工業大学ICT講座2009 第4回 1
  • 2. この資料は公開しています ● 今日使うスライドは http://www.slideshare.net/hideto.sazuka/ict2009 で公開しております。 2009/12/09 久留米工業大学ICT講座2009 第4回 2
  • 3. きょうのあらすじ ● 電子証明書について ● 公的個人認証は都道府県が発行する証明書 ● 住基カードと公的個人認証 ● 電子申請・申告について ● 税金の申告(e-Tax)体験記 2009/12/09 久留米工業大学ICT講座2009 第4回 3
  • 4. 暗号技術と電子認証 ● 公開鍵暗号技術 ● 秘密鍵と公開鍵の鍵ペアを使う暗号技術 ● 暗号通信にも電子署名にも利用できる ● 公開鍵の証明書は電子証明書です 2009/12/09 久留米工業大学ICT講座2009 第4回 4
  • 5. 前回の復習?? ● 共通鍵暗号 ● 暗号化と復号に共通の鍵を使う ● インターネットでは鍵の共有が課題(難しい) ● 公開鍵暗号 ● 暗号化と復号に別の鍵を使う(鍵ペア) ● 片方を公開することで任意の人と暗号通信が可能 ● 共通鍵暗号と組み合わせてハイブリッド鍵暗号 2009/12/09 久留米工業大学ICT講座2009 第4回 5
  • 6. 公開鍵の公開問題? ● 偽物鍵は大問題! ● 公開鍵は相手本人のものであることが重要 ● 直接手渡しできればいいが不可能なことが多い ● 偽物をでなりすましができる ● 中間者攻撃(man in the middle attack)が容易にで きる 2009/12/09 久留米工業大学ICT講座2009 第4回 6
  • 7. Man in the middleの図 Aさん Bさん 盗聴 改ざん Bさんの鍵と偽っ Aさんの鍵と偽っ てCさんの公開鍵 てCさんの公開鍵 を渡す Cさん を渡す 2009/12/09 久留米工業大学ICT講座2009 第4回 7
  • 8. Man in the middle attack ● AさんとBさんが暗号通信する ● CさんはAさんにBさんの公開鍵ですよといってCさんの 公開鍵を渡す ● BさんにもAさんの公開鍵ですよといってCさんの公開 鍵を渡す ● AさんはBさんだと信じて送った内容をCさんは盗聴し、 CさんはBさんにAさんのふりをして再送する ● AさんもBさんも盗聴や改ざんに気づかない 2009/12/09 久留米工業大学ICT講座2009 第4回 8
  • 9. 公開鍵の本人証明が必要 ● 公開鍵の本人証明が必要 ● 公開鍵に証明書をつけて公開する ● 証明書には電子署名が必要 ● 電子署名の確認には署名者の公開鍵が必要 ● その公開鍵の本人証明が必要 ● いつまでたっても終わらない? 2009/12/09 久留米工業大学ICT講座2009 第4回 9
  • 10. 信用の起点を決める ● 認証局をつくる ● 最後の公開鍵証明書は自己署名とする ● ルート証明書として、さまざまな方法で広く公開 ● 認証局は公開鍵対して本人証明書を発行する 2009/12/09 久留米工業大学ICT講座2009 第4回 10
  • 11. 認証局とPKI 公開鍵に証 公開鍵証明書 明書を発行 に電子署名を して公開 電子署名ファイルを送信 2009/12/09 久留米工業大学ICT講座2009 第4回 11
  • 12. 認証局(Certifcate Authority) ● 電子証明書を発行する ● 本人確認 ● 本人情報+公開鍵⇒電子証明書 ● 電子証明書に電子署名を行う ● 証明書の失効情報(CRL)の提供 ● 期限前に失効した証明書の情報を提供する ● CRL(Certifcate Revocation List)を署名公開 2009/12/09 久留米工業大学ICT講座2009 第4回 12
  • 13. PKI 公開鍵暗号基盤 ● 認証局による公開鍵暗号運用の基盤環境 ● Public Key Infrastructure ● 政府のPKIはGPKI ● X.509により標準規格化 2009/12/09 久留米工業大学ICT講座2009 第4回 13
  • 14. もう一度、電子証明書とは ● 公開鍵の本人証明書 ● 自由に公開配布可能 ● 秘密鍵の所持者とやりとりを保証可能 ● 証明書の利用 ● 電子署名の確認が可能 ● 暗号送信が可能 ● 利用者の電子認証(本人確認)が可能 2009/12/09 久留米工業大学ICT講座2009 第4回 14
  • 15. 証明書を発行してもらうには ● 鍵ペアの作成(秘密鍵+公開鍵) ● 公開鍵と証明情報から発行依頼書(CSR)を作成 ● CSR:Certifcate Signing Request ● 本人の秘密鍵で署名をしCAに発行依頼する ● 秘密鍵は外部には絶対公開せず秘匿する 2009/12/09 久留米工業大学ICT講座2009 第4回 15
  • 16. 秘密鍵の保持方法 ● 簡単には盗めない方法で保持 ● セキュリティディバイスの利用 ● ICセキュリティカード ● USBセキュリティディバイス ● ディバイス内部で暗号処理を行う ● 外部には秘密鍵を取り出す必要のないディバイス ● CPUを内蔵する 2009/12/09 久留米工業大学ICT講座2009 第4回 16
  • 17. ICカードは証明書ではない ● ICカードは秘密鍵の機能そのもの ● 他人に決して渡してはいけない ● 実際は利用にパスワードなどを必要とする ● 電子証明書は公開鍵の証明書のこと(配布可) ● ICカードは秘密鍵の保持のためのディバイス ● ICカードで身分証明書を兼ねることはできるが... 2009/12/09 久留米工業大学ICT講座2009 第4回 17
  • 18. 電子証明書の種類 ● 個人証明書 ● 電子署名 ● SSL/TLSクライアント証明 ● メール証明書 ● サーバ証明書(SSL/TLSサーバ証明書) ● ソフトウェア証明書 2009/12/09 久留米工業大学ICT講座2009 第4回 18
  • 19. 証明書の価格 ● 個人証明書 ● 年額数千円〜数万円 ● サーバ証明書 ● 年額数千円〜数百万円 ● 規模や信頼性による 2009/12/09 久留米工業大学ICT講座2009 第4回 19
  • 20. 公的個人認証サービス JPKI ● GPKI用の個人認証サービス ● 行政サービス用、個人間目的には使えない ● 住民基本台帳ネットワークカードに秘密鍵を入れ てもらえる ● 500円/3年で安い! ● 都道府県が発行 ● 福岡県は福岡県知事の電子署名 2009/12/09 久留米工業大学ICT講座2009 第4回 20
  • 21. 住民基本台帳カード ● 住民基本台帳ネットワークの個人カード ● 総務省管轄 ● カードは市町村が発行(実はカードも異なる) ● 非接触式近接型のICカード ● 住基ネット機能以外のサービスに利用可能 2009/12/09 久留米工業大学ICT講座2009 第4回 21
  • 22. 新旧の住基カード 平成21年4月より 2009/12/09 久留米工業大学ICT講座2009 第4回 22
  • 23. 住基カードの機能 ● 実は多機能カードなのですね 2009/12/09 久留米工業大学ICT講座2009 第4回 23
  • 24. 住基カードのセキュリティ ● 相互認証機能 ● セキュアICカード交 ● パスワード照合 付方式 ● カードロック機能 ● 輸送鍵の設定 ● カードの一時停止措置 ● パスワード設定による カード有効化 ● 対タンパー機構 ● 強制アクセス制御機構 2009/12/09 久留米工業大学ICT講座2009 第4回 24
  • 25. GPKIとJPKI ● GPKI:政府の各省庁のPKI ● 行政の業務のためのPKI ● 省庁ごとに認証局をもち相互認証している ● JPKI:公的個人認証 ● 個人が行政サービスを受けるためのPKI ● 都道府県単位に認証局をもつ ● GPKIとは認証局が相互認証している ● 個人間での利用は考えていない第4回 2009/12/09 久留米工業大学ICT講座2009 25
  • 26. ブリッジCAによる相互認証 ● 日本の認証ネットワークにはルートCAがない ● ブリッジCAがCAサーバをSSL認証 ● CA同士(GPKI, JPKI, ...)が相互認証 ● JPKIのルートは都道府県のCA ● ルート証明書は県知事の自己署名 ● JPKIの証明書は県域を超えられない ● ブリッジCAは個人には直接は見えない 2009/12/09 久留米工業大学ICT講座2009 第4回 26
  • 27. 個人から政府への認証のパス 認証のパス 自己署名 自己署名 相互認証 JPKIブリッジCA GPKIブリッジCA 相互認証 相互認証 相互認証 自己署名 自己署名 自己署名 F県CA T都CA 〇〇省CA 相互認証 相互認証 〇〇省の証明書 Aさん Z大臣 Z大臣からの署名文書 2009/12/09 久留米工業大学ICT講座2009 第4回 27
  • 28. 個人目的には使えないJPKI ● 都道府県単位で他のドメインを辿れない ● トップダウンの認証 ● 証明書を公開できない ● 証明書に個人情報が含まれている – 住所、年齢、性別、本名、... ● 本人の証明はできるがプライバシーは守れない ● 結局、行政サービスにしか利用できない 2009/12/09 久留米工業大学ICT講座2009 第4回 28
  • 29. さて、ここからの話 ● 住基カード発行の話 ● 公的個人認証、証明書発行の話 ● カードリーダー・ライターの話 ● GPKIと電子申請の話 ● e-Taxを利用した話 2009/12/09 久留米工業大学ICT講座2009 第4回 29
  • 30. まずは住基カードが必要だ ● まずはWebで手続きを 確認 ● Googleで検索して住基 カードのサイトへ ● 小郡市のページを次に みる 2009/12/09 久留米工業大学ICT講座2009 第4回 30
  • 31. 小郡市のサイト ● 写真は撮ってくれる ● 手数料は500円 ● 証明書は500円 ● あわせて1,000円 ● 書式のPDFがある ● 書いていけば速い? 2009/12/09 久留米工業大学ICT講座2009 第4回 31
  • 32. 発行された住基カード 2009/12/09 久留米工業大学ICT講座2009 第4回 32
  • 33. カードリーダライタ ● カードリーダライタを購入する ● 市役所で一覧表をもらった ● Amazonで調べた ● 価格は千円台からあるが、よくわからない ● カードに種類があるらしい 2009/12/09 久留米工業大学ICT講座2009 第4回 33
  • 34. カードの種類 ● カードのハードは発行市町村ごとに異なる ● コンビ型と非接触型がある ● 様々なカードが利用されている(Wikipediaで...) ● 推奨のカードリーダ・ライターのリストが提供 ● しかし、古いものが... ● 電極があるものは接触型=コンビ型??? ● 住基カードTypeI, TypeII ??? 2009/12/09 久留米工業大学ICT講座2009 第4回 34
  • 35. カードのタイプの結論 ● すべてのカードは非接触でアクセス可能 ● コンビ型は接触型の機器を...は間違い ● 以前は間違った情報が提供されていた??? ● 余計な情報を提供するな! ● 住基カード、e-Tax対応と書いてあればOK! ● Felicaのカードリーダは違います。兼用型はOK! ● ほとんどのカードはコンビ型です! 2009/12/09 久留米工業大学ICT講座2009 第4回 35
  • 36. 振り回されそうな予感 ● 住基カード:総務省 ● 発行:市町村 ● 公的個人認証サービス:都道府県 ● カードリーダライタ:公的個人認証対応カード リーダライタ普及推進協議会 ● e-Tax:国税庁 2009/12/09 久留米工業大学ICT講座2009 第4回 36
  • 37. カードリーダライタ購入 ● ソニーのFelica兼用 RC-S330を購入 ● 非接触型(接触型ではFelicaは使えないので) 2009/12/09 久留米工業大学ICT講座2009 第4回 37
  • 38. SONY RC-S330 3千円弱です。 2009/12/09 久留米工業大学ICT講座2009 第4回 38
  • 39. ソフトインストールで混乱 ● e-Tax対応の書いてあっても詳細説明なし ● 住基カード用対応の動作確認ソフトはなし ● 同梱のCDだけではカードの読み書きの認識テストはで きない ● CDにはどうもアクティベータしか入っていない ● CDのソフトは古く結局ダウンロード ● JPKIサイトに行ってソフトをダウンロード 2009/12/09 久留米工業大学ICT講座2009 第4回 39
  • 40. カードリーダライタまとめ ● 非接触式のカードリーダならすべて大丈夫 ● カード:コンビ型、非接触型 ● カードリーダライタ:接触型、非接触型、両用型 ● ソフトウェア:総務省公的個人認証サービスサイ トで利用者ソフトウェアをダウンロード(メーカ 側はドライバのみ)して動作確認 2009/12/09 久留米工業大学ICT講座2009 第4回 40
  • 41. 利用者クライアントソフトの入手 ● 公的個人認証ポータルサイトから入手 http://www.jpki.go.jp/ ● e-Taxの利用にも必要 ● Javaで記述 ● これで動作テスト 2009/12/09 久留米工業大学ICT講座2009 第4回 41
  • 42. 利用者クライアントソフトウェア 2009/12/09 久留米工業大学ICT講座2009 第4回 42
  • 43. カードの動作テスト 2009/12/09 久留米工業大学ICT講座2009 第4回 43
  • 44. 知事によるルート証明書 2009/12/09 久留米工業大学ICT講座2009 第4回 44
  • 45. 個人証明書 2009/12/09 久留米工業大学ICT講座2009 第4回 45
  • 46. 有効性の確認後 2009/12/09 久留米工業大学ICT講座2009 第4回 46
  • 47. 利用できる行政サービス ● e-Gov 電子政府の総合窓口 http://www.e-gov.go.jp/ 2009/12/09 久留米工業大学ICT講座2009 第4回 47
  • 48. e-Taxに行こう ● またまた別サイトに導かれます 2009/12/09 久留米工業大学ICT講座2009 第4回 48
  • 49. 利用開始申請をしなくてはいけない ● 利用開始申請の方法 ● 開始届出書を管轄の税務署に送付する ● オンラインで届け出る ● 利用者識別番号を取得する 2009/12/09 久留米工業大学ICT講座2009 第4回 49
  • 50. はまり道 ● 開始申請 ● Internet Explore 6 or 7でなくてはいけない – おっとIE8β入れちゃってたよ – きっとFirefoxでいけるに違いない(IE8βはきっと×) – ふふふ、俺はPKI詳しいんだ... Firefoxでやってみよう ● ルート証明書入れて... ● サイトを開いて、必要事項を入れて送信 ● 画面には利用者番号が... 2009/12/09 久留米工業大学ICT講座2009 第4回 50
  • 51. 印刷不能 ● Firefoxでもちゃんと利用者番号を取得できた ● しかし、印刷機能が動かない ● 印刷機能がIE6,7に特化していた ● 数値だけなので画面コピーをしてどうにか記録 ● やはりなめてはいけない 2009/12/09 久留米工業大学ICT講座2009 第4回 51
  • 52. e-Taxソフト ● 電子申告の専用ソフトをダウンロード ● e-Taxソフト ● さまざなな税金申告ができる(らしい、ようだ) ● フォーマットを追加してフォームを作成可能 ● 電子証明をして送信ができる ● 最初は、ほとんど使い方不明... ● 普通の人ならここで十分にやる気がなくなるはず 2009/12/09 久留米工業大学ICT講座2009 第4回 52
  • 53. 実はe-Taxソフト不要 ● 個人の確定申告は確定申告サイトで作成可 ● e-Taxソフトは不要 ● 書類の簡単作成サイトで同じように作成可能 ● e-Taxって何も便利じゃなかったの... ● とりあえずデータ作成...署名...送信... 2009/12/09 久留米工業大学ICT講座2009 第4回 53
  • 54. やる気なくなる電子申告 ● e-Taxはなにも便利ではない ● 書類による申告と申告書作成はなんら変りない – 文書を印刷せず、署名して送信するだけ – 入力の支援などなにもなし... – 医療控除は1件1件手入力... ● 便利?だった点 – 間違い後で発見。再送信ができた。 – 紙でも送付前に、再印刷するので、同じだっただろうが... 2009/12/09 久留米工業大学ICT講座2009 第4回 54
  • 55. e-Govは、イケてないよ ● 仕組みが複雑すぎる ● 情報が一元化されていない ● 複数のサイトをたらい回しにされる ● 総務省、市役所、 住基カードポータル、 公的個人認証ポー タル、カードメーカサイト、リーダライタ普及推進協議 会、国税庁、e-Taxサイト、e-Govサイト、 ついでにWikipedia... 2009/12/09 久留米工業大学ICT講座2009 第4回 55
  • 56. 予算削減、廃止 ● 財務省は電子申請を廃止予定 ● 公的個人認証新規システム予算削減 ● わかりやすさを考えていない仕様とシステム ● つかいやすいを考えていないソフトウェア ● 政府が提供するソフトなど使えたものではない 2009/12/09 久留米工業大学ICT講座2009 第4回 56
  • 57. 最後に ● 最後が単なる愚痴ですみません ● PKI, GPKIはまだまだ課題が多そうです ● 日本のシステムは複雑すぎるようです ● 景気が改善されたら再度検討してほしい 2009/12/09 久留米工業大学ICT講座2009 第4回 57

×