web-dev-qa-db-ja.com

政府と銀行はCAになることができますか?

パスポート、運転免許証、住宅ローン、銀行口座、クレジットカードなどを申請するとき、発行組織はあなたの身元を確認する必要があります。そうする過程で、彼らがx.509証明書を発行することは現実的でしょうか?これらは、個人がS/MIME、政府のWebサイトでの迅速かつ簡単な識別、電子納税申告のデジタル署名などに使用できます。

具体的には、次のことを知りたいです。

  • (セキュリティの観点から)政府、銀行、またはクレジットカード会社がPKIの一部であってはならない理由はありますか?
  • 「オフライン」エンティティに関連付けられているx.509証明書を発行することは意味がありますか?PGPキーが実際の人に関連付けられている(想定されている)方法です。
certificatescertificate-authorityidentityx.509
34
shadowtalker

ケーススタディ:イタリア

イタリアはよく知られているルートCAリストを提供しています。リストは主に銀行または公的専門家協会によって作成されています。

公式リストは維持されます このアドレスで (英語版は見つかりませんでした)、英語の公式要件がリストされています ここ

OPが合法的に要求するのは、政府自体、または信頼できる機関がX.509証明書をすべての人に公開して公開するかどうかです。自分のメールに署名します。

イタリアと主に他のEU諸国について話すと、これは主にコスト/利益の選択です。中央政府は通常大きな予算を持っていません。

パスポートの発行は、デジタル証明書の維持とは異なります。パスポートは政府が国民の大多数に国際旅行を許可するために発行しているものです。現代の乗客の流れを考慮して、電子メール署名証明書は市場の非常に小さいnicheによって使用されます。

上記の企業は、複雑で重要なインフラストラクチャをサポートするために、デジタルIDを申請する人からお金を必要としています。彼らは政府発行のIDをチェックして、特定のデジタルID(公開キー)を政府発行のIDにバインドします。これは簡単な言葉でisあなたですがそれから哲学の分野で私たちを導きます:「私たちは誰ですか?個人と彼のアイデンティティの間の関係は何ですか?正式な名前を使用することは違法ですか?」

Italyでも、ある種の統一されたdigital IDにより具体的なものが行われ、呼び出される [〜#〜] spid [〜#〜] (速さ、頭字語Sistema Pubblico per l'IdentitàDigitaleデジタルIDのパブリックシステム)およびisは、X.509証明書とSAMLトークン交換を使用して実装されます。これらの証明書は、認証のみに使用できます。残念ながら、高額なプロジェクト全体が苦労します。

粉々になったイタリアのデジタルID(SPID以前の時代)

これまでのところ、すべての政府機関が独自のデジタルIDシステムを実装して、人々が多くのオンラインサービスを利用できるようにしようとしましたが、政府がプッシュしたデジタルID規格が1つもないため、市場で断片化が起こりました。

20の地域で実装された「CRS」(Carta Regionale Servizi、地域の健康カード)は、基本的にはあなたの 健康カード スマートカードトークンで拡張されたもので、Wikipediaには写真が表示されません(実際、考えてみてください)現在見つけているのと同じプラスチック製のタグ上のチップ)。これには、地域内でのみ有効な(gasp!)SSLクライアント証明書が含まれているため、再配置した場合、 Tax Code が変更されても、カードを交換する必要があります。

正式に認識されたIDの別の実装は、デジタル署名でした。ええ、そうです! X.509を使用した否認防止証明書が...に保存されています...ええと...それがポイントです!これらの署名はもともと、公証または政府の行為などのPDF/TXTドキュメントに加えて、民間契約にも法的価値を与えるために開発されました。それらはスマートカードまたはUSB/SIMトークンに展開する必要がありましたが、利用の難しさ(リーダー、ドライバー、ソフトウェアを備えたワークステーションが必要で、OSSコミュニティが怒っている)により、HSMを承認する権限が強制されました。手短に言えば、手署名が禁止されている、または実際的でない特定の規制環境でのみ使用されます。

そして、認定メール。調査中の国で3番目の災害。 OPが尋ねたのは、彼のメールのデジタル証明書です。いいですか?イタリア人は賢いので、[〜#〜] pec [〜#〜](Posta Elettronica Certificata、Electronic)で独自のSMTPを再発明しました配達証明付き郵便)。 PECに関する簡単なレッスン:

  • PECアドレススペースは、インターネットメール(RFC822)スペースから分離されています。それらはRFCに準拠していますが、基本的には元の形式のPECアドレスはインターネットホストからのメールを受け入れず、PECアドレススペースにのみ送信できました。 PECから電子メールへのメッセージが完全に認定されていないことを除いて、これは変更されました
  • ISPは、配達証明を提供します。 できる 公的行為や裁判所で受け入れられる必要があります
  • ISPは、公開レジストリを使用して、アドレスとIDのバインドも提供します
  • 秘密鍵はISPが保持しています。あなたはあなたのメッセージに署名しません、彼らはあなたの署名で行います。怖い!

たとえば、ジェンティローニ大統領に正式に問い合わせたい場合は、メッセージを [email protected] にドロップします。受信を拒否することはできません。

次にSPIDに進みます。レンツィ大統領のもとで、イタリアはついに「すべてを統治するIDシステム」を定義しようとした。 SPIDは、市民が単一のIDですべてのオンライン公共システムにアクセスできるようにするためのものでした。 SPIDは現在、4社のみが発行したユーザー名/パスワード/ OTP認証です。公共機関向けのSPIDのサポートは政府機関に義務付けられています。近い将来、SPIDの有無にかかわらず、オフラインまたはオンラインでお子様の学校にすでにサインアップしているため、SPIDが教育に使用されることが予想されます。

すべてのデジタルIDシステムには1つの問題があります。人々が日常生活でデジタルIDシステムを必要としないことです。それが、無料であってもサインアップしない理由です。この国のデジタルアルファベット順は他の国に比べてかなり低く、すべてのサービス/オフィス 英語のローカライズがないことを除いて、1つを除いて はSPIDデジタルIDなしで利用できます。

国際的な信頼

EUでは、デジタル署名とデジタルIDを各国で相互運用できるようにする試みが行われています。ただし、ヨーロッパ全体で信頼できるCAの単一のリストが作成されるまで、特定の国で発行された証明書が必ずしも他の国で信頼されるとは限りません。

これは、eIDASディレクティブによって緩和されています。すべてのEU諸国でデジタルIDが使用可能になるまでには多くの時間がかかりますが、目標は、現在の「独自の[通貨]市場」に沿って独自の「信託市場」を作ることです。

オフラインとオンラインの信頼

デジタルIDには、MicrosoftおよびMozillaの信頼できる証明書とlittleの関係があります。ブラウザの信頼リストに特定のCAが表示されても、CAが収益庁のドキュメントに署名するために有効な証明書を発行する権限を持っているとは限りません。いいえ、これは、「 https://www.example.org "宛てのリクエストに対して、マシンが「公式に」応答できることを示す証明書をCAが発行できることを意味します。

PKIシステム自体のstrenghtと同時にcomplexityは、単一の中央の信頼リストがないことです。そのような欠如がインターネットにおける民主主義の唯一の手段ですが、ここに再びあります。「運用可能」になるためには、すべてのリストにCAを参加させる必要があります。

例として、アメリカ、東アジア、オセアニアのユーザーに、コンピュータが次の証明書を信頼しているかどうかを尋ねます。

  • シリアル:35 d9 75 94 d1 b6 75 4d b6 36 42 cb b5 ea cf cf
  • 件名DN:SERIALNUMBER = 97103420580、SN = Sicurezza、G = Ufficio、O =、DigitPA、C = IT
  • DNが発行:CN = Ufficio Sicurezza、O = DigitPA、C = IT
  • 有効期限:2020-05-17

ヒント:私のWindows 10は「いいえ」と言っています

ただし、この証明書は政府関連の公式証明書です。

結論

中央政府または政府から信頼されている銀行がX.509証明書を人々に発行する例を示しました。政府がCAにならない理由は本当ありません

OPは、「紙」のIDの法的有効性と、相互運用可能な「デジタルID」の商業的な付加価値を混同しないでください。

開示:私の会社は、顧客(金融事業者)がデジタル署名を取得して適切に使用することを法律で義務付けられている財政環境で積極的に働いています。私は毎日デジタルIDを使用しているので、このテーマの「専門家」であると主張しています。

10
usr-local-ΕΨΗΕΛΩΝ

私は少なくとも ルートCAを持つ1つの政府を知っています

Staat der Nederlanden Root CA

オランダの州。私が知る限り、彼らは運転免許証を受け取ったときに人々を識別するためにそれを使用していません。

エストニアには、すべての居住者が証明書を含むカードを持っているシステム があると思います。

30
Sjoerd

Sjoerdの回答 を補足するために、一部の国では、すべての市民および居住者に、主要なIDドキュメントでもあるICC内に保存された独自の証明書を提供しています。説明のために、これは私のものです(私のmacOSコンピューターのトラストストアからの2つのCA)。

Belgium Root CA3, Citizen CA, and two citizen certificates

政府機関、郵便局、薬局、さらには企業でも使用されています。多くの人々はまた、税務申告、公式通信へのアクセス、または社会的利益の要求/確認のためにそれらをオンラインで使用します(スマートカードリーダーとブラウザ拡張を使用)。

20
Constantino Tsarouhas

•政府、銀行、またはクレジットカード会社がPKIの一部であってはならない理由(セキュリティの立場から)はありますか?

ビジネスと世界各国の政府の利害を混合することは、ほとんどのセキュリティ専門家が切望していることではなく、悪意のあるCA(所有者が誰であっても)によって引き起こされる可能性のある被害は非常に大きいため、これが主要なセキュリティリスクです。

(CNNICのように)いくつかありますが、コミュニティはそれらに過度に熱心ではなく、一部は人気のある証明書ストアから取り消されています(これはのためにそれらを殺すのと同じくらい良いです)証明された乱用。

とはいえ、あまり多くない理由はおそらくほとんどが技術的ではなく、エントリへの障壁は、セキュリティを維持しなければならず、一部のリストに掲載される資格を維持するには定期的な監査が必要であることです(ほとんどの人は望んでいないと思います)信頼できるCAのMozilla Firefoxのデフォルトリストなど、商業的に実現可能な金額を請求している場合を除いて、問題が発生したり、資格のない他の証明書に署名したりしないように信頼されています。証明書のピン留めは役立ちます(現在のブラウザーでgoogle.comを偽造するのは難しいです)が、彼らが妥協した場合に私の銀行などになりすますことを阻止するわけではありません。さらに、侵害された場合の評判リスクが高まり、魅力が低下します。

参照 これらの46のルート証明書以外に私のコンピューターには他の信頼のルートがありますか? 香港郵便局のルート証明書を参照しています。

この ページ メインストアのリストと、それらが従う必要のある原則と基準を含めることも役立つ場合があります。

13
Matthew1471

多くの政府には、従業員と内部サーバーの両方で使用される内部使用のためのCAがあります。個人証明書を正しく配信することは、IDカードやパスポートを配信することと大差ありません。

ここで、1つの国で提供されるすべてのIDカードに、IDカード自体の有効性が同じであるスマートカードと標準証明書が含まれているとします。単純なIDカードと比較して追加されるコストは、約数十ユーロまたは数ドルになります。デリバリーチェーンを処理する従業員のコストと比較すると、それほど高価ではありません。

しかし、すべての市民が政府によって保証された配信プロセスを備えた強力な証明書ストア(スマートカード)を持ち、認証、デジタル署名、さらには暗号化の質問に使用できる証明書を持っている場合、それは企業に影響を与えないと思いますか?有料の証明書をお届けしますか?私見それは、それらすべての企業による不公正な競争と見なされる可能性があります。そしてそれだけでも、政府がその方向に進まないためには十分です...

とはいえ、一部の銀行には、スマートカードで強力な証明書を対面で配信することに特化した子会社が既にあります。しかし、彼らはそのために公共の資源を使わないので、不当な競争はありません。

8
Serge Ballesta

エストニアはこの点でポスターの子です。

私たちの政府は約15年間、PKIシステムを運用してきました。このシステムでは、すべての市民と法定永住者に、認証用と文書署名用の2つの証明書を含むスマートカードが発行されます。これで基本的に誰でも エストニアのe-レジデンシープログラム を通じてPKIに関連付けられた同様のカードを申請できます。

認証証明書は、多数のサービスの安全なオンライン認証に使用されます

  • 個人用および会社の管理用のあらゆる種類の電子政府サービス
  • オンラインバンキング
  • 健康記録へのアクセス
  • IDカード認証を実装するプライベートオンラインサービスへのアクセス

署名証明書は、あらゆる種類のデジタルドキュメントに法的拘束力のある署名を付けるために使用できます。これにより、大量の紙を移動したり、何かに署名するためだけに顔を合わせたりすることなく、ビジネスを大幅に簡素化できます。

同じシステムを使用して、送信するドキュメントを暗号化することもできます。受信者の市民IDがわかっている場合は、すべてのパブリック証明書に中央のLDAPリポジトリでアクセスできます。もちろん、復号化は、対応する秘密鍵を含むスマートカードでのみ可能です。

同様の方法で、いわゆる「デジタルシール」が法人に発行され、会社に代わってデジタルドキュメントに署名します(たとえば、オンラインバンクポータルからダウンロードする可能性がある銀行取引のデジタル証明が銀行によって署名されます)銀行で働く特定の人物ではなく法人として)。

このインフラストラクチャの運用は、最大の2つの商業銀行と最大の通信会社が実際に所有している民間企業に委託されています。

副業として、この同じ会社には、サーバー証明書を商業的に販売するために使用する主要なブラウザーに含まれるパブリックCAもあります。

8
Tarmo R

スペインでは、次のような証明書をリクエストできます enter image description here

これは、いくつかのオンライン管理アクションを実行するために必要です。たとえば、スペイン銀行のウェブサイトで公的債務を購入したり、出生証明書をオンラインで取得したりする場合。 FNMTはそれらを放出する組織ですが、実際には何年にもわたる歴史を持ち、お金を印刷している組織です。証明書は、ドキュメントやその他多くの署名にも使用できますが、ソフトウェア署名目的(ドキュメントのみ)には使用できません。

証明書を取得するには、次の方法があります。

  • 誰もが持っている電子IDカードであるDNI-eを使用しますが、スマートカードリーダーが必要になります。または...
  • 身元を確認するために国庫(Agencia Tributaria)に行きます。

証明書を取得したら、何度でも更新できます。

FNMTルート証明書はWindowsに含まれており、Internet ExplorerおよびGoogleで動作しますChromeそのまま使用できます。配布に含めるためにMozillaのバグレポートがありますが、問題とそれはまだ含まれていません。

1
Adrián Arroyo Calle