2016/08/07

[nfc]マイナンバーカードでSSHできるらしい (1)

せっかく無料で作れるのでマイナンバーカードを作ってみたものの、仕様が公開されるわけでもなく、遊び勝手が悪い。
この手のカードが嫌いな人も多いようで、気持ちもなんとなくわかるのだが、あるものは使ってしまえ、とも思うので、誰か何とかしてくれないだろうか、と他力本願で待っていた。

NFCの基礎的なことは調べるものの、応用には非常に弱いのですよ。


待ってみるもので、こういう記事が見つかった。

マイナンバーカードでSSHする - AAA Blog

こちらの、「個人番号カードのファイルシステム」に描いてある図は、総務省のこちらにいくつかある資料のAP構成図からできていると思う。
http://www.soumu.go.jp/kojinbango_card/kojinninshou-02.html

image

個人に関する情報が書いてあるのは、住基APとか券面APとか、そういう部分だろう。
「AP」は、アプリケーションの略だと思う。
何というか、フォルダみたいなものだけど、入り方がわからないと見ることができないのだと思う。


ISO/IEC 14443のType-BのカードはIC運転免許証しか見たことがないのだけど、アクセスが面倒だった。
NFC Forum規格ではType2とType3しか読んだことがないのだが、あれは簡単だった。読みたいアドレスの仕様が決まっているので、そのアドレスを指定すれば読める。

Type-Bは、NFC Forum規格ではType4Bになるんじゃないかと思う。
MIFARE DESFireはType4Aだろうか。
実物を持っていないので読んだことがないのだが、運転免許証をアクセスした感触からすると、カード自体の仕様書が提示されていないと、どうやってアクセスしてよいのかわからない。

運転免許証は仕様書が公開されているので、まだアクセスすることができたが、PIN番号無しで読めるデータは免許証の表面を見ればだいたいわかるし、PIN番号は3回間違うとロックされて、解除には警察に出向かないといけないらしいので、暗証番号が3回で特定されるようなものでなければ、ランダムで試してみても読むのは難しいだろう。

 

このページで紹介している「公的個人認証AP」は、これなのかな。
https://www.jpki.go.jp/

ブラウザでもJREでの利用を前提にしているようなんだけど、ブラウザでカードを使うのだったらこの方法以外無いということだろうか。
https://www.jpki.go.jp/download/win.html


ともかく、総務省の説明通りであれば、公的個人認証AP=JPKI-APは個人情報どうのこうのではなく、別物なのだ。

その別物を表すものの1つが、「マイキーくん」だ。
http://www.soumu.go.jp/kojinbango_card/kojinninshou-01.html#rogo

まあ、前も紹介しましたな。
マイキーくんについては、Googleなどで検索した方が皆の印象がわかる気がする。

 

私としては、せっかくこのレベルの個人認証が無料で手に入るのだから、自由に使いたい。
そういう目的で調べたのが、メールの電子署名で使えないか、というやつだったのだが、どうやら無理そうだ、というところで終わった。
個人事業主で仕事をしていると、自分が自分であることを証明するのが難しいので、せめてメールの署名で「私なんです!」というのを日本から認めてくれると、改ざんなどの心配がなくてよかったのだけどね。

使い道がないなー、と思っているところで、AAA Blogさんの記事を見つけた、というところだ。


記事の「署名プロトコル」だが、Type-Bのカード(ISO/IEC 7816のカード?)を読むときの手順と同じで、SELECT FILE(INS=0xA4)で希望するところまで潜って、VERIFY(INS=0x20)で認証用PINが正しいかをチェックしてもらい、秘密鍵のところまでSELECT FILE(INS=0xA4)し、ハッシュ値を書込むと署名データが返ってくる。

INS=0x2A、は手持ちの資料では出てこない。。。
たぶんアクセスできるのだろうけど、後追いでやっているので、このコマンドがどういう意味で行われているかを見ておきたいのだ。
エラーコードとしては出てくるんだけどねぇ。

http://www.centrenational-rfid.com/docs/users/file/14443%20PCS%20-%20passive%20RFID%20interrogator.pdf
"Perform Security Operation"なのか?
ということは、この手順はISO/IEC-7816の手順ということか。
まあ、もともとICカードの規格だしね。

 

なんというか、せっかくマルチアプリケーションになっているのだから、個人情報とは関係なく使えるところは技術者向けだけにしても公開してよいと思うのだがね。
そっちの方が、公開していないけど使えます、というよりも安全だと思うのだ。
今までの漏洩って、そういう場合の方が多い気がするのですよ。

0 件のコメント:

コメントを投稿

コメントありがとうございます。
スパムかもしれない、と私が思ったら、
申し訳ないですが勝手に削除することもあります。