セキュリティ界隈で、ちょっとした祭り(?)になっているので、参加してみようかな?w






発端は、パスポートのセキュリティの件で

パスポートのセキュリティ - AAA Blog

しかし残念ながら外務省の回答は、CSCA証明書(公開鍵)は公開しない。でした。

まず、公開キー(CSCA証明書)って、公開請求しないともらえないものなのね…

んで思ったこと…

本物を検証する方法がないやん!

このブログの人は、ドイツから得た情報をもとに、検証していますが、その公開キーは本当に日本政府(外務省)が出したという証拠がない。
なので、本物かどうかは、100%確実ではない。
#ちなみに私は、ドイツから得た情報のソースが見つかりませんでしたorz
##どうやって、見つけたんだろう?

GitHubに、日本のCSCA証明書が公開されているが、説明文にも書いてある通り、これが本物いう確たる証拠がない。

せめて、外務省に、CSCA証明書のFingerPrint(指紋)が載っていればいいんだけど、探したけど載っていなかった…(そりゃそうだ)。
なので、本気を出せば(本気を出さなくても)、それっぽい証明書を作成して、これが日本のCSCA証明書だと勝手に主張すれば、簡単に偽造(?)できてしまうのだ。
#それを防ぐために、PKIがあるんだけど、CSCA証明書は、ルート証明書なので、それを信頼する方法は、発行者自らが主張するか、信頼できるところからの入手しかない

偽造されたCSCA証明書をもとに、個人の証明書に署名してしまえば、本物のCSCA証明書がわからないので、それが本物ということで判断されてしまうかもしれない。
#もっとも、ICに書き込んだり、色々ハードルは高いけどw

ということで

外務省は、CSCA証明書を公開したほうがいいと思います。
それ自体が無理なら、せめてFingerPrintを公開したほうがいいと思います。


暗号技術のすべて
IPUSIRON
翔泳社
売り上げランキング: 8,331

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

読んでいただき、ありがとうございます。
カンパを募っております。
お返しに、自作仮想通貨(トークン)
KWDCOIN(カワダコイン)をお渡ししています。
詳しくは、こちら。

ご支援のほどよろしくお願いいたしますm(__)m