2013-03-21

電子署名の系譜  [by miyachi]

先日何に使う訳でもないのですがふと電子署名データフォーマットの系譜でもまとめてみるかと言う事で作った1枚の画。う~ん思った以上につまらなかったですねw



実はこちらは画にする必要も無い電子署名の系譜があったりします。それは日本の電子署名標準化に関する系譜です。先日弊社も加盟しているeRAP「電子記録応用基盤フォーラム」成果報告会がありました。eRAPではかつてECOMが行ってきた電子署名標準化の作業を引き継いで来ました。ECOMでは長期署名のJIS化を、eRAPではISO化を達成しています。ところがeRAPはフォーラムとしては今年度を最後に終了して、来年度は研究会としてケースマネージメント等の活動を行う予定です。電子署名標準化の作業は残念ながら継続されない事になりました。と言うことで成果報告会にてセコムの佐藤さんの発表の最後に以下のアナウンスがありました!

「今後の電子署名技術に関する調査研究はJNSA(日本ネットワークセキュリティ協会)の電子署名WG(仮称)で活動予定。近日キックオフミーティング予定。」

弊社もJNSAに4月より加盟して同WG活動に参加予定です。近年また電子署名のお話が増えて来ているように感じています。参加すると勉強にもなりますし新しい技術もいち早く知ることができます。ご興味がありましたら是非ご参加ください!最初は見学からでもOKだと思います。弊社にご連絡頂いても大丈夫です。と言うことで日本の電子署名標準化の系譜は「ECOM→eRAP→JNSA」になります!

さて閑話休題(長い閑話だったなぁw いや正確にはこの後が閑話か(^^;)。せっかく書いた電子署名データフォーマットの系譜について簡単に個人的感想を付けてみましょう。

この図を見て気が付くのは左側にある「TimeStamp/RFC3161」の影響度の大きさです。現在の長期署名はタイムスタンプに依存しているので当たり前ではありますが仕様として「CAdES」「XAdES」「PDF Signature」「PAdES」「ASiC」から参照されています。TimeStampはCMSをベースに時刻を保証する技術ですが電子署名の一種でもありますので改ざんを防ぐこともできます。タイムスタンプに関しては弊社も加盟しているTBF「タイムビジネス協議会」が中心になって利活用を進めています。

図の下の方が新しい長期署名の仕様ですがここで気が付くのは全て元仕様がETSI「欧州電気通信標準化機構」になっている事です。電子署名は現在欧州で活発に標準化や議論および新しい仕様が出てきています。日本もECOM/eRAPと参加してきており結構実績もあり信頼されている関係です。電子署名の仕様を検討して行く上で欧州との連携は欠かせないと言えるでしょう。さてIT系では通常米国が主導して技術や標準化を進めて行くことが多いですが電子署名に関しては意外にそうなっていません。これは米国の「署名」が法的にPKIベースの電子署名を要求していない事も理由の一つだと考えられます。それよりも米国は「認証」を重視して活動しているようにも見受けられます。とは言え近年は、AdobeのAcrobat-X以降、MS-Officeの2010以降に長期署名に対応して来ているのでニーズが無い訳ではと考えています。その意味では電子署名の分野は日本と欧州が米国をリードしている数少ない分野の一つですのでチャンスもあると思います。おっといかんいかんまた話が脱線している(^^;;

最後に4つの長期署名フォーマットに関して簡単にまとめておきましょう。

1)CAdES(CMS Advanced Electronic Signatures)
PKI業界ではお馴染みのASN.1のBER/DERバイナリ形式の長期署名フォーマット。バイナリで小さくできますし、タイムスタンプ等の他にもBER/DER形式のデータは電子署名では必須ですので一番基本になる長期署名フォーマットかもしれません。ただ最近アーカイブタイムスタンプ等で少し仕様が迷走気味なのが気になるところ。単体利用よりも今後は後述するPAdESに埋め込まれて使われる用途の方が多くなるかもしれませんね。JIS化もISO化もされています。

2)XAdES(XML Advanced Electronic Signatures)
XML署名をベースに機能的にはほぼCAdESと相似形の長期署名フォーマット。XMLはパーサも色々ありますし実装が比較的容易な面はありますが、証明書やタイムスタンプ等で結局ASN.1のBER/DERバイナリ形式も扱える必要があります。最近はXMLベースの文書フォーマットであるOOXMLやODF等もあり使われるケースが増えています。仕様的にもv1.4.2で過不足無く安定していると思います。ただ署名無しでタイムスタンプだけの仕様が無いのはちょっと残念。JIS化もISO化もされています。

3)PAdES(PDF Advanced Electronic Signatures)
PDF署名をベースに長期署名用に拡張した長期署名フォーマット。CAdES/XAdESと違う点としては埋め込まれる署名データはPKCS#7/CAdES/XAdESを採用しており、PAdES自体は独自の署名データフォーマットでは無くドキュメントフォーマットと言う点があります。ドキュメントフォーマットですので署名の外観についても利用可能であり利用者から見て分かりやすいと言うメリットもあります。ただ仕様的に見て自由度が高すぎて相互運用性に懸念があります。これは日本独自のプロファイル等をJIS化するような対応が必要と考えられています。ISOとしてはISO32000-2として採用される予定です。タイムスタンプだけの仕様(DocTimestamp)があるのも特長です。

4)ASiC(Associated Signature Containers)
ZIP化されたデータフォーマットであるOCF/ODF等に対応した最も新しい長期署名フォーマット。PAdESと同じく埋め込まれる署名データはCAdES/XAdES/RFC3161を採用しており、ASiC自体は独自の署名データフォーマットでは無くデータフォーマットです。まだ仕様は最終調整中ですが手軽に利用ができそうで期待されています。OCFと言えば電子書籍で期待されているEPUB形式もOCFの一種ですのでうまくするとASiC方式の長期署名がそのまま利用できるかもしれません。ニーズがあるかどうかは分かりませんが(^^;

とりあえず以上書きたかったことまとめたかったことをつらつらと書いてみました。これが私の今年度のeRAP活動の報告みたいなものですねw さて来年度もよろしくお願い致しますm(_ _)m
2013-03-21 13:21:05 - miyachi - [長期署名] -

コメント一覧

村田 真 のコメント

EPUB, OOXML, ODFの標準化に携わっている村田です。たいへん参考になりました。おそらく、これらの標準化にたずざわっている誰一人としてASiCは知らないと思います。

XAdESのスキーマがW3C XML Schemaしかないのは困るのでRELAX NG版を作りました。どういうルートで出そうか考えているところです。情報があればご教示ください。eb2m-mrtアットマークasahi-net.or.jpです。
2014-04-23 13:00:19

miyachi のコメント

あら有名な方からの書き込みが(^^; お名前を以前から存じております。一度お話してみたいと思っていました。後程メールさせて頂きます。

XAdESのスキーマはV1.4.2対応でしょうか?XAdESはV1.4.2でかなり整理されたのでお奨めなのですが。
2014-04-24 11:20:23

コメントを書く

このアイテムは閲覧専用です。コメントの投稿、投票はできません。