フィンガープリントについて

悪意の第三者により偽造された自己署名証明書を組み込まれないようにするための確認方法を説明します。

自己署名証明書のフィンガープリントの利用者への通知の必要性について

自己署名証明書の偽造の可能性

知事あるいはブリッジ認証局の自己署名証明書は、自らの秘密鍵に対応する公開鍵に対して電子署名を行った電子証明書であるため、利用者の電子証明書のように、電子証明書の電子署名を検証することによって発行者の真偽を確認することができません。つまり、悪意の第三者が自己署名証明書を偽造した場合は、システム的な仕組みではそれを検知することができません。

公的個人認証サービスの利用者の公開鍵
ブリッジ認証局及び愛知県認証局が利用者の公開鍵であることを証明
ブリッジ認証局及び愛知県認証局の自己署名証明書の公開鍵
悪意の第三者が自己署名証明書を偽造した場合は、システム的な仕組みではそれを検知できない。

自己署名証明書の偽造の可能性

そのため、利用者が自己署名証明書の真偽を確認するための情報として、認証局からホームページや紙面等によって自己署名証明書のフィンガープリントを利用者に通知する必要があります。このようにすることで、利用者は自身の所有する自己署名証明書のフィンガープリントと別途認証局から通知されたフィンガープリントの値を目視で照合し、一致する場合にその自己署名証明書が正しいものであると確認することができます。

自己署名証明書のフィンガープリントの周知方法

フィンガープリントとハッシュ関数

フィンガープリントはハッシュ関数を使用して自己署名証明書そのもののハッシュ値を計算することで得られます。ハッシュ関数は元の自己署名証明書の値が僅かでも異なれば得られるハッシュ値が大きく異なるという性質を持っており、意図的に特定のハッシュ値を持った偽の自己署名証明書を生成することは極めて困難です。そのため、自己署名証明書の真偽を確認するための情報として利用者にフィンガープリントを通知することは有用です。

→(A)と(B)は異なる値になるので自己署名証明書の真偽が確認可能

公的個人認証サービスで利用する自己署名証明書の配布方法

公的個人認証サービスにおいては、利用者に配布される自己署名証明書には、都道府県知事の自己署名証明書と公的個人認証サービスブリッジ認証局(個人認証BCA)の自己署名証明書があります。都道府県知事の自己署名証明書は、電子証明書発行の時に利用者のICカード(住民基本台帳カード)に電子証明書と共に書き込まれ、市町村職員から利用者本人に直接手渡されます。また、公的個人認証サービスブリッジ認証局の自己署名証明書は、電子証明書交付時に市町村職員から利用者に手渡される利用者クライアントソフトのCD-ROMに格納されています。

公的個人認証サービスにおける自己署名証明書の用途

都道府県知事の自己署名証明書は、利用者が官職証明書検証サービスを利用する際に検証結果に付与された都道府県知事の電子署名を検証する場合等に使用されます。また、個人認証BCAの自己署名証明書は、利用者が公的個人認証サービスポータルサイトを参照するときにWebサーバの正当性を確認する場合等に使用されます。(個人認証BCAの自己署名証明書により正当性確認が行われる証明書は、情報提供サーバSSL証明書、官職証明書検証サーバSSL証明書、オンライン窓口サーバSSL証明書、オンライン窓口サーバコードサイニング証明書、利用者クライアントソフトコードサイニング証明書です。)

公的個人認証サービスの自己署名証明書のフィンガープリントを確認する方法

*フィンガープリントの確認については、利用者クライアントソフトの取扱い説明書等にも適宜記載されています。

(1)ICカードに格納された都道府県知事の自己署名証明書

利用者クライアントソフトに添付された証明書表示ツールによりICカードに格納された都道府県知事の自己署名証明書を表示することで、フィンガープリントを確認できます。(利用者クライアントソフトをICカードリーダライタが接続されたパソコンにインストールする必要があります。)

ブラウザでの証明書表示画面

(2)公的個人認証サービスブリッジ認証局の自己署名証明書

利用者クライアントソフトをインストールする時に、公的個人認証サービスブリッジ認証局の自己署名証明書のWindowsへのインストールも合わせて行われますが、その時にWindowsから表示される下記のようなフィンガープリントの確認画面で、フィンガープリント(拇印)の確認が求められます。(注: Windowsではフィンガープリントが拇印と表記されます。)

ルート証明書追加画面