電子署名とか　２

前回のおさらい

【電子署名法で大事なこと】
　・電子署名＝電磁的記録の真正な成立の推定を与えるもの
　・特定認証業務なるものに認定制度がある

【電子署名とは】
　・コンピュータ、サーバ、スマホなどに記録できる情報が対象
　・その情報を作ったのが電子署名をした人であること
＆その情報について改変が行われていないことを証明するもの
　・ハンコの捺印（＝押した人が文書を作った or 作ってなくても内容にOKを出していたことがわかる）と割印（＝文書が誰かに改ざんされていないことがわかる）の効果がある

【真正な成立とその推定】
　・文書の真正な成立：その文書が作成者の意思に基づき作成されたこと（＝騙されて作ったり、他の誰かが偽造したりしていない）その文書が作成者の意思に基づき作成されたこと（＝騙されて作ったり、他の誰かが偽造したりしていない）で、これが訴訟で争われたときはその文書を証拠として使用したい側に真正性を証明する責任がある。
　・文書の真正な成立の推定：二段の推定＝印鑑証明と同じ印影が文書にあると相手方に証明責任が移る
　・電磁的記録の真正な成立の推定：電子署名法3条に規定

【電子署名のセキュリティ】
　・公開鍵暗号が用いられている
　・「秘密鍵」で閉めて、「公開鍵」で開ける
　・電子証明書が大事

今日は「誰が」「どのようなサービスを提供しているか」をテーマにしていきます。

まず法律上想定されているサービスについて書いてみる。

電子署名法1条　この法律は、電子署名に関し（中略）特定認証業務に関する認定の制度その他必要な事項を定める（略）

特定認証業務とは何か？が最初の疑問として出てきた。これを理解するにはまず「認証業務」とは何か？の理解が必要そう。そこで条文を見てみる。

法2条1項　この法律において「認証業務」とは、自らが行う電子署名についてその業務を利用する者（以下「利用者」という。）その他の者の求めに応じ、当該利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務をいう。

この上なくわかりにくい。。けど、認証業務＝「電子署名ユーザなどの求めに応じて、特定の電子署名で用いられた公開鍵などがそのユーザと関係があることを証明するサービス」という理解でよさそう。
つまり、電子署名はそのドキュメントが「本人の意思によって作成された」ことおよび「内容が改ざんされていないこと」を証明するものだけど、その証明には暗号が正しく働いている必要がある。そこで第三者によって暗号が正しく働いていることの認証が必要で、それをするのがこの認証業務といえる。

電子署名のプロバイダとして電子署名が可能なツールを提供し、そこで暗号化されたものについて公開鍵などを電子証明書などで適切に管理し、ユーザと鍵の関係を常に証明できていれば（証明できければそもそも電子署名プロバイダとして失格だけれども）認証業務を行っているといえそう。世の中に出ているサービスは大体このモデルと思われる。

で、特定認証業務はというと

法2条3項　この法律において「特定認証業務」とは、電子署名のうち、その方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務をいう。

と、「電子署名について行政で定める一定の基準を満たす認証業務」ということらしい。ここでいう主務省令は以下のもの

電子署名及び認証業務に関する法律施行規則
第二条　法第二条第三項の主務省令で定める基準は、電子署名の安全性が次のいずれかの有する困難性に基づくものであることとする。
一　ほぼ同じ大きさの二つの素数の積である二千四十八ビット以上の整数の素因数分解
二　大きさ二千四十八ビット以上の有限体の乗法群における離散対数の計算
三　楕円曲線上の点がなす大きさ二百二十四ビット以上の群における離散対数の計算
四　前三号に掲げるものに相当する困難性を有するものとして主務大臣が認めるもの

素因数分解！なのでRSA暗号の話をしている。2048bit＝10進数で617桁なので、1無量大数の9乗くらい。すごい桁数、この桁数を素因数分解するとか。。SSLとか見ていてもこのRSA-2048が現在推奨されている暗号の強度として間違いがなさそう。

暗号化とは｜GMOグローバルサイン【公式】

楕円曲線上の…とあるのはDSA署名方式とかECDSA署名方式とか言われるもので、電子署名にだけ利用可能な方式のようです。詳細は難しすぎる数学のため割愛。気になる人は以下のサイトを参照してください。

RSA、DSA、ECDSA、電子署名

以上の通り、特定認証業務とは法2条3項にある通り「電子署名の認証業務のうち安全性で行政の求める技術的な基準を上回るもの」になる。つまり電子署名でもRSA-512とRSA-1024のようにちょっと脆弱性がありそうなものを認証する場合は認証業務ではあるけど、特定認証業務には当たらないといことになる。

で、電子認証とはこの認証業務の中で提供される認証のことで、具体的にはその電子署名の「公開鍵」がその署名者に帰属することを証明する電子証明書が対象になる。

つまり電子認証＝電子署名の正しさを証明する電子証明書の提供
という意味になる。

また、冒頭で触れた通り特定認証業務には認定制度があって、2018年11月10日時点では以下の8社・10サービスが認証を受けている。

電子署名及び認証業務に関する法律による認定認証業務一覧（METI/経済産業省）

以下はこれらを用途別に分けたもの

電子入札・電子申請・電子納税に対応

電子申請｜セコムパスポート for G-ID【セコム】

電子入札対応電子証明書発行サービス｜TOiNX.CERT

TDB電子認証サービス TypeA | 帝国データバンク[TDB]

NDN：AOSignサービス（電子入札コアシステム対応の電子認証サービス）｜日本電子認証株式会社

三菱電機インフォメーションネットワーク：DIACERTサービス（電子申請用電子証明書）

トップページ | e-Probatio NTTネオメイトの電子認証サービス

電子公証

iPROVE（電子署名法に基づく認定認証業務）｜サービスのご案内｜株式会社日本電子公証機構

電子認証（用途不明）

CECSIGN 認証サービス

あとは士業向け証明書作成や、e-文書法に対応しているか否か付加価値としてありうる。

いずれにせよすべてが行政向けの電子署名に対応しているサービスで、追加でいくつかが電子契約にも対応している、というラインナップであることがわかる。

これには以下の理由があると思われる。
・認定が任意（法4条）であること
・政府認証基盤（GPKI：Government Public Key Infrastructure）と相互認証可能であるためにはこの認定を受ける必要があること
https://www.gpki.go.jp/cross/cross.pdf
・法3条の推定効を自社が提供する電子署名サービスに及ぼすためにこの認定を受ける必要がないこと

第三条　電磁的記録であって情報を表すために作成されたもの（公務員が職務上作成したものを除く。）は、当該電磁的記録に記録された情報について本人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）が行われているときは、真正に成立したものと推定する。
第四条　特定認証業務を行おうとする者は、主務大臣の認定を受けることができる。

3条のどこにも「認定」の文字がない＆4条は「受けねばならない」ではなく「受けることができる」とある。

以上から、行政向けの電子署名に認証をしたいプロバイダのみが認定を受けるインセンティブがあることが見て取れる。
図にするとこのような感じ

と、対行政のところまで書いたところで今日はおしまい。

次回は民間同士の文書向けサービスとしてどのようなものがあるかまとめてみる。