板に戻る 全部 本家 最新10 1-

個人認証システムXidを参考に @00090

1masayan_222 2020/10/09 21:07 ID:7b5
行政デジタル化においてエストニアに学ぶことは多い。一つの例として、個人認証システムはXidを参考にしてはどうか。
2石川浩二 2020/10/24 15:38 ID:a83
賛成
felica付のスマホにしか対応していないところが弱点ですが、はじめの一歩として期待したいです。
3ほまる 2020/10/25 16:05 ID:9ac
エストニアに学ぶのは同意ですが、それならエストニアで使われているMobile-IDやSmart-ID、X-Road等に学ぶべきであって、xIDがエストニアで使われているわけではないようです。(エストニアで生まれた、と言っているだけ)
www.jeeadis.jp/jeeadis-blog/9108878
> なお、日本でサービスを提供しているblockhive(ブロックハイブ)社の電子契約サービス「e-sign」やデジタル身分証アプリ「xID(クロスID)」は、エストニアのスマートIDとは全く関係がありません。
>
> 「e-sign」や「xID」は、エストニアの電子政府における利用実績は無く、eIDAS規則による適格電子署名等の認定を得たものではないことを理解した上で、ご利用ください。
4ほまる 2020/10/25 16:07 ID:9ac
ちなみに個人的にはxIDに違法性がないか懸念しています。

■根拠
・xIDのFAQに「なぜマイナンバーを入力する必要があるんですか?」とあるが、番号法第15条や第19条により、規定された事務以外でマイナンバーの提供を求めてはならないはず。
・上記FAQの回答として「マイナンバーをもとに一意のIDを生成するために、マイナンバーをご入力いただいています。非可逆な形で生成していますので、IDをものにマイナンバーを検出することはできません。」とあるが、元が12桁の数字列(チェックデジット除くと11桁)とわかっているので、非可逆であっても総当たり攻撃で簡単にもとに戻すことができる(対応表を事前に作っておけばミリ秒で戻せる)。

あとは個人認証や署名にかかるセキュリティを一企業に任せることに対する不安もあります。自治体が採用に動いているようなので尚更心配。マイナンバーカードの代わりとして使えるものではないはずなのですが。
5石川浩二 2020/10/25 17:03 ID:a83
賛成
>>3 エストニアの技術等をそのまま利用したり、そこから学んだもの(xIDも知見はあると思われますが、 xid.inc/about )を使うのでも、もちろん良いと思います。

というか、なぜ、そういうサービスが日本でさっさとはじまらないのかを考えるよい機会でしょう。
6石川浩二 2020/10/25 17:29 ID:a83
賛成
>>4 IDをマイナンバー「だけ」で生成していない可能性が考えられますね。

x-id.zendesk.com/..0%E3%81%95%E3%81%84-
7ほまる 2020/10/25 20:14 ID:9ac
>>5 >>6
マイナンバーに乱数など別の情報も追加してから非可逆変換してIDにするなら確かに戻すのは難しそうですが、詳細な仕様は不明なのでわかりませんね。でもそうなるとそもそもUUID使えばいいのではないかと思いますので、マイナンバーを入力させる意味はよくわかりません。
本物のマイナンバーカードで認証・署名するときも使っているのは証明書とカード内の秘密鍵であってマイナンバーそのものは使っていないはずなので、何のために入力させているのか…。

xIDの是非はともかく、日本が学ぶならエストニアで使われている実績があるものを、セキュリティ仕様やユーザエクスペリエンス、サービスデザインの観点で学ぶのが良いと思います。

  投票
本家に投稿する場合はここから