#はじめに
マイナンバーカードの検証の話です。
#2からの続きです。
#目次
1.署名用電子証明書
1-1.署名用証明書の取得
1-2.署名用証明書から公開鍵を取り出す
1-3.署名
1-4.検証
2.Library JPKI Reader
2-1.とりあえず動かしてみる
2-2.ライブラリ解説
3.署名用証明書の中の個人情報について
#1.署名用電子証明書
#2の認証用証明書のときとほぼ同じですが、
- APDUでSELECT FILEする際のファイル識別子(00-1Aなどの2byte)が違う
- 署名用証明書にアクセスするためにPINが必要
- 署名用のPINは認証用のPINとは違うので注意
ここからは極力端折っています。
####1-1.署名用証明書の取得
- SELECT FILE 公的個人認証AP ⇒ #2と同じ
- SELECT FILE **[署名用]**PIN
- APDU =
0x00, 0xA4, 0x02, 0x0C, 0x02, [0x00, 0x1B]
- APDU =
- VERIFY 署名用PIN ⇒ #2と同じ
- SELECT FILE **[署名用]**証明書
- APDU =
0x00, 0xA4, 0x02, 0x0C, 0x02, [0x00, 0x01]
- APDU =
- READ BINARY ⇒ #2と同じ
####1-2.署名用証明書から公開鍵を取り出す
#2と同じです
####1-3.署名
- SELECT FILE 公的個人認証AP ⇒ #2と同じ
- SELECT FILE **[署名用]**PIN
- APDU =
0x00, 0xA4, 0x02, 0x0C, 0x02, [0x00, 0x1B]
- APDU =
- VERIFY 署名用PIN ⇒ #2と同じ
- SELECT FILE **[署名用]**鍵
- APDU =
0x00, 0xA4, 0x02, 0x0C, 0x02, [0x00, 0x1A]
- APDU =
- COMPUTE DIGITAL SIGNATURE ⇒ #2と同じ
####1-4.検証
#2と同じです
#2.Library JPKI Reader
ここまでの内容をDLLにしたので紹介します。
あんまりテストしていません。
PIN周りのところにバグがあってカードがロックされても自己責任でお願いします。
##2-1.とりあえず動かしてみる
- お手元にマイナンバーカードをご用ください
- Win10パソコンにパソリ-PaSoRi RC-S380を接続してICカードが読めるようにしてください
- ココからバイナリ一式をダウンロードします。
-
testUI01.exeを実行します。 - パソリにICカードを乗せて「Check JPKI」をクリックして「Success」って出たらOKです。
###機能一覧
| ボタン | 説明 |
|---|---|
| Get UID | カードのUIDを取得して表示します。マイナンバーカードのUIDはGETする度変わるのであんまり意味はないです。 |
| Check JPKI | カードがマイナンバーカードかどうかチェックします |
| Get Auth Certificate | 認証用証明書をファイルに保存します。#2でやったことです。 |
| Get Auth PublicKey | 認証用公開鍵をファイルに保存します。#2でやったことです。 |
| Get Auth CA | 認証用CAをファイルに保存します。 |
| Get Auth PIN Retry Count | 認証用PINのリトライカウントを確認します。#2でやったことです。 |
| Signature using Auth Private Key | 認証用鍵で電子署名を作成してファイルに保存します。#2でやったことです。 |
| Get Sig Certificate | 署名用証明書をファイルに保存します。#3でやったことです。 |
| Get Sig Public Key | 署名用公開鍵をファイルに保存します。#3でやったことです。 |
| Get Sig CA | 署名用CAをファイルに保存します。 |
| Get Sig PIN Retry Count | 署名用PINのリトライカウントを確認します。 |
| Signature using Sig Private Key | 署名用鍵で電子署名を作成してファイルに保存します。 |
| Verify | 署名を検証します。Public Key File、Target File、Signature Fileを指定してから実行してください。#2でやったことです。 |
##2-2.ライブラリ解説
ソースは以下の場所です。
https://github.com/gebogebogebo/JPKIReader
###ライブラリ構成
- JPKIReader.dll(本体)
- NLog.dll(logger)
###JPKIReader.dllの使い方
簡単です。
// 認証用公開鍵GETする
// 戻り値=DER形式の公開鍵
byte[] authPubKey = JPKIReaderLib.JPKIReader.GetAuthenticationPublicKey();
// ファイルの電子署名を作成する
// 第1引数=PIN
// 第2引数=電子署名する対象のファイル(パス&ファイル)
// 戻り値=電子署名
byte[] sig = JPKIReaderLib.JPKIReader.SignatureUsingAuthenticationPrivateKey("9999", file);
// 電子署名を検証する
// 第1引数=DER形式の公開鍵
// 第2引数=電子署名
// 第3引数=電子署名する対象のファイル(パス&ファイル)
// 戻り値=true/false
bool isVerifySuccess = JPKIReaderLib.Verify.VerifySignature(authPubKey , sig , file)
詳細はサンプルプログラムを参照のこと
#3.署名用証明書の中の個人情報について(追記)
署名用証明書の中には個人情報が含まれています。
含まれている個人情報は、氏名、生年月日、住所などで、マイナンバーは含まれていません。
マイナンバーはカード裏側の2次元バーコードをスキャンすると簡単に読み取ることができます。
以下の方法で確認します。
- Get Sig Certificate で署名用証明書をエクスポートする。
- エクスポートされたファイル「Signature_Certificate.der」をダブルクリックすると証明書ビューアが起動する。
- 詳細タブから「サブジェクト代替名」を表示する。
- OhterNameがいくつか並んでいるのHEXデータと思われる部分が個人情報(UTF-8 HEX 表示)。
- ここで変換表示。
- 「16進数(HEX)形式のフレーズを入力」の欄に入力して「デコード」ボタンで変換して確認する。
#おつかれさまでした
2018-2019の年末年始は休みが長かったですね。
ヒマだったのでずっとやろうと思っていたマイナンバーカードの検証をすることができました。
先人の取り組みで大変参考になるものが多く、行き詰まることもありませんでした。
マイナンバーカードは認証とか署名のデバイスとしてはとてもいいものだと思うのですが、額面に個人情報表記しすぎなのとか公式な仕様が見当たらない(オープンにしてない?なんで?)などなんか残念です。
今の時代これを持ち歩く人はいないんじゃないかな。