93
85

More than 1 year has passed since last update.

マイナンバーカードの中身をOpenSCで覗いてみる

Last updated at Posted at 2022-07-03

前提情報・背景・注意事項

  • 自分の頭の整理のためにマイナンバーカードの中身を調べたメモです
  • これを参考にして試してみる場合にはうっかり自分の個人情報を公開しないようにご注意ください。
  • 国から認可された団体以外、他人の公的個人認証の証明書を収集・記録することは制限されています
  • 電子署名と暗号化の仕組みはここでは書きません。
  • 私はMacBook pro masOS BigSur(バージョン11.3)、チップApple M1で試しています
  • PCにICカードリーダーを接続し、マイナンバーカードが読み取り可能な状態となっている必要があります

マイナンバーカード

公的個人認証とは

公的個人認証サービスとは、行政や民間のオンライン申請や届出、ログイン認証の際に、他人による「なりすまし」やデータの改ざんを防ぐために用いられる本人確認の手段です。 マイナンバーカードなどの中のICチップの中に電子証明書が記録されています。
公的個人認証サービス(JPKI)総合ポータルサイト

マイナンバーカードのICチップ

マイナンバーカードのICチップは裏面にあります。
image.png

PCでマイナンバーカードのICチップ内のデータを読み込むときにはカードリーダーを使います。
読み込む際にはカードの向きにご注意を...ICチップがどこにあって、それを読み取る場所がどこなのかを確認してください。販売してるサイトでよく向きがおかしいサイトをよく見かけます笑

image.png

ICチップには接触型・非接触型の2種類のインターフェースがあり、接触型ならISO/IEC7816対応のカードリーダー、非接触型ならSO/IEC14443(NFC TypeB)に対応したカードリーダーでアクセスが可能です。

マイナンバーカードICチップ内のAP構造

マイナンバーカードのICチップには「AP(アプリケーションプログラムの略)」と呼ばれるカード内で駆動するプロセッサーが実行するプログラムがいくつか存在します。AP同士は独立した存在で干渉し合うことはありません。

  • 公的個人認証AP(別名:JPKI-AP)
    • 署名用電子証明書
    • 利用者証明書電子証明書
  • 券面事項確認AP
  • 券面事項入力補助AP
  • 住基AP

image.png
それぞれのAP内のデータにアクセスする際にはマイナンバーカード発行時に本人が設定した暗証番号が必要となります。

OpenSC

OpenSCとは

OpenSCは、スマートカードを扱うためのライブラリとユーティリティやライブラリのセットです。主に暗号操作をサポートするカードに焦点を当て、認証、メール暗号化、デジタル署名などのセキュリティアプリケーションを容易に利用できます。

PKCSとは

こちらのQiita記事がわかりやすいです。

OpenSCインストール

OpenSCのgithubWikiページからダウンロードしてインストールします。
image.png

正常にインストールできたことをバージョン確認コマンドで確認します。

takeda@takedaMacBook ~ % opensc-tool --version
OpenSC-0.22.0-rc1-74-gc902e199, rev: c902e199, commit-time: 2021-08-10 11:09:03 +0200

pkcs15-toolでマイナンバーカードの中身を覗く

pkcs15-toolは証明書や公開鍵などICカード内のデータにアクセスするためのツールのようです。このツールを使って色々中身を覗いてみます。

オブジェクトのリスト確認

$ % pkcs15-tool --dump
Using reader with a card: Alcor Micro AU9560
PKCS#15 Card [JPKI]:
	Version        : 0
	Serial number  : 00000000
	Manufacturer ID: JPKI
	Flags          : 


PIN [User Authentication PIN]
	Object Flags   : [0x12], modifiable
	ID             : 01
	Flags          : [0x12], local, initialized
	Length         : min_len:4, max_len:4, stored_len:0
	Pad char       : 0x00
	Reference      : 1 (0x01)
	Type           : ascii-numeric
	Tries left     : 3

PIN [Digital Signature PIN]
	Object Flags   : [0x12], modifiable
	ID             : 02
	Flags          : [0x12], local, initialized
	Length         : min_len:6, max_len:16, stored_len:0
	Pad char       : 0x00
	Reference      : 2 (0x02)
	Type           : ascii-numeric
	Tries left     : 5

Private RSA Key [User Authentication Key]
	Object Flags   : [0x01], private
	Usage          : [0x04], sign
	Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
	Algo_refs      : 0
	ModLength      : 2048
	Key ref        : 1 (0x01)
	Native         : yes
	Auth ID        : 01
	ID             : 01
	MD:guid        : c5a0a252-9d2d-eb60-fec0-41b4fbd722a2

Private RSA Key [Digital Signature Key]
	Object Flags   : [0x01], private
	Usage          : [0x204], sign, nonRepudiation
	Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
	Algo_refs      : 0
	ModLength      : 2048
	Key ref        : 2 (0x02)
	Native         : yes
	Auth ID        : 02
	ID             : 02
	MD:guid        : e1bc1dae-59f1-16ab-b43f-9dafbb2acc9b

Public RSA Key [User Authentication Public Key]
	Object Flags   : [0x00]
	Usage          : [0x00]
	Access Flags   : [0x02], extract
	Key ref        : 1 (0x01)
	Native         : yes
	Path           : 000a
	ID             : 01

Public RSA Key [Digital Signature Public Key]
	Object Flags   : [0x00]
	Usage          : [0x00]
	Access Flags   : [0x02], extract
	Key ref        : 2 (0x02)
	Native         : yes
	Path           : 0001
	ID             : 02

X.509 Certificate [User Authentication Certificate]
	Object Flags   : [0x00]
	Authority      : no
	Path           : 000a
	ID             : 01
	Encoded serial : 02 04 039A1FBB

X.509 Certificate [Digital Signature Certificate]
	Object Flags   : [0x01], private
	Authority      : no
	Path           : 0001
	ID             : 02

X.509 Certificate [User Authentication Certificate CA]
	Object Flags   : [0x00]
	Authority      : yes
	Path           : 000b
	ID             : 03
	Encoded serial : 02 04 0133C349

X.509 Certificate [Digital Signature Certificate CA]
	Object Flags   : [0x00]
	Authority      : yes
	Path           : 0002
	ID             : 04
	Encoded serial : 02 04 0132C4AB

takeda@takedaMacBook ~ % 

マイナンバーカードには以下のオブジェクトが格納されていることがわかります。

  • PKCS#15 Card [JPKI]:JPKIのカードオブジェクト
  • PIN [User Authentication PIN]:認証用のPIN
  • PIN [Digital Signature PIN]:署名用のPIN
  • Private RSA Key [User Authentication Key]:認証用のRSA秘密鍵
  • Private RSA Key [Digital Signature Key]:署名用のRSA秘密鍵
  • Public RSA Key [User Authentication Public Key]:認証用のRSA公開鍵
  • Public RSA Key [Digital Signature Public Key]:署名用のRSA公開鍵
  • X.509 Certificate [User Authentication Certificate]:認証用のX.509証明書
  • X.509 Certificate [Digital Signature Certificate]:署名用のX.509証明書
  • X.509 Certificate [User Authentication Certificate CA]:認証用の認証局のX.509証明書
  • X.509 Certificate [Digital Signature Certificate CA]:署名用の認証局のX.509証明書

暗証番号がブロックされるまでの残り回数確認

マイナンバーカードは証明書利用のための暗証番号の入力を誤った場合にはロックされてしまう仕組みになっています。ロックされると役所に行かないと再設定できないものまであり、検証する際にドキドキしながら入力することになります。
残りあと何回間違えても大丈夫なのか知りたいときにはこのコマンドで確認することができます。

takeda@takedaMacBook ~ % pkcs15-tool --list-pins
Using reader with a card: Alcor Micro AU9560
PIN [User Authentication PIN]
	Object Flags   : [0x12], modifiable
	ID             : 01
	Flags          : [0x12], local, initialized
	Length         : min_len:4, max_len:4, stored_len:0
	Pad char       : 0x00
	Reference      : 1 (0x01)
	Type           : ascii-numeric
	Tries left     : 3

PIN [Digital Signature PIN]
	Object Flags   : [0x12], modifiable
	ID             : 02
	Flags          : [0x12], local, initialized
	Length         : min_len:6, max_len:16, stored_len:0
	Pad char       : 0x00
	Reference      : 2 (0x02)
	Type           : ascii-numeric
	Tries left     : 5

takeda@takedaMacBook ~ % 

数字4桁の利用者用電子証明書のPINは3回まで、英数字6〜16桁の署名用電子証明書のPINは5回までになってることがわかります。

利用者用電子証明書の表示

オブジェクト確認コマンドの結果のうち、利用者用電子証明書の中身を確認するコマンドです。オブジェクト確認コマンドの結果から、利用者用電子証明書の証明書IDは01で登録されています。

X.509 Certificate [User Authentication Certificate]
Object Flags : [0x00]
Authority : no
Path : 000a
ID : 01
Encoded serial : 02 04 039A1FBB

takeda@takedaMacBook ~ % pkcs15-tool --read-certificate 1 > user-auth.pem
Using reader with a card: Alcor Micro AU9560
takeda@takedaMacBook ~ % openssl x509 -text -noout -in user-auth.pem     
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: XXXXXX (XXXXXXX)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = JP, O = JPKI, OU = JPKI for user authentication, OU = Japan Agency for Local Authority Information Systems
        Validity
            Not Before: Jan 17 06:48:37 2022 GMT
            Not After : Jan  1 14:59:59 2027 GMT
        Subject: C = JP, CN = XXXXXXXXXXXX
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    XX:XX:XX:XX:〜
                Exponent: XXXXX (XXXXXXX)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Extended Key Usage: 
                TLS Web Client Authentication
            X509v3 Certificate Policies: critical
                Policy: 1.2.392.200149.8.5.1.0.30
                  CPS: http://www.jpki.go.jp/cps.html
            X509v3 Issuer Alternative Name: 
                DirName:/C=JP/O=\xE5\x85\xAC\xE7\x9A\x84\xE5\x80\x8B\xE4\xBA\xBA\xE8\xAA\x8D\xE8\xA8\xBC\xE3\x82\xB5\xE3\x83\xBC\xE3\x83\x93\xE3\x82\xB9
            X509v3 CRL Distribution Points: 
                Full Name:
                  DirName:C = JP, O = JPKI, OU = JPKI for user authentication, OU = CRL Distribution Points, OU = Tokyo-to, CN = Chiyoda-ku CRLDP
            Authority Information Access: 
                OCSP - URI:http://ocspauthnorm.jpki.go.jp
            X509v3 Authority Key Identifier: 
                keyid:XX:XX:~
                DirName:/C=JP/O=JPKI/OU=JPKI for user authentication/OU=Japan Agency for Local Authority Information Systems
                serial:XX:XX
            X509v3 Subject Key Identifier: 
                XX:XX:~~
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        XX:XX:XX:~~~

2コマンドで書きましたが、パイプでつなげて1コマンドで表示させてもOKです。その場合以下のコマンドになります。

pkcs15-tool --read-certificate 1 | openssl x509 -text -noout

Distribution Points, OU = Tokyo-to, CN = Chiyoda-ku CRLDP

ということから、各市区町村が証明書の失効情報を管理しているということがわかります。
(ちなみにあえてchiyoda-kuに変換して書いてるだけで私東京都千代田区に住んでるわけじゃないです)

署名用電子証明書の表示

オブジェクト確認コマンドの結果から、署名用電子証明書の証明書IDは02で登録されていました。

X.509 Certificate [Digital Signature Certificate]
Object Flags : [0x01], private
Authority : no
Path : 0001
ID : 02

この証明書は6〜12桁のPINで保護されており以下のコマンド投入後にPINを入力すると表示されます。

takeda@takedaMacBook ~ % pkcs15-tool --read-certificate 2 --verify-pin --auth-id 2
Using reader with a card: Alcor Micro AU9560
Please enter PIN [Digital Signature PIN]: 
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXX~
-----END CERTIFICATE-----
takeda@takedaMacBook ~ % 

この結果を user-signature.pem などの名前でpemファイルに直接貼り付けて openssl コマンドで出力すると基本4情報含む署名用電子証明書の中身が閲覧できました。

マイナンバーカードの中身はJ-LISが提供しているJPKI利用者ソフトでも閲覧が可能ですが、このようにコマンドで閲覧することでAP構成やファイル形式などを意識することができるので理解が深まりました。
pkcs15-tool以外にも色々ユーティリティやモジュールがありその組み合わせで以下のようなこともできそうです。
また時間があればこれらを試した内容を整理して書こうと思います。

  • 署名用電子証明書の秘密鍵で暗号化し、公開鍵で復号化して署名検証する
  • 利用者用電子証明書の公開鍵を登録したリモートホストにSSHログイン
  • macOSにマイナンバーカードの利用者用電子証明書でログイン
  • PDFファイルに電子署名をする

参考になったサイト

OpenSC
総務省:公的個人認証サービスによる電子証明書
総務省:マイナンバーカードを活用したオンライン取引等の可能性について
総務省:民間事業者におけるマイナンバーカードの利活用
RSA暗号の全体像

93
85
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
93
85