PKCS#11でS/MIME

　こんにちは。
　私はGPKIのブリッジ認証局と相互認証を行っている民間認証局
http://www.gpki.go.jp/cas/ee.html
　の電子証明書を収めたICカードを所有しております。
　秘密鍵がICカードからエクスポートできないようにされたPKCS#11という形式にな
っているみたいなのですが、同じPKCS#11採用の住民基本台帳カードに向けて発行さ
れた証明書でS/MIMEメールが送れるという製品があるらしい・・と聞いて我が鶴亀
は？と思い試してみました。

　住基ネットカードのようなものを使用して電子署名するのはそもそも無理なのでし
ょうか。

・ICカードリーダーは日立のHX-520UJ.Jを使用しています
http://www.hitachi.co.jp/Prod/comp/app/ic/

・ICカードマネージャSecureWare/ICCmgrというもので利用者パスワードの変更等行
っています（NEC製）
http://www.sw.nec.co.jp/middle/SecureWare/icc/

[ △ ]

RE:22347 PKCS#11でS/MIME

No.22348

秀まるお2 さん　05/03/31 22:33

　鶴亀メールは、CryptAPIを使っていますけど…。Outlook ExpressでS/MIME暗
号化/電子署名出来るなら鶴亀メールでも出来る可能性が高いです。

　Internet Explorerでの「ツール・インターネットオプション...」の「コンテ
ンツ」ページの「証明書...」の中から、そのICカード中の証明書を見ることが
出来るのでしょうか。たぶんそこで証明書が見えないようならOutlook Express
からも使えないと思いますけど…。

　その辺どうなっているか教えて欲しいです。例えば「個人」とか「ほかの人」
とかとは別に何か証明書ストアがあって、そこに出てくるとかって仕組みなら、
その別の証明書ストアを見るように鶴亀メールを改良することで対応できると思
いますけど。

[ △ ]

RE:22348 PKCS#11でS/MIME

No.22350

nari さん　05/03/31 23:43

>Outlook ExpressでS/MIME暗号化/電子署名出来るなら鶴亀メールでも出来る可能性
>が高いです。
　OEではできません。OEはPKCS#11方式の署名に対応していないということなんだと
思うのですが。FirefoxやThunderbirdではできるみたいです。

>　Internet Explorerでの「ツール・インターネットオプション...」の「コンテ
>ンツ」ページの「証明書...」の中から、そのICカード中の証明書を見ることが
>出来るのでしょうか。

　見えますがPKCS#11というのは秘密鍵がICカードから取り出せないので（つまり公
開鍵情報部分しかストアされていない）電子署名するときはICカードリーダーにカー
ドを挿して署名するようになっています。
#私の場合は国にインターネット経由で申請書を出す際にカード
#を使って電子署名しています。

　ああ、政府の推進してるe-japan構想で普及させようとしてる電子証明書ってメー
ルでは使えないんだな・・と思っていたんですが今日WEBでWinbifというメールソフ
トでできるというのをみたもので。

http://www.sgoma.org/faq_secdevice.html

　ここに書かれている「PKCS#11ドライバファイル」というものでICカードの中の秘
密鍵を読んでこなくてはならないようです。

　OEの電子署名はPKCS#12形式とかいうもので、PC内に格納されている証明書のなか
の秘密鍵を読み込んで署名してくれるということと思うのですが、PKCS#11形式の証
明書には秘密鍵が無いからメールソフトがPCにつながれたICカードリーダーに挿され
たカードから秘密鍵を読んでくる・・と理解しているのですが。

******補足です******
　公的（半公的含む）なICカード方式の電子証明書は運用規約の中に証明書を使用する
用途が限定で列挙されています。だから「目的」の中に電子メールの署名というものが
書かれていなければメールの署名に使うのは規約違反になります。住基ネットカード
も運用基準の中に用途として「メールの署名」は含まれていないんじゃないかなと思
うのですが（未確認）。でもWinbifは対応させてるみたいなんで技術的にはできるん
かいなと。

　

[ △ ]

RE:22350 PKCS#11でS/MIME

No.22351

秀まるお2 さん　05/04/01 00:21

　WinbiffというかS/Gomaは、CryptAPIじゃなくて、Netscape等と同じライブラ
リ（OpenSSL関係のやつかな？）を使ってたと思います。

　鶴亀メールはCryptAPIというか、いわゆるマイクロソフトさんが提供している
ライブラリおよびWindows標準の証明書ストアを使ってまして…。Outlook
Expressで現状ダメなら鶴亀もダメなんだと思います。ついでに言うと、 Becky!
さんも鶴亀と同じライブラリを使ってると思います。

　現段階ではその程度のことしか言えません。なんせそのICカード関係のソフト
のことが分かりませんので…。

　S/GomaのWebページを見ると、ICカード対応うんぬんと書いてあるようでして、
やはりメールソフトとしてそれなりに対応が必要なんでしょうかね。

　また今度調べたい所ですが…。現物が無いのでgoogleで検索する程度しか出来
ないかもしれません。

　（明日から愛知万博に行きますのでコメント遅れます）

[ △ ]

RE:22351 PKCS#11でS/MIME

No.22352

nari さん　05/04/01 00:43

>ついでに言うと、 Becky!さんも鶴亀と同じライブラリを使ってると思います。
　今日ベッキーユーザと私(鶴亀）でベリサインのデジタルIDを使ったS/MIMEメール
のやり取り（実験？）をしました。
　OEじゃないとS/MIMEってだめなんかと思ってましたが鶴亀での使用が
容易にできることがわかってうれしかったです。

>やはりメールソフトとしてそれなりに対応が必要なんでしょうかね。
　いや現状はできなくても良いのではないでしょうか、鶴亀のようにベリサインの安
いデジタルIDとPGPにしっかり対応してくれていれば十分と思います。　
　なんていうか現状メールに関してPKIが浸透してくることって案外先になるような
気がします。携帯がデジタルに移行したようにインフラそのものが勝手に進化してく
れるならいざしらず、メールの暗号化・署名って自分だけがその気になっててもしょ
うがないですもんね。

>　また今度調べたい所ですが…。現物が無いのでgoogleで検索する程度しか出来な
>いかもしれません。

　公的個人認証カードがメールの署名に使えるということ自体は先を
みれば理想的なことのようにも思えます。
　もしそちらの業務に先々組み込む必要性があるなら、ご自身でICカード取得するの
も一考かもしれません。
　取得自体は簡単ですよ。市役所に行って「住基カードに電子証明書
いれて」というだけですから。
　このICカードの証明書が数ある電子証明書の中でも一番安いと思うんで。
#税金かかってるわけだからあたりまえか

　私自身は「もしかしたらできるのか？」と思っただけですのでお返事いただけて恐
縮しています。
>　（明日から愛知万博に行きますのでコメント遅れます）
　私の親も5月末に行く予定です。なんかあんまり盛り上がってないですよね・・。
　楽しめると良いですね。

[ △ ]

RE:22352 PKCS#11でS/MIME

No.22366

秀まるお2 さん　05/04/03 20:50

　もしかすると、もう少し待てば、その、Becky!やOutlook Expressでも電子署
名できるようなソフトが出るのかもしれなくて、そうすると自然と鶴亀メールで
も対応されることになるのかもしれません。

　とりあえず今の段階では僕としては保留させていただきます。

[ △ ]