2020-07-16

電子署名保証レベル案  [by miyachi]

新型コロナの影響で業務の電子化の推進が加速しています。電子署名もあちこちから注目を集めるようになって来て色々な電子署名サービスも出てきました。PKIと公開鍵暗号を使ったデジタル署名が主流でしたが他の方法もあります。デジタル署名は電子署名の1種ですが他の電子署名もあると言うことですね。昔から電子署名に関わって来た技術者から見ると正直言って現状は玉石混交です。でも電子署名サービスを判断する基準が今はありません。電子認証の世界ではNIST SP 800-63-3で認証保証レベルが規定され、米国以外(日本)でも使われています。と言うことで同じように署名保証レベルを決められないかと考えて見て案が出来ましたので公開します。これはまだ弊社案(ラング・エッジ案)となります。

その前にNIST SP 800-63-3を簡単に振り返ってみます。なお日本語訳がJIPDECで公開されていますので、詳しくはそちらを見てください。認証保証レベルは3つの項目に分かれています。IAL(Identity Assurance Level)、AAL(Authenticator Assurance Level)、FAL(Federation Assurance Level)です。IALが本人確認、AALが認証手段、FALが連携手段に関するレベルと言えます。これに対して電子署名の場合には、署名本人確認レベル、署名技術手段レベル、署名運用監査レベルの3つの保証レベルに分けることを提案します。

署名本人保証レベル:SIAL
Signature Identity Assurance Level
署名者の本人性をどうやって確認したか
署名方法保証レベル:SMAL
Signature Method Assurance Level
電子署名をどのような方法で保証するか
署名運用保証レベル:SPAL
Signature Policy Assurance Level
署名サービスの運用や監査のレベル

色々なレベルが考えられると思いますがまずはこれだけあればかなり電子署名サービスの特長は掴めると考えています。 [続きを読む]
2020-07-16 07:29:08 - miyachi - - [PKI/暗号] -