暗号クレデンシャルの標準

暗号クレデンシャルに関連した標準は非常に多く存在する。以下のような分 類が考えられる。標準化に関連する団体も多岐にわたり、その関係がわかりづ らい。それぞれの標準化団体は、それぞれ視点で標準化作業を行っている。以 下にその分類を示す。

(1) ハードウェアトークンなどの暗号クレデシャルの格納媒体との物理的 I/F

接触型ICカードの規格であるISO/IEC7816[29] [30] [31] [32] [33] [34] [35]

[36] [37] [38] [39] [40] [41] が代表的な仕様であるが、色々なハードウェアト ークンが出現する中、それぞれ異なった物理的I/Fを持っている。

(2) ハードウェアトークンなどの暗号クレデシャルの格納媒体との論理的 I/F

接触型ICカード以外の、新しいハーウェアトークンでも、7816-4、8[33] [34]

[41] といった仕様を継承している場合が多い。

(3) 暗号クレデンシャルをアクセスするAPI

色々なレベルの暗号クレデンシャルのアクセスを仮想化したAPIが存在す る。色々な暗号クレデンシャルの方針が出現する中、これらの暗号クレデンシ ャルを意識することなく使用できるAPIは重要な役割を果たす。

(4) 高水準暗号クレデンシャルAPI

PKCS#11[24] 、Cryptographic API[25] などが汎用的な暗号クレデンシャ ルのI/Fを扱うAPIであるのに対して、目的を絞った高水準のAPIがある。

(5) 暗号クレデンシャルを交換するデータフォーマット

暗号クレデンシャル（証明書や鍵）をセキュアに配送するためのデータフォ ーマットの標準がある。

(6) クレデンシャルの暗号化

暗号クレデンシャルをハードディスク上に格納する場合の暗号化の標準が ある。

(7) クレデンシャルフォーマット

暗号クレデンシャルを扱うアプリケーションは、ハードウェアトークンに暗 号クレデンシャルを格納する場合、そのファイルレイアウトを知る必要がある。

この暗号クレデンシャルのファイルフォーマットの標準化がある。

(8) 暗号クレデンシャルとのローミングプロトコルなど

暗号クレデンシャルをローミングサーバーに置く場合、署名者の環境へロー ミングサーバーから暗号クレデンシャルを取得するセキュアなプロトコルが必 要になる。

(9) セキュリティ評価・認定

クレデンシャルを扱うハードウェアやソフトウェアは、その性格から高いセ キュリティが要求される。そのためにセキュリティ評価や認定のフレームワー クが必要になる。

(10) 暗号クレデンシャルを中心としたフレームワーク

特定のアプリケーションから独立した暗号クレデンシャルを中心としたフレ ームワークがある。

図 3-6、図 3-7に暗号クレデンシャル関係の標準の関係を、標準の一覧を表 3-5に示す

ハードウェア トークンなど

ユーザ端末（ＰＣなど）

ハードウェアトークン ドライバ

セキュリティアプリケーション アプリケーション

ヒューマン インターフェース

ハードウェアトー クン内の クレデンシャル フォーマット ハードウェア トークンはア リスが保持 する。

ドライバレベルAP I P KC S #11,  MS   C ryptoAP I

高水準AP I BS Iなど

7816 P KC S #15 など

図  3‑ 6  暗号クレデンシャルに関する標準の関係( 1)  

ユーザ端末（ＰＣなど）

アプリケーション

暗号 クレデンシャル

暗号クレデンシャル P KC S #12 パスワードによる クレデンシャルの 暗号化

P KC S #5 アリスのクレデンシャ

ルがP C などのユーザ 端末に置かれる場合。

パスワード

図  3‑ 7  暗号クレデンシャルに関する標準の関係( 2)  

表  3‑ 5    暗号クレデンシャルに関連した標準  標 準 カ テ ゴ

リ

標準 標準の概要

物理的I/F ISO/IEC7816[29] [30] [31]

[32]

ISO/IEC10536 [83] [84] [85]

ISO/IEC14443[86] [87] [88]

[89]

ISO/IEC15693[90] [91] [92]

色 々 な ハ ー ド ウ ェ ア ト ー ク ン が 出現する中、ハードウェアトーク ンとのI/Fの種類も増えている。

論理的I/F カ ー ド エ ッ ジI/F

ISO/IEC7816-4[33] [34]

ISO/IEC7816-8[41]

接触型の IC カードの仕様である 7816 のデータフォーマットは、

接触型 IC カード以外でも広く使 用されている。

API PKCS#11[24]

Microsoft Cryptography API[25]

Java JCE[21]

多 く の ア プ リ ケ ー シ ョ ン は 、 PKCS#11、Cryptography APIな どといった API を介して暗号ク レデンシャルをアクセスする。代 表 的 な も の に 、PKCS#11、MS Cryptography APIがある。

高水準 API GSC-IS BSI[101]

GSSAPI ク レ デ ン シ

ャル

交 換 フ ォ ー マット

PKCS#12[19] 認 証 局 が 証 明 書 ユ ー ザ ー の 鍵 生 成などを行う場合において IC カ ードで

ク レ デ ン シ ャルの 暗号化

PKCS#5(RFC2898)[20] パスワードでの暗号化

暗号

ク レ デ ン シ ャル

フ ォ ー マ ッ ト

PKCS#15[18]

ISO/IEC7816-15(審議中)

ハ ー ド ウ ェ ア ト ー ク ン の 中 の フ ォーマットの標準

ローミング プロトコル

RFC3157など[22] [23] RFC3157 は暗号クレデンシャル に 対 す る ロ ー ミ ン グ の 要 件 の Information RFCであり、プロト コル自体ではない。

セ キ ュ リ テ ィ

評価･認定

FIPS140[94] [95]

ISO/IEC15408[96] [97] [98]

SSCD[99] [100]

Federal Information Processing Standards

SSCD(Secure Signature Creation Device)

フ レ ー ム ワ ーク

GSC-IS[101]

OSCIE [102]

GSC-IS(Government Smart Card Interoperability Specification)

OSCIE(Open Smart Card Infrastructure for Europe)