第2セッションですが、一番興味深かったOlivier Delos ( Sealed)さんの「トラストリスト:何?-現在の状況、イニシアチブ、次のステップと課題」(Trusted Lists:
What’s up? Current situation & initiatives Next steps and challenges )です
eIDAS規則は、ピラミットをなしています。
この図は、適格トラストサービスに関して、EUトラストマークを頂点に、トラストマーク、監督体制、適格トラストサービスプロバイダ、適格トラストサービスに関する規定、それらを支えるベストプラクティス、標準がピラミッド構造をなしているのを物語っています。
トラストマークを直接にささえているのは、トラストリストです。
トラストリストは、適格トラストサービス(提供者)に対して、基本的な効果を有しています。
トラストリストの手続と様式は、共同体 実装決定(CID)2015/1505によって特定されています。この実装決定は、サービス指令によって、設立されたトラストリストとの継続性を確保し、適格事業者の法的確実性をたしかにするものです。また、適格電子署名・適格電子シールの有効性確認をすることで、クロスボーダーの認証を促進しようとするものです。
トラストリストは、加盟国が自動処理に適するようになさなければならない/適格事業者の情報を含まなければならない(強制的)、可読的な形で提供する/適格ではない事業者の情報を含むことができる(任意的)という双方の性格を有します。
上記実装決定(CID)2015/1505は、ETSIのTS 119 612 v2.1.1に基づいています。構成としては、トラストリストスキームおよび運営者、EC LOTL(トラストリストのリスト)へのリンク、適格事業者・適格事業のリストから成り立っています。
共同体トラストリストのリストは、加盟国のトラストリストの情報を含んだXMLのファイルであって署名/シールがされています。詳細な情報は、EUの公式がジャーナルで公表されています。ピボットリストのリストがあり、機械可読な証明の変更であって、その特別なインスタンスということになります。
また、EUトラストマークは、クリックすることによって、トラストリストをみる(Trusted List Browser)ことができます。
TLSO(Trusted List Scheme Operator)コミュニティがあります。そこでは、トラストリスト管理ツール、同ブラウサ、加盟国からの通知、サービスデスクなどが提供されています。
これをみることで、各国においてどのような適格トラストプロバイダーが、どう登録されているかがわかります。登録されている数をみてみると以下のようになります。
適格事業者数は、以下のとおり。
|
適格電子署名認証事業者 |
適格電子シール認証事業者 |
適格ウエブサイト認証事業者 |
|
|
事業者数 |
143 |
83 |
35 |
|
国数 |
27国 |
22国 |
16国 |
|
増減事業者 |
-8 |
81 |
35 |
|
国数 |
-2 |
20 |
16 |
|
適格電子署名検証事業者 |
適格電子シール検証事業者 |
|
|
事業者数 |
9 |
9 |
|
国数 |
8国 |
8国 |
|
増減事業者 |
7 |
7 |
|
国数 |
6国 |
6国 |
|
適格タイムスタンプ事業者 |
適格電子配達内容証明事業者 |
|
|
事業者数 |
85 |
5 |
|
国数 |
21 |
4 |
|
増減事業者 |
63 |
3 |
|
国数 |
14 |
3 |
なお、増減といっているのは、eIDAS実施6月後の時点での事業者数との相違の数です。
EUの範囲を越えて、相互認証をなすということが問題になります(eIDAS規則14条)。
この点では、法・監督・技術の三つの柱の観点から、マッピングを実現していかなければなりません。
ENISAでは、「監査の世界的承認」という文書を提供しています (という話ですが、見つかりませんでした)。
ETSIのSTF560(ESI 560 Standards for machine-processable signature policy formats and the global acceptance of European Trust Services)も参照する必要があります。
次のチャレンジとしては、意識と教育で、卓越を目指して、道を舗装していくことになります。
Dean Coclin ( Digicert)は、「SSLの産業傾向」です。スライドは、こちら。
プレゼンは、いろいろいな交通標識の話で始まります。これに比較して、SSLのグリーンやグレイのサインは、わかりやすいでしょうか。
お札は、また、すかしがはいっています。EV証明書のセキュリティも同様です。
EV証明書は、偽造防止であり、適格ウエブサイト証明書は、EVに頼っています。アイデンティティが重要であれば、何が、EVを改善するのでしょうか。
また、ブラウザの設定によりhttpsへの移行が劇的な増加をみせています。(クロームだと78%以上、アンドロイドでも68%以上です) Chrome69からは、安全の文字がなくなっています。
アップルのsafariの表示も変わってきていますし、また、EVの市場も増加しています。
証明書のタイプでいうと、DV(ドメイン証明書)が94.3%、OV(企業証明書)が、5%、EVは、0.7%です。しかしながら、トラフィックだと状況が変わります。きわめて印象的です。
ちなみに3種については、こちらをどうぞ。
