認証局の定義を考える

「NFT電子印鑑は、「信頼できる電子署名」(UNCITRAL)である」のエントリのなかで、

NFT電子印鑑の仕組みは、ひとことでいうと、認証局不要のデジタル署名ということになります。

と記載したわけですが、厳密に考えると、

認証局の代わりとなる機能を新たに(ブロックチェーンを利用して独自)構築した

という表現のほうがいいのではないの、という意見をいただいたので、すこし調べることにしました。

認証局(Certification Authority)の定義

NISTの定義

認証局の定義ですが、NISTIR 8149 “Developing Trust Frameworks to Support Identity Federations”によると、

認証局(CA)-公開鍵証明書を発行し、失効させる信頼できるエンティティ。

とされています。

では、NFT電子印鑑は、どうかというと、そこが、公開鍵証明書を発行しているの?となりそうです。公開鍵証明書は、ご存じ、800-63-3で

Certificate Authority によって発行され, Certificate Authority の秘密鍵でデジタル署名された電子文書. Public Key Certificate により Subscriber の識別子が Public Key と紐づけられる. 当該 Certificate により識別される Subscriber のみが Private Key の管理および Access を持っていることが暗示される. [RFC 5280] も参照のこと.

と定義されています。NFT電子印鑑は、

Subscriber の識別子が Public Key と紐づけられ

ては、いないと思えます。Subscriber の識別子は、トークン名とトークンIDとリンクは、しているのですが、Public Keyとは、リンクしていないように思います。

ETSIの定義

ETSIで認証局がでてくる標準は、ETSI EN 319 411-1 V1.1.1 (2016-02)(電子署名とインフラストラクチャー(ESI)。 証明書を発行するトラストサービスプロバイダのポリシーとセキュリティ要件 第1部: 一般要求事項)です。

認証局(CA):証明書を作成し割り当てるために、1人または複数のユーザから信頼される機関
注1:CAは、以下のようなものである。

1) 公開鍵証明書を作成し割り当てる信頼サービスプロバイダ、または

2) 公開鍵証明書を作成し割り当てる認証サービスプロバイダが使用する技術的な証明書生成サービス。

注 2:ISO/IEC 9594-8/Recommendation ITU-T X.509 [6]を参照。

ちなみに、ここでのISO/IEC 9594-8/Recommendation ITU-T X.509 だど

3.5.8 (認証)局(authority)  証明書または失効リストの発行に責任を負うエンティティ。以下の4種類が定義されている。

  1. 属性証明書を発行する認証局
  2. 証明書失効リスト(CRL)発行者
  3. 属性証明書失効リスト(ACRL)発行者
  4. 属性証明書失効リスト(ACRL)発行者

となっています。

ということで、結局、認証局という表現自体は、公開鍵証明書と切手も切れないもののようなので、上の

NFT電子印鑑の仕組みは、ひとことでいうと、認証局不要のデジタル署名ということになります。

という記載は、それはそれでOKだったような気がします。

登録局(Registration Authority)機能

認証局といっても、実は、いろいろな機能があって、特に ブロックチェーンは登録局(Registration Authority)としての機能を果たしているでしょうということなので、登録局の定義を洗ってみます。

NISTの定義

NISTの標準のなかで、RA についての定義がでてくるのは、NIST Special Publication 800-57 Part 2 Revision 1 Recommendation for Key Management:
Part 2 – Best Practices for Key Management Organizationsになります。

登録局(RA)  ある当局(CAなど)に代わって証明書申請者の身元と権限を確立し、保証する信頼できるエンティティ。

ETSIの定義

ETSIの標準だとうえのETSI EN 319 411-1 V1.1.1 (2016-02)(電子署名とインフラストラクチャー(ESI)。 証明書を発行するトラストサービスプロバイダのポリシーとセキュリティ要件 第1部: 一般要求事項)にRAの定義もあります。

登録局(RA):主に証明書のサブジェクトの識別と認証に責任を負うエンティティ

注1:RA は、証明書の申請プロセス、失効プロセス、またはその両方を支援することができる。
注2:IETF RFC 3647 [i.3]を参照。

と定義がなされています。

RFC 3647 – Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework 日本語訳では、

登録局(RA)-次の機能の1つ以上を担当するエンティティ:証明書申請者の識別と認証、証明書申請の承認または拒否、特定の状況下での証明書の取り消しまたは一時停止の開始、失効するサブスクライバー要求の処理または、証明書を一時停止し、サブスクライバーによる証明書の更新またはキー更新の要求を承認または拒否します。ただし、RAは証明書に署名または発行しません(つまり、RAはCAに代わって特定のタスクを委任されます)。 [注:ローカル登録局(LRA)という用語は、同じ概念の他のドキュメントでも使用されることがあります。

と定義されています。

登録局の機能を果たしているのか?

でもって、登録局の機能を果たしているか、ということになれば、NFT電子印鑑は、「証明書」に関する何らかの機能を果たしているのかということになるのか、という点にかかってくることになるものとかんがえられます。

そこで、証明されるものは、トークン名とトークンIDで明らかにされる申請者の氏名/メールアドレスということになります。その限りでは、RAの機能を満たすということはいえますが、ある意味、あまり実益のある問題ではないように思います。

 

関連記事

  1. DAOを作る/作ってみた時の法律問題
  2. 最安価損害回避者としてのISP-「通信の秘密」の解釈の合理的制限…
  3. GCSC スタビリティ報告書 分析1
  4. 新たなサイバーセイキュリティ戦略と法-「サイバー攻撃「国家のリス…
  5. ウイルス罪、有罪と無罪の境界はどこにあるのか (下)
  6. 通貨主権とは何か
  7. サイバー攻撃も日米安保適用=2プラス2共同声明へ初明記-新領域対…
  8. 電子署名法の数奇な運命
PAGE TOP