仕組みとしては、ゼロ知識証明の一種であるDAA使うのがよいとおもう。
マイナンバーを使うと実存性は高いレベルで担保できるけどプライバシーの問題があるのでTPMくみあわせてDAAするといいと思う。
https://trustedcomputinggroup.org/wp-content/uploads/051012_DAA-slides.pdf
https://tpm2-software.github.io/2020/06/12/Remote-Attestation-With-tpm2-tools.html
TPMからAttestation Identity Key(AIK)を生成して、マイナンバーでTPMのEndorsement Key(EK)に署名して、EKとAIKが同じTPM内部で鍵を生成したことを保証できる仕組みを使って鍵の保護となりすましを防ぎつつ、AIK → EK → マイナンバーで実存性検証をつなげる。
利用サービス毎にAIKは異なる物を利用できるので匿名性を保ちながら、実存性は担保できる。
あとはPrivacy CAを誰がサービス提供するかが問題かな。
昔Hal Finney(bitcoinの黎明期で名前が出ている人)って人がPrivacyCA作っていたけど本人は現在存命ではない
https://web.archive.org/web/20131213105613/http://www.privacyca.com/index.html
https://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%AB%E3%83%BB%E3%83%95%E3%82%A3%E3%83%8B%E3%83%BC
TPM組み込まれてないiOS とかでも応用すれば出来るはず。
https://support.apple.com/ja-jp/guide/deployment/dep28afbde6a/web
MacはまだDevice Attestation対応してないけど、今後使える様になると思う。
Androidは知らん
あとは問題はマイナンバーの署名を検証する仕組みが必要だけど、OCSPへアクセスするたびに、金かかる。OCSPなんてリッチなの要らないからCRLでCDNかまして一日一度ぐらいでCRL更新したものばらまいてくれ。金もかからんし利活用が増えるとおもいます。
https://www.soumu.go.jp/menu_news/s-news/01gyosei02_02000263.html
こういった需要あるんかな?作ろうかな。
追記: 上記の総務省のリンクの別紙二に小さく書いてあるし知っている。
細かい事はこちら https://www.soumu.go.jp/kojinbango_card/kojinninshou-02.html
マイナポータルハッカソンなるものをデジ庁がやるらしいのだが、それを見ていて思ったやつを一つ。 https://www.digital.go.jp/policies/myna_portal/hackathon/ 個人情報を相手に渡さない個人認証シ...
仕組みとしては、ゼロ知識証明の一種であるDAA使うのがよいとおもう。 マイナンバーを使うと実存性は高いレベルで担保できるけどプライバシーの問題があるのでTPMくみあわせてDAAする...
神じゃ!神様がおる ありがたやありがたや🙏 実装してほしい。 書いてあることは1/4ぐらいしか理解できてないけど、がんばって勉強させていただきます。
ちなみにマイナンバーカードを取り扱う企業は総務省だかどこかの認定を受ける必要があって、勝手にマイナンバーカードを使うサービス作るとタイーホだから注意な。
それな。 政治問題化してるから、なかなか解放が難しいところもあるんだと思うし。国民IDだからそれぐらい慎重でも仕方が無い面もある。 だからハッカソンみたいなのを頻繁に開い...
絶対カードだとなくしちゃうんで、犬とか猫とかに使ってるチップをインプラントして欲しい。
無駄や。 わしもよう忘れるけど、そういう奴はパスワードもわすれるからや! ソースはわし。確定申告中で電子証明書パスワード間違えてロックされたわしが言うんやから間違いない...
ゼロ知識証明でやればいいじゃん。
追記: たとえばこれで説明されてるような感じ。 https://zenn.dev/kyosuke/articles/a8a92e399e83f490e207
そう思うならおぬしがやってクレメンス わしは技術がないから無理や
マインナンバーベースより、スマホの機体番号か何かの方がいいと思うぞ。 国が余計なことを言わない分だけでも。
スマホやタブレットって10枚くらい転がってるもんだろ?あれにわざわざ人間1人紐付けすんの? 貧乏人は今アクティブな1端末しか持たないからそれでいいってこと?
ケーコジボンビーガールが一般的じゃないような言い方はよすんだ!
貧乏人という話だと、貧困で困っている人につけ込んで、スマホや携帯を契約させて買い上げる犯罪はしつこくあるからね……。 これが各種犯罪に使われている。当然売った本人も犯罪...
この話のキモは、一番コストがかかる部分が丸投げできるところがポイントだから、それじゃ難しいかも。 つまり 自然人ひとりにつき必ずIDは1つと言う状況の担保 ぜい弱性が発生...
要件がよくわからん 匿名でいいのに実存確認する必要があるサービスってなんなんだ もしtwitterがその複アカ防止システム使ったとして、BANされたら終わりじゃない? 自分の自由を進ん...
既存のサービスが今あるログイン機能を廃止するとは考えられないからツイッターが採用するなら「Googleでログイン」とか「Facebookでログイン」とかの今でもある機能に追加されるイメー...
個人的には、今のサービスに追加するとしたら 有料APIの契約に必要 認証を済ませると、一日の投稿制限が解除される スパムbot扱いされたとき認証すると解除される 垢バンされに...
サービス提供側としてメリットあるというのが一つだけど、それでスパムが減るとかならユーザにもメリットあると思うけどなあ。 それから、法的には、マイナカード関係の情報は、利...
いやいや「マイナカードアプリ連携」はダメでしょ。 マイナカードに入っている公開鍵と政府の認証基盤だけで実現できると思うので、マイナポータルとの連携は絶対にやめろ。 プライ...
蛮族というより低能(低能力)です。 技術的に可能ならマイナポータルにこだわる必要はもちろんないよ。ただ、元ネタがマイナポータルのハッカソンだからそうやって書いただけです...