トラストサービスフォーラムinベルリン Day2 その2 後半

第2セッションですが、一番興味深かったOlivier Delos ( Sealed)さんの「トラストリスト:何?-現在の状況、イニシアチブ、次のステップと課題」(Trusted Lists:
What’s up? Current situation & initiatives Next steps and challenges )です

eIDAS規則は、ピラミットをなしています。

この図は、適格トラストサービスに関して、EUトラストマークを頂点に、トラストマーク、監督体制、適格トラストサービスプロバイダ、適格トラストサービスに関する規定、それらを支えるベストプラクティス、標準がピラミッド構造をなしているのを物語っています。

トラストマークを直接にささえているのは、トラストリストです。

トラストリストは、適格トラストサービス(提供者)に対して、基本的な効果を有しています。
トラストリストの手続と様式は、共同体 実装決定(CID)2015/1505によって特定されています。この実装決定は、サービス指令によって、設立されたトラストリストとの継続性を確保し、適格事業者の法的確実性をたしかにするものです。また、適格電子署名・適格電子シールの有効性確認をすることで、クロスボーダーの認証を促進しようとするものです。

トラストリストは、加盟国が自動処理に適するようになさなければならない/適格事業者の情報を含まなければならない(強制的)、可読的な形で提供する/適格ではない事業者の情報を含むことができる(任意的)という双方の性格を有します。

上記実装決定(CID)2015/1505は、ETSIのTS 119 612 v2.1.1に基づいています。構成としては、トラストリストスキームおよび運営者、EC LOTL(トラストリストのリスト)へのリンク、適格事業者・適格事業のリストから成り立っています。

共同体トラストリストのリストは、加盟国のトラストリストの情報を含んだXMLのファイルであって署名/シールがされています。詳細な情報は、EUの公式がジャーナルで公表されています。ピボットリストのリストがあり、機械可読な証明の変更であって、その特別なインスタンスということになります。

また、EUトラストマークは、クリックすることによって、トラストリストをみる(Trusted List Browser)ことができます。
TLSO(Trusted List Scheme Operator)コミュニティがあります。そこでは、トラストリスト管理ツール、同ブラウサ、加盟国からの通知、サービスデスクなどが提供されています。

これをみることで、各国においてどのような適格トラストプロバイダーが、どう登録されているかがわかります。登録されている数をみてみると以下のようになります。

適格事業者数は、以下のとおり。

適格電子署名認証事業者

適格電子シール認証事業者

適格ウエブサイト認証事業者

事業者数

143

83

35

国数

27

22国

16国

増減事業者

-8

81

35

国数

-2

20

16

 

適格電子署名検証事業者

適格電子シール検証事業者

事業者数

9

9

国数

8

8

増減事業者

7

7

国数

6

6

 

適格タイムスタンプ事業者

適格電子配達内容証明事業者

事業者数

85

5

国数

21

4

増減事業者

63

3

国数

14

3

 なお、増減といっているのは、eIDAS実施6月後の時点での事業者数との相違の数です。

EUの範囲を越えて、相互認証をなすということが問題になります(eIDAS規則14条)。

この点では、法・監督・技術の三つの柱の観点から、マッピングを実現していかなければなりません。

ENISAでは、「監査の世界的承認」という文書を提供しています (という話ですが、見つかりませんでした)。
ETSIのSTF560(ESI 560 Standards for machine-processable signature policy formats and the global acceptance of European Trust Services)も参照する必要があります。
次のチャレンジとしては、意識と教育で、卓越を目指して、道を舗装していくことになります。

Dean Coclin ( Digicert)は、「SSLの産業傾向」です。スライドは、こちら

プレゼンは、いろいろいな交通標識の話で始まります。これに比較して、SSLのグリーンやグレイのサインは、わかりやすいでしょうか。

お札は、また、すかしがはいっています。EV証明書のセキュリティも同様です。

EV証明書は、偽造防止であり、適格ウエブサイト証明書は、EVに頼っています。アイデンティティが重要であれば、何が、EVを改善するのでしょうか。

また、ブラウザの設定によりhttpsへの移行が劇的な増加をみせています。(クロームだと78%以上、アンドロイドでも68%以上です) Chrome69からは、安全の文字がなくなっています。

アップルのsafariの表示も変わってきていますし、また、EVの市場も増加しています。

証明書のタイプでいうと、DV(ドメイン証明書)が94.3%、OV(企業証明書)が、5%、EVは、0.7%です。しかしながら、トラフィックだと状況が変わります。きわめて印象的です。

ちなみに3種については、こちらをどうぞ。

 

 

 

 

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook