素晴らしいです。
本日、カードリーダのセット(Athena なんたらスターターセット)が到着しまして、自宅環境にてドメインログオンに成功しました。
試行錯誤を繰り返しましたが、所要時間は約三時間でした。 特別なサーバを必要とせずにスマートカード環境を構築できる点が素敵です。
ざっと何ができるかを掻い摘まんで列挙します。
- スマートカードを必須としたドメイン環境を構築できる!
- スマートカードにPKI 証明書を保管できる!
パスワードであるPIN コードと物理鍵となるスマートカードの二要素を用いてコンピュータ利用に制限を掛けることができます。
つまりPIN コードを肩から覗かれても、スマートカードがなければコンピュータにログインできない仕掛けです。
具体的には、電子メールに対して電子署名を付与する為に必要な電子証明書をスマートカードに保管できます。
これによりスマートカードを物理的な鍵と見立てて取り扱う事で、ローカルディスクやUSB フラッシュメモリに保管する必要がありません。
単純にUSB フラッシュメモリに保管して鍵と見立てる方式と異なり、スマートカードの情報を読み取るにはPIN コードを必要とします。
従って一般的なフラッシュメモリに比較して紛失しても、悪用される心配に直結しません。
これによって期待できるメリットは…
沢山のパスワードを覚える必要がない!!!
この一点に尽きます。
従来のパスワード認証方式だと「全ての認証機構に対して同一のパスワードを設定」して運用しているケースが殆どと思われます。
社内のセキュリティポリシで必ず別々のパスワードを設定するように義務付けられている事もあるでしょうが、大抵はパスワードで保護した電子ファイルに記録している事でしょう。
こういう運用だと大体の場合は、ポリシは厳しいけれどセキュリティリスクの現象が飽和、あるいは増大してしまう結果となります。
但し、現状のPKI には、デメリットがあります。
- PIN コードを盗み見られた上で、スマートカードを盗まれると詐称し放題
- PKI に対応したアプリケーションとか、見たことがないのですが…?
- 認証局に対する信用に疑問が残る
例:PIN コードを付箋へメモし、机の上に貼付した上で、スマートカードを置き去りにする。
認証局が秘密鍵の運用に対して、どれだけの責任感を持っているかによります。
現実問題、企業が経営する認証機関が提供する証明書に対して絶対の信用を抱かないことが重要と個人的には考えます。
公的機関に対して印鑑登録した実印とは異なると考え、認印程度の信用という認識に留めて運用するべきでしょう。
正直、一般企業が個人の秘密鍵を作成して、自分たちが証明するという方式自体に無理があります。
鍵屋が鍵を作った上で、その鍵が特定個人の所有物であると主張するから信用する、とか根拠がわからない。 企業論理な勝手なルールと感じます。
1は「スマートカードは認印や実印と同じじゃぁぁぁ」と啓蒙活動する以外に根本的な対策はありません。
2は規格統一戦争が終結するまで放置する以外に手の打ちようがありません。
3は例えば、必ず同時に複数の鍵(鍵ペア)を発行して、どれが実印であるかは所有者が決めて、それを別の第三者機関に登録するという方式ならまだ理解できます。
よりよい方式としては、鍵ペア生成は所有者が実施して、公開鍵だけを認証局へ登録するといった仕組みなら、より理解できます。 現状は違います。
そんな訳でパスワードを沢山覚える必要がないというメリットだけが残る訳です。
ちなみに代表的なメーラである「Beckey!」は、スマートカードから電子証明書を入力して電子署名を付与したメールを作成できました。
確か「Thunder Bird」も対応していたと見かけた事があります。(未確認)
現状、クライアントサーバシステムは、大体ウェブアプリケーションになっております。
クラウドによるアプリケーション利用を促進して、料金体系を従量制へシフトする地獄絵図に向かって各企業が誘導しております。
ここにもPKI での個人認証が行われる事になるのでしょう。
そろそろデファクトスタンダードという「やっちゃったもの勝ち」という論理にNOと言うべき時だと思うこの頃です。