傀儡師の館.Python

セイコープレシジョン、東大などと時刻認証電子メールを用いた先端科学技術情報保護システムを開発 を読む。

電子署名と時刻認証を組み合わせることで、本人確認と存在日時確認が可能となるセキュアな電子メールシステムを使った先端科学技術情報保護システム

とのことだ。

ついでなので、SEIKO Cyber Time 時刻認証サービス を見てみる。「RFC3161 に準拠したタイムスタンプ発行サービス」で、

時刻精度は、500ms。占有タイプでは2048bit RAS鍵で、毎秒200件のタイムスタンプを発行する高性能なサービスです。

で、時刻認証電子メールサービス が記事のものかな。

価格が１５０万円予定のようなので、それなりの会社であれば導入できないことはないだろうが、ISP 等が無料または少額課金のサービスとして始めるとおもしろい。

PFUタイムスタンプ の 定額制サーバ導入 の価格体系はどうなのだろうか。PFUタイムスタンプ SDK RFC3161（無償提供） みたいなものがあるようだから、場合によっては、こういうものを利用した方がよいのかもしれない。さらに調べてみると、

→ セイコーインスツル株式会社の「クロノトラスト時刻配信サービス」の時刻配信・監査を採用
→ 日本認証サービス株式会社（注3）の証明局からタイムスタンプ局証明書を発行

なので、結局時刻配信サービスはセイコーインスツルなのね。PFU、RFC3161準拠の「タイムスタンプ・サービス」を9月より提供 (2004/06/18) からそうなのか。PFUタイムスタンプ10年サービスを開始 とか見ると、有効期間が10年ということなので、それ以上の保管期間が必要な場合はどうすんだろう。タイムスタンプサービス 入門講座 を見てみる。

電子証明書の有効期間は、一般的なもので1～2年。長くとも電子署名法において5年間と定められている。(タイムスタンプサービス 入門講座 第2回)

法律的にはそういうことなんだろうけどと読み進める。

現状、残念ながら、30年、50年といった長期の有効期間を提供するにはいたっておらず、今後の暗号技術の進歩が鍵を握っております。サービスに利用される暗号技術の解読や脆弱性が見つかりにくく、将来に向けて強固で信頼性が高いと考えられる暗号技術の商用化が必要になります。（タイムスタンプサービス 入門講座 第5回）

ということで、技術的な問題なのね。さて、ここで問題。何年かしたら30年サービスが出てきたとして、サービス事業者を乗り換えるとしたらどうなるか。この手のサービスって、けっこうロックインが起きやすいサービスって感じがする。

RFC 3136: Time-Stamp Protocol については、IPA タイムスタンプ技術解説 最新動向と将来展望 (PDF) (2004/04/28) を見ると分かりやすい。この中に、電子署名の長期保存のページがある。上記サービスでは、RFC 3126 (Electronic Signature Formats for long term electronic signatures) の ＋認証パス上の全証明書＋全ての失効情報（CRL/OCSP応答）＋アーカイブタイムスタンプで繰り返し付与することで有効性を延長するという方向なのかな。

長期署名に対応した製品としては、三菱電機MistyGuard署名延長システム(RFC 3126)や、 日本ボルチモアテクノロジーズSignusDVCS (DVCS) があるらしい。上記 IPA の資料はちょっと古いので最近の状況はどうなのかな。

米国郵政公社(USPS)　電子消印サービス(EPM) はMicrosoftOfficeの専用プラグインを無料配布し、誰でも利用できるサービスのようで、１スタンプ$0.1～$0.8。郵政公社もこういうもの考えているのかな。

本題に戻り、時刻認証電子メールでネックになるのが、S/MIME かな。【特集】S/MIMEでセキュアな電子メール環境をつくる！。まあ、今時のメーラーは S/MIME には対応しているものが多いだろうけど、導入コストの中にはメーラーの設定や社員教育等も含めて考えなきゃならない。なんだかんだで S/MIME でさえも敷居は高いが、なんとなく、使われる頻度が増えて来そうな気がする。

そういえば、S/MIME といえば、三井住友銀行が電子署名付き電子メール（S/MIME） を平成18年5月22日（月）から送るようにしたらしい。銀行系が顧客へのメールで使い始めると案外 S/MIME が一般にも広まり始める可能性があるか。受け取りベースでは。