「カリフォルニア州デジタル署名規則」

(仮訳)

翻訳:夏井高人


これは,アメリカ合衆国カリフォルニア州の「カリフォルニア州行政法典(California Administrative Code)」の一部であり,1995年カリフォルニア州デジタル署名法によって州務長官が作成すべきものとされていた「カリフォルニア州デジタル署名規則」(Final Draft of California Digital Signature Regulations)の最終提案ドラフトを大急ぎで仮訳したものです。誤訳もあるかもしれません。この点ご注意ください。

この規則のオリジナル・テキストは,

http://www.ss.ca.gov/digsig/finalregs.htm

で入手することができます。


Table of Contents

CHAPTER 10. デジタル署名(Digital Signatures

Section 22000 Definitions

Section 22001 Digital Signatures Must Be Created By an Acceptable Technology

Section 22002 Criteria for State to Determine if a Digital Signature Technology is Acceptable for Use By Public Entities

Section 22003 List of Acceptable Technologies

Section 22004 Provisions for Adding New Technologies to the List of Acceptable Technologies

Section 22005 Issues to be Addressed by Public Entities When Using Digital Signatures


22000.  定 義

a. 本章においては,文脈が他の意味を指すのでない限り,

1. 「デジタルで署名が付された通信(Digitally-signed communication」は,そのメッセージに署名をした者とメッセージとを結びつけるようにコンピュータによって処理されたメッセージである。

2. 「メッセージ(Message」とは,公共機関に書面による通信として送信するための情報のデジタル表現を意味する。

3. 「者(Person」とは,法的にもしくは事実上,ドキュメントに署名をする能力を有する自然人または組織を意味する。

4. 「公共機関(Public entity」とは,カリフォルニア州法典811.2条に定義されている公共機関を意味する。

5. 「署名者(Signer」とは,その署名が付されたメッセージに一義的にリンクする(uniquely link)ための認可可能な技術を用いてデジタルで署名が付された通信に署名をする者を意味する。

6. 「技術(Technology」とは,デジタル署名を作成するために用いられるハードウェア・ベース及び(もしくは)ソフトウェア・ベースの手法または処理を意味する。

22001.  電子署名は認可可能な技術によって作成されなければならない

a. 公共機関によるデジタル署名の利用を確実なものとするために,デジタル署名は,カリフォルニア州が利用するものとして認可可能な技術によって作成されなければならない。

22002.  デジタル署名が公共機関の利用するものとして認可可能なものであるかどうかを決定するための州の基準

a. 認可可能な技術は,カリフォルニア州政府法典(California Government Code)16.5条に規定する要件,とりわけ以下のものを満足する署名を作成する能力を持つものでなければならない。

1. その利用者が一義的であること

2. 照合可能であること

3. その利用者のコントロールの下にのみあること

4. データが変更されたときはデジタル署名が無効となるようにデータがリンクされていること

5. カリフォルニア州規則集タイトル2の第7部第10章に適合すること

22003.  認可可能な技術のリスト

a. 公開鍵暗号(Public Key Cryptography)として知られている技術は,デジタル署名が22003条(a)項(1)号から(5)号の規定に準拠して作成されることを条件として,カリフォルニア州の公共機関が利用する認可可能な技術である。

1. 定 義 − 22003条(a)号においては,文脈が他の意味を指すのでない限り,

A. 「認可可能な認証機関(Acceptable Certification Authorities」とは,22003条(a)項(6)号(C)または22003条(a)号(6)号(D)の要件に適合する認証機関を意味する。

B. 「認可された認証機関のリスト(Approved List of Certification Authorities」とは,情報技術局によって,カリフォルニア州の公共機関を含むデジタル署名送信の認証の発行を認可された認証機関のリストを意味する。

C. 「非対称暗号システム(Asymmetric cryptosystem)」とは,2つの異なる鍵を用いるコンピュータ・アルゴリズムであって,次の各性質を有するものを意味する。

i. 1つの鍵は,所与のメッセージに署名をする。

ii. 1つの鍵は,所与のメッセージを照合する。

iii. 2つの鍵は,1つの鍵を知っていても,他方の鍵を探すための計算をすることができないという性質を持っている。

D. 「認証(Certificate」とは,

i. 認証を発行した認証機関を特定し,

ii. 署名者の氏名を明らかにし,または,これを特定し,

iii. 申込者の公開鍵を保持しており,

iv. 発行もしくは修正について認証機関によりデジタル署名が付されており,かつ,

v. 広範に利用されている基準を満足する

コンピュータ・ベースの記録を意味する。

E. 「認証機関(Certification Authority」とは,認証を発行する者もしくは機関,または,特定の認証処理の場合においては,現在の認証の修正の認証をする者もしくは機関を意味する。

F. 「キー・ペア(Key pair」とは,非対称暗号システムにおける秘密鍵及びそれに一致する公開鍵を意味する。2つの鍵は,公開鍵が秘密鍵で作成されたデジタル署名を照合することができるという性質(property)を持つ。

G. 「業務要約(Practice statement」とは,認証機関で機能している業務,手続(procedures)及び管理(controls)に関する文書を意味する。

H. 「秘密鍵(Private key」とは,デジタル署名を作成するために鍵またはキー・ペアを意味する。

I. 「同一性証明書(Proof of Identification」とは,申込者の同一性を確定するために認証機関(Certification Authority)に提出される文書を意味する。

J. 「公開鍵(public key」とは,デジタル署名を照合するために用いられる鍵またはキー・ペアを意味する。

K. 「申込者(Subscriber」とは,

i. 認証中に列挙される本人(subject)であり,

ii. 認証を承認し,かつ,

iii. 認証中にリストされている公開鍵と一致する秘密鍵を保有する

者を意味する。

2. カリフォルニア州政府法典16.5条は,デジタル署名に対し,「その利用者が一義的であること」を要件としている。公開鍵ベースのデジタル署名は,次の条件を満たすときは,その利用者が一義的であるとみなす。

A. ドキュメント上に署名を作成するのに用いられる秘密鍵が,署名者だけに知られていること,かつ,

B. メッセージのダイジェストを作成し,そして,非対称暗号システム及び署名者の秘密鍵を用いてそのメッセージのダイジェストを暗号化するための1本道の機能(a one-way function)の中にメッセージを走らせたときに,電子署名が作成されること,かつ,

C. デジタルで署名が付された通信のすべてが署名者に対して認証を取得するように求めていなくても,署名者は,署名を作成するのに用いる鍵を管理しているということを認証する認証書を発行することが可能であること,かつ,

D. 公開鍵の知識から計算して秘密鍵を引き出すことができないこと。

3. カリフォルニア州政府法典16.5条は,デジタル署名に対し,「照合可能であること」を要件としている。公開鍵ベースのデジタル署名は,次の条件を満たすときは,照合可能である。

A. デジタルで署名が付されたドキュメントの受領者が,そのメッセージを復号するための署名者の公開鍵を用いて,デジタルで署名が付されたドキュメントを照合することができること,かつ,

B. 認証が公的機関の業務で要求されるコンポーネントである場合には,発行する認証機関(Certification Authority)は,認証業務要約により,または,認証それ自体のコンテントにより,認証を発行する前に署名者の要求するフォームと同一であるかどうかを確定しなければならない。

4. カリフォルニア州政府法典16.5条は,デジタル署名に対し,「その利用者のコントロールの下にのみあること」を要件としている。署名が認証を伴うものでると否とを問わず,キー・ペアの保有者,または,認証によって同一性が確認された申込者は,秘密鍵の管理を維持し,かつ,申込者のデジタル署名を作成する権限のない者に対してそれを開示されることがないように,合理的な注意を払うべき義務がある。

5. デジタル署名は,データが変更されたときはデジタル署名が無効となるように,ドキュメントのメッセージにリンクされなければならない。

6. 認可可能な認証機関

A. カリフォルニア州情報技術局は,カリフォルニア州の公共機関へのデジタルで署名が付された通信に対する認証書を発行する権限のある「認可された認証機関のリスト」を保管しなければならない。

B. 公共機関は,カリフォルニア州情報技術局によって認証書の発行する権限を与えられた「認可された認証機関のリスト」上に搭載されている認証機関以外の者からの認証書を受領してはならない。

C. 認証機関の業務及びポリシーと監査基準所定の管理目的とが一致していることを確保するために,全米公認会計士協会(the American Institute of Certified Public Accountants (AICPA))要約監査基準No. 70 (S.A.S. 70)「サービス機関によるサービス業務の処理に関する報告」(1992)に規制する基準に従って,実行した無限定能力監査報告書(an unqualified performance audit)を,認証機関が情報技術局に対して提出した後,情報技術局は,「認可された認証機関のリスト」上に認証機関を搭載しなければならない。 参考のために,AICPA の要約監査基準No. 70をここに組み入れる。

i. 業務歴1年以下の認証機関は,SAS 70 タイプ1の監査−搭載業務のポリシー及び手続に関する報告,無限定意を受け入れる−を実施しなければならない。

ii. 業務歴1年超過の認証機関は,SAS 70 タイプ2の監査−搭載業務のポリシー及び手続並びに業務効果のテストに関する報告,無限定意を受け入れる−を実施しなければならない。

iii.  「認可された認証機関のリスト」上にとどまるためには,認証機関は,情報技術局に対し,最初にリストに搭載された後2年毎に,20003条(a)項(6)号(C)(ii)に適合することの証明書を提出しなければならない。

D.  22003条(a)項(6)号(C)で求められる監査を完遂する代わりに,監査機関は,情報技術局に対し,22003条(a)項(1)号ないし(5)号の要件に適合する資格を求めるものであって要件として情報技術局が認可可能な国内の資格認定機関もしくは国際的な資格認定機関からの資格認定証明書を提出することによって,「認可された認証機関のリスト」上に搭載されることができる。この場合,

i. 認証機関は,少なくとも年1回以上,情報技術局に対し,最新の資格認定証明書を提出しない限り,「認可された認証機関のリスト」から削除される。

ii. 認証機関がその資格認定を取り消された旨の通知を情報技術局が受けたときは,直ちに,その認証機関は,「認可された認証機関のリスト」から削除される。

b. 署名ダイナミクス(Signature Dynamics)として知られている技術は,署名が22003条(b)項(1)号から(5)号の規定に準拠して作成されることを条件として,カリフォルニア州の公共機関が利用する認可可能な技術である。

1. 定 義 − 22003条(b)号においては,文脈が他の意味を指すのでない限り,

A. 「手書測定値(Handwriting Measurements」とは,平面上にペンもしくは尖筆(stylus)で手書きで署名をする者の署名の,形状(shapes),速度(speeds)及び(または)その他の識別可能な特徴(other distinguishing features)の値(metrics)を意味する。

B. 「署名ダイジェスト(Signature Digest」は,署名ダイナミクスを用いるドキュメントに署名が結びつけられた時に,その結果として生成されるビット列(bit-string)である。

C. 「専門家(Expert」とは,カリフォルニア州証拠法(California Evidence Code)720条における専門家として評価できる訓練と経験に基づく表現可能なスキルと知識を持つ者を意味する。

D. 「署名ダイナミクス(Signature Dynamics」とは,平面上に手で書かれた署名の筆順を測定すること,及び,暗号技術を利用して,その測定値をメッセージに結合することを意味する。

2. カリフォルニア州政府法典16.5条は,デジタル署名に対し,「その利用者が一義的であること」を要件としている。署名ダイナミクスによって作成された署名ダイジェストは,次の条件を満たすときは,その利用者が一義的であるとみなす。

A. 署名ダイジェストが,署名ダイナミクス技術による文書の署名者の手書測定値を記録していること,かつ,

B. 署名ダイジェストが暗号化された手書測定値と結合されていること,かつ,

C. 署名ダイジェストが手書測定値と結合された後は,その手書測定値を分離したり他の署名ダイジェストにそれを結合させるための計算ができないこと。

3. カリフォルニア州政府法典16.5条は,デジタル署名に対し,「照合可能であること」を要件としている。署名ダイナミクスによって作成された署名ダイジェストは,次の条件を満たすときは,照合可能である。

A. デジタルで署名が付されたメッセージの受領者が比較のために手書測定値を入手すること,かつ,

B.  署名照合が公共機関の要求するコンポーネントであるときは,署名の真正(authenticity)を評価するために,手書文書及びドキュメントの専門家である研究者が手書測定値を利用できること。

4. カリフォルニア州政府法典16.5条は,デジタル署名に対し,「その利用者のコントロールの下にのみあること」を要件としている。署名ダイジェストは,次の条件を満たすときは,その利用者のコントロールの下にのみある。

A. 署名ダイジェストは,手書測定値,及び,署名者によって指示されたメッセージにその測定値が暗号化されて結合されており,それ以外のメッセージとは結合されていないことを表現するものであること,かつ,

B. 署名ダイジェストは,手書測定値を他のメッセージに結合するための計算ができないようにするものであること。

5. 署名ダイナミクスによって作成された署名ダイジェストは,もし,メッセージ中のデータが変更されたときは署名ダイジェストが無効となるようにメッセージがリンクされていなければならない。

22004.  認可可能な技術への新技術の追加のための手続

a. 個人または会社は,22002条の要件に適合する申出技術の完全な説明書を含む書面の申立書を提出することによって,カリフォルニア州情報技術局(the California Department of Information Technology)に対し,技術の再調査を求める申立をすることができる。情報技術局は,その技術が州にとって認可可能であると判断するときは,州務長官に対し,22003条の認可可能な技術のリストへの申出技術の追加を審査し,かつ,採用するために,規則案を起草しなければならない。

b. 情報技術局は,再調査申立の日から180日以内に,その申立を認容するか,または,これを却下しなければならない。もし情報技術局が180日以内に申立を認めないときは,申立人の申立は,却下されたものとみなす。

1. 申立人の申出技術がカリフォルニア州政府法典(California Government Code)16.5条に適合しているときは,情報技術局は,カリフォルニア州の公共機関が利用する新技術を州が認可したことを反映させるために,州務長官に対し,22003条の改正案を準備し,これを送付しなければならない。

2. 申出技術が却下されたときは,申立人は,政府法典11500条の行政手続法(the Administrative Procedures Act, Government Code Section 11500.)によって,その決定に対し,不服申立をすることができる。

22005.  認可されたデジタル署名の利用基準

a. デジタル署名を認可する前に,公共機関は,ドキュメント上の署名者を認証するために用いられるセキュリティのレベルが行われる行為にとって満足すべきものであることを確認しなければならない。

b. デジタル署名を認可する前に,公共機関は,署名の転送にために用いられるセキュリティのレベルが行われる行為にとって満足すべきものであることを確認しなければならない。

c. 認証がデジタル署名の転送を必要とする場合は,公共機関は,署名者が用いる認証フォーマットが公共機関が要求するセキュリティと互換性を満足するものであるかどうかを確認しなければならない。

 


Copyright (C) 1998 Takato NATSUI, All rights reserved.

最終更新日:Jun/04/1998

インデックス・ページへ

トップ・ページへ