マイナンバーカードの利用者クライアントとMacbook

マイナンバーカードの入手と確認でjpkiの「利用者クライアント」の表示が少しおかしかった。多分、Macbook Pro（OSX Sierra - 2880x1800 ratina）にParallels Desktop 13でWindows 10 Home （Ver. 1709）が問題と思う。
非接触カードリーダ（Sony RC-S330）は、OSX用のドライバーが無いため、この構成で確定申告サイトを利用してきた。
ちょっと気になったので、FelicaがNFCに対応するまで使っていたOSX Sierraで利用できる接触型カードリーダ NTT Communications のSCR-3310とMac用利用者クライアントをインストールして確認してみた。

起動画面

Windows10Home/Parallels Desktop/OSX Sierraでは、背景画像がほぼ1/4になっている事からRatinaに対応出来ていない状態だった事が推察される。

接触型カードリーダの確認結果
カードリーダSCR-3310へマイナンバーカードを挿入して実行（カード面に注意）


利用者証明用電子証明書を選択し


4桁数字パスワードを設定し


基本情報を表示し、有効性を確認した


Windows10Home/ParallelsDesktop/OSX Sierraでは、表示されなかった「詳細情報」タブも選択確認できる


マイナポータルにマイナンバーカードを使ったクライアント認証接続を実施してみた。「ICカードリーダライタを使ったログイン」を選択する


リーダにカードを挿入しているのにこの表示。「OK」クリックでログインを期待


エラー！とりあえず、「キャンセル」して


「OK」で終了


カード写真面を上側にカードリーダに挿入していたのをカードIC接触面を上に挿入し直す（裏面-個人番号記載面を上に）
長い間このカードリーダを使っていなかったので、カードの正しい挿入方法を忘れていたのが原因。


カードリーダのランプが点滅して「パスワード要求」画面が表示


パスワードを設定て「OK」クリック


カードアクセスが行われ


無事「ログイン」。「アカウント登録」をしないとマイナポータルは利用できない。



Edge/Windows10 Home/Parallels Desktop/OSX Sierra
Pasori RC-S330カードリーダ
昨日インストールしたはずなのに。。。


再インストールしてクライアント認証


Edgeでマイナポータルへログイン


P.S.
IE11でも同様にと思ったが、「エラー」でダメ。原因追跡中。

マイナンバーカード（個人番号カード）の入手とデータ確認

DS-216Jでクライアント認証を行うためマインナンバー（個人番号）カードを入手した。インターネットから申請すると顔写真（jpg）をアップロードするだけなので簡単で良い。2018年2月5日に申請し、交付通知書が3月6日に郵送されてきた。90日以内に受取らないと破棄されるとの事で、早速13日に取得してきた。

交付時付けてくれるセキュリティケース？を付けると「性別」と「臓器提供意思」部がカバーされる。電子証明書の有効期限表記は、役所窓口で手書き記載された。細書油性ペンのような物で記載され、プラスチック消しゴムで消せるそうです。電子証明書の更新をした時は、消しゴムで消して更新した有効期限を書き込むとの事でした。

「個人番号カード交付通知書」「個人番号　通知カード」「免許書」「住民基本台帳カード」を持参。個人番号カードに設定する「パスワード」（1住民基本台帳アプリ用　２券面事項入力補助用アプリ用　３利用者証明用電子証明書用　４署名用電子証明書用　の４つが必要）を受取る前に決めておくよう案内状に書いてあった。４は、住民基本台帳カードに搭載した公的個人認証サービスの電子証明書と同じとした。jpkiツールで変更も可能。１−３のパスワードは、統合パスワードと個別パスワードがあり、一度個別パスワードを設定すると統合パスワード設定が出来なくなる。統合パスワード設定ができなくなった場合は、個別に１−３を同じパスワード設定する事で統合パスワード設定と同様になる。交付時には、統合パスワードで設定するのが良いかと思う。交付時に「マイナンバーカード交付時のお願い」なるA4紙が渡され、「マイナンバーカード・電子証明書　設定暗証番号記載票」に記載するように求めたれた。一応、記載をお断りして、記入用紙だけ頂いた（裏面に注意事項が記載されていた）。周りの状況や案内係の案内を聞いていると、交付作業をスムーズに進めるためにパスワードを事前に決定させる作業のようだ。署名用電子証明書の６−16文字のパスワード決定方法をガイドしてあげる必要性を感じていた。何かのフレーズをローマ字で記入のように（「HAYAKUKAETTEKOI4」みたいに）。。。

住民基本台帳カードは、返納となっているが、記念品として保持することも可能（Q38）。

記念品の住民基本台帳カード（電子証明書は、失効処理がされ、翌日には失効する。jpkiツールでデータの確認は可能。確定申告サイトの電子証明書の再登録が必要。30年度の申告時で良いかも。）


マイナンバーカードの「住民基本台帳アプリ」用４桁数字パスワードが使われるのは、どのような状況なのだろうか？住民票などのコンビニ交付に使用されるのだろうか？
ここの説明だと「コンビニ交付」で使われる認証は、「利用者証明用電子証明書」のようだ。住基ネットの事務のために使用される状況とは？である

「券面事項入力補助アプリ」領域は、「マイナンバーカード総合サイト」「リンクダウンロード」ページの「個人番号カード対応版券面事項表示ソフトウェア インストーラ 」でインストールされる。
券面事項の確認は、券面の改竄確認が目的と思われる。確認してみた。
ツールは、「NCKHSW_MENU」というプログラム名で起動すると「個人番号カード」か「住基カード及びICカード化運転免許証」の選択画面が表示される。「個人番号カード」を選択する。


「読み込み開始」する。


券面記載の「生年月日」「有効期限の西暦年」「セキュリティコード」を入力する。券面の誕生年が元号表記の場合は、表示種別で和暦を選択し、年数2桁を設定する。有効期限の西暦年4桁を設定する。セキュリティコードは、顔写真右下の4桁数字を参照して設定し、確定ボタンをクリックする。


顔写真、有効期限、生年月日、性別、名前、住所が表示されるので券面表示と比較し、券面が改竄されてい無い事を確認する。


このツールでは、「券面裏」の個人番号の改竄確認、設定した4桁パスワードによる「個人番号+姓名・性別・生年月日・住所（4情報）」の取得に対応していない。

マイナンバーカード（個人番号カード）の裏面

磁気読取用のストリップにデータが記録されているのか不明

2023年7月2日 追記
==================================
【お問い合わせ】
マイナンバーカードの裏面にある「磁気ストリップ」には、何が記録されていますか？
==================================
【ご回答】
お問い合わせありがとうございます。

マイナンバーカードの磁気ストライプは自治体でマイナンバーカードを利用するときに使う部分でございます。

カード作成時には磁気ストライプにはデータは入っておりません。
市区町村ごとに運用に合わせてデータを入れることが可能となっております。
磁気ストライプの利用用途につきましては住民票のある市区町村へお問い合わせをお願いいたします。

2023年7月3日 追記
==== 発行自治体からの回答 ====
現状、 磁気ストライプへの記録は行っておりません。
他の自治体においては、磁気ストライプへ 印鑑登録証の番号を記録して、印鑑登録証として利用している事例等もございますが、 当自治体においては、マイナンバーカードを印鑑登
録証として利用する 独自利用 は行っておりません。
今後、利用の幅も拡大していくことも検討されておりますが、現状においては、このような状況でございます。

マイナンバーカード交付時に付けてくれるセキュリティ対応カード入れは、QRコードを隠さない

QRコードにiPhoneのカメラを向けると「個人番号」が表示されてしまう


ICカード化運転免許書の確認もしてみた
暗証番号1と暗証番号2を設定し確定する


免許の条件と免許種別、取得年月日が表示されない。



「利用者証明用電子証明書」と「署名用電子証明書」は、公的個人認証サービスから提供される利用者クライアントソフトを使う事で内容確認ができる。


署名用電子証明書の確認
「自分の証明書」をクリックして「署名用電子証明書」を選択


6〜16桁のパスワードを入れると


証明書の一部が表示される


有効性を確認するため「有効性確認」ボタンをクリックして再度６−16桁のパスワードを入れる


CRL（Certificate Revocation List）の検証を行い、「有効」表示がされる


項目名「氏名（N）」の上に「基本情報」タブがあり、その右側に「詳細情報」タブがある
Windows10Home@Parallels on MAC OSX Sierraでは、フォントの関係かタブ画面の表示が崩れる
「基本情報」タブ画面
この証明書の用途制限は、「署名（Signature）」と「否認不可（Nonrepudiation）」

ウェブからの交付申請受付が2018年2月5日 16:42
発行申請送信時刻が2018年2月9日 XX:XX:XX
発行年月日が2018年2月10日 00:29:23

「発行申請送信時刻」「シーケンス番号」「受付端末識別記号」などOID申請されているのか？？
「署名用電子証明書及び利用者証明用電子証明書のプロファイル仕様」を確認すると「発行要求作成日時 + シーケンス番号 + 受付窓口識別記号（YYYYMMDDhhmmssxxxxxXXXXXXXXX）」がSubjectのCNとして設定されている

「ファイル出力」してみる

「テキスト情報」とasn.1の「証明書ファイル（.cer）」を指定して出力することができる

opensslで確認


jpkiで登録されているOIDをopenssl用にファイル生成しasn1parseで使用する


出力した「.cer」ファイルを「openssl asn1parse」で解析し、SubjectAltName部のオフセット位置を調べる
SubjectAltNameは、624
IssuerAltNameは、923


SubjectAltName部の解析

ここに＠基本情報」部データが記載されている（基本４情報）

IssuerAltName部の解析


利用者証明用電子証明書の確認
マイナンバーカードをリーダに載せ「自分の証明書」をクリックすると証明書選択のポップアップ表示
利用者証明用電子証明書を選択する


4桁の数宇パスワードを設定


証明書の一部が表示される

主体者（Subject）は、「署名用電子証明書及び利用者証明用電子証明書のプロファイル仕様」を確認すると「ランダム文字列 + 受付窓口識別記号（xxxxxxxxxxxxxxXXXXXXXXX）」となっている
「基本情報」と「詳細情報」切替タブが選択出来ない（Parallels On Mac OSXの問題？）
鍵用途が確認出来ないので、「ファイル出力」「証明書」で書き出し、「openssl x509」で確認する

「有効性確認」ボタンをクリックすると失効情報（Certificate Revocation List）を確認する


ファイル出力で証明書を書き出し、「openssl x509」で確認

鍵用途（KeyUsage）：重要（Critical）、署名（DigitalSignature）
拡張鍵用途（ExtendedKeyUsage）：クライアント認証（TLS Web Client Authentication）
が設定されている。「署名用電子証明書及び利用者証明用電子証明書のプロファイル仕様」でも確認。

IssuerAltName部がUTF8のbinary表記のため、「openssl asn1parse」でオフセット位置を確認

SubjectAltNameのオフセット670

SubjectAltName部を「openssl asn1parse」で解析



マイナンバー（個人番号）カードの「署名用電子証明書」と「利用者照明用電子証明書」秘密鍵

署名用電子証明書の秘密鍵
公的個人認証サービスの署名用認証局　運用規定（B4S3-001000-00000）　6.2秘密鍵の保護と暗号モデュールの技術管理で個人番号カード以外に秘密鍵が存在しない事を担保している。

利用者証明用電子証明書の秘密鍵
公的個人認証サービスの利用者証明用認証局　運用規定（B4S3-002000-00000）　6.2秘密鍵の保護と暗号モデュールの技術管理で個人番号カード以外に秘密鍵が存在しない事を担保している。

Synology DS-216J WebStation（nginx）ベーシック認証とクライアント認証併用

Synology DS-216J WebStationのベーシック認証を設定した。
確定申告の電子申請で住基カードに搭載した公的個人認証サービスの電子証明書有効期限が2018年内までである事に気がついた。住基カードは、廃止されているので「マイナンバーカード」で対応する必要がある。「マイナンバーカード」を調べていると、「利用者証明用の電子証明書」なる証明書の組込みが出来るようようである。説明によるとログイン認証に使えるようだ（クライアント認証）。
電子証明書にアクセスする「OpenSC JPKIカードドライバ」などが提供されるらしい。「マイナンバーカードでSSH」とか「マイナンバーカードでMacOSにログイン」などの利用確認記事が見つかった。
WebStation（nginx）のベーシック認証に加え、「マイナンバーカード」を利用した「クライアント認証」を加えられるか調べてみた。「nginxでクライアント認証」などの確認記事は、沢山出てくる。
nginxの「Module ngx_http_ssl_module」にssl関連の設定ディレクティブが解説されている。
設定の鍵は、

---

「ssl client certificate」：
クライアント認証で提示されるユーザの証明書を発行したCAの公開鍵（pem形式）を指定。
ssl trusted certificateとの間に複数のCAがある場合は、指定したファイルにpem形式で複数記載する。

「ssl trusted certificate」：
ssl client certificateで指定したCAのルートCA証明書を指定

「ssl verify client」：
クライアント認証だけの場合は、「on」を指定。
クライアント証明書が提示されない場合にエラーとしないで続行させる「optional」指定を使用する。

「ssl verify depth」：
ssl client certificateとssl trusted certificateのCA数によって指定する。ルートCAまでの数で初期値は「1」。

---

「ベーシック認証とクライアント認証を両立」させるには、ベーシック認証のON/OFFを変数を利用してクライアント認証時に制御すると良いようだ。

nginxの設定で認証の必要なディレクトリに対して、クライアント認証した結果を「$auth_basic」変数に設定する（クライアント認証した場合は「off」、ベーシック認証させるためには「Restricted」などの文字列）。接続時にクライアントから提示された証明書が有効かどうかは、「埋込変数 $ssl_client_verify」で下記のように判断し設定する。
if ($ssl_client_verify = SUCCESS) { set $auth_basic off; }
if ($ssl_client_verify != SUCCESS) { set $auth_basic Restricted; }
認証の必要なディレクトリの「location」設定などで下記のベーシック認証設定を行う
auth_basic $auth_basic;

「ssl_client_certificate」指定のCAが発行した証明書が接続クライアントから提示されると全て許可になってしまうので、提示された証明書の選別が必要となる。選別は、「埋込変数」から「$ssl_client_s_dn」が得られるので「cn」などから特定のユーザを識別する。「cn」での識別が困難な証明書は、「SubjectAltName」で判断する必要がある。こうなると厄介。「SubjectAltName」は、「$ssl_client_certificate」で「pem」形式で得られる。なのでasn.1からデコードする必要が発生する。有効期限外の証明書は、「$ssl_client_v_remain」が「0」なので判断可能。

「openssl s_client」で接続し、「埋込変数」の内容を確認することとした。
「埋込変数」は、「log_format」と「accesslog」で指定し確認する。

httpセクションでlog_formatを設定
log_format ssl 'ssl($status): $remote_addr - $remote_user [$time_local] '
' $ssl_client_verify($ssl_client_v_remain) "$ssl_client_s_dn / $ssl_client_i_dn" ';

serverセクションでaccess_logを設定
access_log /var/log/nginx/ssl.log ssl;

クライアント認証でSSL接続を確認する方法
「openssl s_client -connect somehost.somedomain:443 -cert client-cert.pem -CApath . -servername somehost.somedomain -quiet」

SSL接続後にページをアクセスする方法
「echo -e "GET / HTTP/1.1¥n¥n" | openssl s_client -connect somehost.somedomain:443 -cert client-cert.pem -CApath . -servername somehost.somedomain -quiet」



ページアクセスでnginxのssl設定が「name virtual」なため「400 Bad Request」となってしまう。openssl の 「-servername」オプションだけでは、対応できない。
http request headerに「HOST:」を加える必要があった。

NameVirtual SSL設定のnginxサーバでクライアント認証アクセス確認方法
「echo -e "GET / HTTP/1.1\nHOST: some host.somedomain\n\n" | openssl s_client -connect somehost.somedomain:443 -cert client-cert.pem -CApath . -servername somehost.somedomain -quiet」

---

埋込変数の確認結果
（１）クライアント証明書を使わない（$ssl_client_verify=NONE）
クライアント証明書が提示されないので、証明書内容を示す「埋込変数」は、全て未設定。


（２）有効な証明書で$ssl_client_certificate指定以外のCA発行した証明書（$ssl_client_verify=FAILED）


（３）有効な証明書で$ssl_client_certificate指定のCA発行した証明書（$ssl_client_verify=SUCCESS）


（４）有効な証明書で$ssl_client_certificate指定のCA発行した証明書だが有効期限切れ（$ssl_client_v_remain=0）のため接続できない（$ssl_client_verify=FAILED）


（５）有効な証明書で$ssl_client_certificate指定のCA発行した証明書だが「X509v3 Extended Key Usage」に「TLS Web Client Authentication」が未定義のため接続できない（$ssl_client_verify=FAILED）

2018/3/12追記：使用した証明書のKey Usage=(Digital Signature, Key Encipherment) Extended Key Usage=(E-mail Protection)でAppleのiPhone Configuration Utilityが生成するデバイス証明書と同じ定義。ただ、EtendedKeyUsage=emailProtectionが成立するためには、KeyUsage=nonRepudiationが必須のはず。Key Usage=(Digital Signature, Key Encipherment) Extended Key Usageを未定義とすると$ssl_client_verify=SUCCESSとなる事から、ExtendedKeyUsageの未定義による制限なし状態を避けるための設定かもしれない。要調査。

---

確認結果をもとにnginx「/etc/nginx/sites-enabled/some.conf」のserverセクションにクライアント認証とベーシック認証の併用設定を確定

server {

ssl_client_certificate /usr/local/etc/nginx/conf.d/auth/client-auth-ca-list.pem;
ssl_trusted_certificate /usr/local/etc/nginx/conf.d/auth/client-auth-ca-list.pem;
ssl_verify_client optional;

set $auth_basic Restricted;
if ( $ssl_client_verify ~ FAILED ) { return 403 $ssl_client_s_dn-$ssl_client_i_dn; }
if ( $ssl_client_verify = NONE ) { set $auth_basic Restricted; }
if ( $ssl_client_s_dn ~ " CN=Some USER" ) { set $auth_basic off; }

location /somedirectory {
auth_basic $auth_basic;
auth_basic_user_file /etc/nginx/conf.d/auth/somedirecory;
}
}

---

「マイナンバーカード」の入手が遅れている。「マイナンバーカード」によるクライアント認証は、入手後にテストする予定。

プリウスPHV（ZVW52） POWER MODE

2017年5月から使い始めた「プリウスPHV（ZVW52）」には、「DRIVE MODE」スイッチが付いている

プリウスPHV（ZVW35）では、「PWR MODE」だった。その前のプリウス（ZVW20）ではどうだったか記憶にない。さらに前に使用していた、エスティマ・ルシーダ、クレスタ・スーパールーセントターボ、セリカXXなどにも「PWR」スイッチが付いていた。これらは、ATのシフトポイントが変化し、エンジン回転数が高いところでシフトアップして、パワーを出していた。プリウスは、CVTなのでシフトポイントの変化でなく、EVパワー（モータ）のアシストでパワーを出していた。
プリウス（ZVW20）もプリウスPHV（ZVW35）も「PWR MODE」を選択しても、体感できる「パワー」を感じた事が無かった。

プリウスPHV（ZVW52）の「DRIVE MODE」の「PWR MODE」を初めて「スイッチオン」してみた（購入後10ヶ月目）。
メータ背景が「赤」くなり、派手な演出。

メータ背景色「赤」に納得する「アクセル・レスポンス」。アクセルを踏み込むとすぐに反応する加速。エンジンのように一息の遅れが無い。
加速も「納得」。
ドライブが「楽しい」。
トヨタさん、昔のように「0-100Km」とかの公式計測データを公開すれば良いのに。。。

最近発売されたプリウスPHV GR sportでは、スピードメータの左にタコメータが表示されるらしい。
なんでCVTのプリウスに「タコメータ」？。バカじゃ無い？と思っていたが、
「タコメータ」を付けてみたくなった。視覚的加速も十分得られそうだ。

運転するのが楽しくなるが、「エコ運転」スコアは、60以下になる。EV走行可能距離もどんどん下がる。
スタットレスタイヤを外してのドライブが楽しみ。電池容量も倍くらい欲しい。。。。

iPhone構成ファイルの複数機器対応暗号化

「iPhone構成ユーティリティ」や「Apple Configurator2」で複数機器に対応する構成ファイルを作成できるか不明である。
iPhone構成ユーティリティのシミュレートやiPhone構成ファイルの暗号化スクリプトで暗号化したデータは、「Cryptgraphic Message Syntax」の構造になっている。CMSでは、一つのCMSデータを複数の公開鍵対象として暗号化が可能である。一つの「iPhone構成ファイル」を複数装置のデバイス証明書を使って暗号化し、複数装置で扱えるか確認してみた。
WiFi設定用の構成ファイルは、暗号化接続ができるようにSSID毎に共有鍵が設定されているため、構成ファイルの暗号化が必要である。
iPhone6S, iPhoneSE, iPad, Macbook Proにそれぞれ専用のデバイス証明書を設定し、一つのWiFi設定構成ファイルを4つのデバイス公開鍵で暗号化し、それぞれの装置でWiFi構成ファイルをインストールしてみた。

複数のデバイス公開鍵でCMSデータを作成するには、
/usr/bin/openssl smime -encrypt -in WiFi_11nagb.mobileconfig -outform der -CAfile prnw-root-ca-pub.pem iPhone6S/dev-cert.pem iPhoneSE/dev-cert.pem iPad/dev-cert.pem MacbookPro/dev-cert.pem | /usr/bin/openssl base64 -out WiFi_11nagb-multi-crypted.b64
などとして作成する
「iPhone構成ファイルの暗号化スクリプト」では、複数のデバイス証明書を指定することで対応できるよう設計してある。

（１）Macbook Proに作成した構成ファイルをインストール
構成ファイルインストール前の「システム環境設定」


Macbook Pro用のデバイス証明書は、キーチェーンの「システム」にインストールしてある
構成ファイルの暗号化データを複合するためデバイス証明書の秘密鍵使用が必要となるため、許可が求められる


キーチェーンのパスワードを入力するとキーチェーン内のデバイス証明書秘密鍵で複合されインストールが始まる


WiFi構成ファイルがインストールされる




構成ファイルがインストールされると「システム環境設定」に「プロファイル」アイコンが表示されるようになる


WiFIの接続を確認。

（２）iPhone6Sにインストール


（３）iPadにインストール


（４）iPhoneSEにインストール
iPhone6Sと同じで問題無くWiFi設定を確認