第4回 デジタル記録管理の信頼性を確保するタイムスタンプ
今回は、みっちり“いつ”を担保する話をさせていただきます。
コンピュータは、それぞれがRTC(Real Time Clock)という時計ICを持っています。また、インターネットを介してNTP(Network Time Protocol)という技術で時刻を得ることができます。
GPSも時刻情報を発信していますね。
今何時?を確認することは、いつでもどこでもできる環境が整っています。しかし、それらの時刻を使った場合、記録された時刻情報が正しかったことをどうやって説明すれば良いでしょうか?
検察官による証拠改ざん事件を覚えていますか?
郵便料金割引制度の不正利用で、当時厚生労働省の村木氏が、担当検事によって証拠物件であるフロッピーディスクのプロファイル情報の“時刻”を改ざんされ、犯人にでっちあげられた事件です。さらにもっと分かりやすい事件として、猪瀬都知事が証拠をあたかも過去にあったかのようにねつ造し……そうなんです、時刻は都合の好いように、書き換えることができてしまうのです。PKIを使って対象情報に時刻を付してきっちり固めたとしても、その時刻が正しいことを証明できないのです。
~デジタル記録管理の信頼性を確保するタイムスタンプ~
デジタル技術を駆使して、ある事象を”いつ”という情報を含んで、凝固確定する技術が「タイムスタンプ」です。タイムスタンプはIETF(The Internet Engineering Task Force:インターネット技術タスクフォース)によってRFC3161としてプロトコルフォーマットが国際的に標準化されています。しかし、このフォーマットでは、特に時刻の信頼性についての記述はありません。
もし、このタイムスタンプに付された時刻が信頼できる時刻でないと、その情報はいつ作成されたのかが不明となり、インテグリティと否認のリスクを回避することができません。実は、誰でもこのRFC3161フォーマットで任意の時刻を付して生成できてしまうからです。いつでも過去の好き勝手な時刻の情報を生成できてしまうのです。困ったことに、強度な暗号技術を利用していますので、インチキ時刻であってもそれらしいモノになってしまうのです。
”いつ”という情報を信頼のおける状態で入手するには、時刻のトレーサビリティの証明が必要なのです。
それが2005年2月に創設された「タイムビジネス信頼・安心認定制度」で提供されている仕組みです。
この仕組みは、日本発勧告案として、国際電気通信連合無線通信部門(ITU-R SG7:科学業務)にて2010年4月27日にITU-R TF.1876として承認されました。そして、日本発案として関係各位の努力が実り、2015年4月15日にISO/IEC18014-4として国際標準化されました。
デジタル技術を駆使した信頼時刻の確保とその時刻を利用したタイムスタンプを活用することそのものが、デジタルな「証拠=『デジタルエビデンス』」を生成することになります。
音、絵、字で構成される社会生活の中で活用される5W1H情報は、ほとんどデジタルで生成・記録・管理・再生される時代になりました。将来、嗅覚、味覚、触覚、感情までもデジタル化できる時代が到来し、あらゆる事象情報をデジタルで記録できる時代も夢ではありません。
事象情報のうち誰もが唯一共有認識できる情報は時刻であり、証拠という観点では、必須の情報となります。信頼時刻というパラメーターで情報を凝固確定(記録)することでその真実性とインテグリティを担保し、そのデジタル情報は証拠として誰もが納得でき、安心してデジタル情報を扱うことができることになります。信頼時刻って素晴らしいですね。
ここからは、タイムスタンプの仕組みについて説明します。
前回のコラムで紹介しましたハッシュ関数とPKI技術が駆使されています。
タイムスタンプを付す対象電子文書のハッシュ値を第三者機関であるタイムスタンプを発行する時刻認証局(TSA:Time Stamping Authority=Stampではなく、Stampingです。刻印するという行為に責任を持つ機関です)に転送します。TSAにおいて「時刻」を付与して、TSAの秘密鍵でデジタル署名をした署名値や公開鍵証明書を含むトークンがタイムスタンプです。このトークンには、対象文書のハッシュ値が含まれていますので、公開鍵で復号することで、対象ハッシュ値と付与時刻が正確なものであることが保証されます。将来の検証者は、対象電子文書からハッシュ値を取り出し、タイムスタンプトークンから取り出したハッシュ値を比較することでその対象電子文書がタイムスタンプトークンに付与された時刻に存在したことを証明できるのです。そして、もしここで対象電子文書のハッシュ値とタイムスタンプトークンに含まれているハッシュ値が一致しない場合は、対象電子文書になんらかの変化があったことを証明できるのです。
図4-1 タイムスタンプの仕組み
ここまでの説明がRFC3161の仕組みです。TSAが、適当な時刻を付すことができてしまうことが分かりますよね。
それでは、TSAが利用している信頼時刻について説明します。
その前に、ちょっと横道にそれますが、信頼時刻の大元である、標準時について書きますね。
グリニッジ標準時とか日本標準時のことです。
標準時
昔々、時刻という概念は、人の生活の基準として必要で、いうまでもなく地球の自転運動に基づいて測られるものでした。
特定の地点から高速移動とか、遠隔地の人との関わりが無ければ、その地にあった太陽の動きに合わせて共有することで十分でした。
ところが、18世紀後半の産業革命以降、高速で移動できる手段を取得した人類は(ちょっとおおげさですね)遠隔地間の共通の尺度が必要になったのです。
そこで、1884年に、それまでは各地で勝手な子午線・地方時を使っていたことを共通にすべく、本初子午線会議なる世界会議がワシントンで開かれました。そこで、イギリスのグリニッジを子午線の始点とすると決定されたのです。これ以降、その子午線の平均太陽時が世界の基準時になりました。
なので、厳密にいうと経度が異なると時刻は異なるのですが、当然のことながら、同一地域では共通の時刻を使うという発想にたどり着くわけで、標準時という概念が生まれるわけです。日本では、1886年に勅命により東経135度を日本標準時と定められ、国内どこに行っても同一の時間となりました。グリニッジより135度東なので、135度/180度×12時間=9時間早くグリニッジより日出る国なのです。
ちなみに、単純に標準時を使用しないと、東京・大阪の時差は17分です。
その後、1秒の定義が、天文時からより高精度の原子放射の周波数に基づく量子力学に1967年に移行し、現在に至ります。
現在、複数の原子時計で1秒の定義にしたがって日本標準時(JST)を生成・報時しているのは、小金井市にある国立研究開発法人情報通信研究機構(NICT)です。
なお、この日本標準時は、各国の標準時生成機関と常に時刻比較をして国際度量衡局(BIPM)にUTC(NICT)として報告され、協定世界時UTCの基情報となっています。
図4-2 標準時
タイムビジネス信頼・安心認定制度
タイムスタンプに付す時刻は、信頼できる時刻でなくては、意味がありません。
信頼できる時刻、すなわち、小金井市にある日本標準時であることを、トレースできる仕組みが必要なのです。
安全安心のICT化のために、総務省は信頼性が担保された時刻で電子データの証跡を世間に提供できるよう、e-文書法施行のタイミングにあわせて、2005年に「タイムビジネスに係る指針」※1を発表。これを受けて、日本データ通信協会がタイムビジネス信頼・安心認定制度を設定しました。
・標準時を生成、報時する(National Time Authority)
・信頼の時刻としてNTAと同期をとった時刻をきちんと管理し、配信することに責務をもつTAA(Time Assessment Authority)
・電子データにTAAから配信された時刻を刻印し、その時その電子データが存在していたことに責務をもつTSA(Time Stamping Authority)
この三階層で信頼構造を構成し、これらの事業者を認定することで安全・安心電子社会のインフラ整備がされています。NTAとTAAの時刻比較は、GPS衛星を利用したコモンビューという方式で、同時にGPSからの信号を受信することで高精度な時刻比較を実現し、そのログを記録することでトレーサビリティを確保しています。TSAは耐タンパ性を持った特殊なハードウェアを搭載しているサーバーで時刻を刻み、その時刻は、上位のTAAからの通信のみが管理できる仕組みになっています。そしてTSA自身は、タイムスタンプに付与する時刻を変更することができません。このことで、タイムスタンプに付与される時刻は、“信頼の時刻”となっているわけです。
図4-3 タイムビジネス信頼・安心認定制度
※1 平成23年版 情報通信白書「第3部 情報通信の現況と政策動向 第5章 情報通信政策の動向 (2) タイムビジネスの利用促進」(総務省Webサイト)
次回は、タイムスタンプが世に出るきっかけになった、e文書法について解説します。
3月15日(火)更新予定です。
前の記事を読む
次の記事を読む