ドイツのeIDAS実装には、機能するためにAppleまたはGoogleアカウントが必要です

51日前原文(bmi.usercontent.opencode.de)

概要

Wallet Unit は認証手段を提供し、複数の識別手段（例：PID）に公開鍵暗号で紐付け
高い攻撃耐性が求められるため、認証手段のセキュリティ要件を満たす必要
モバイル端末の脆弱性管理（MDVM）を通じて、既知の脆弱性の悪用防止を実現
収集シグナルを活用し、デバイスやアプリの真正性・安全性を検証
各種アテステーションやRASP等を組み合わせ、脅威への多層防御を構築

Wallet Unitにおける認証手段とセキュリティ要件

Wallet Unit は、公開鍵/秘密鍵ペアを使い、PIDなど複数の識別手段と認証手段を紐付け
PID発行時、 WB が PP に対してOpenID4VCI Key Attestationで鍵の管理状況を証明
ISO/IEC 18045に基づき、高い攻撃耐性を持つ認証手段の利用が必須
EU規則2015/1502やCIR 2024/2979 Article 5 1. b/gに準拠した高保証レベルの電子認証設計が要求
認証手段は下記2点の保証を提供
- 秘密鍵ストアの複製・改ざん攻撃からの防御
- ユーザー認証機構への攻撃からの防御

鍵ストア防御とユーザー認証機構の分離

鍵ストアの防御は、HSMとして評価・認証済みのRWSCDで実現
- ユーザーデバイスに依存しない保証
ユーザー認証機構の防御は、デバイス依存
- RWSCAへの二要素認証（所持要素：HKS、知識要素：パスコード等）
- HKSやOSの脆弱性が存在しうるため、事前評価や認証は現実的に困難

モバイル端末脆弱性管理（MDVM）の導入

MDVM により、HKSやOSの既知脆弱性を運用中に監視
高攻撃耐性を満たさないデバイスでは、RWSCA/RWSCDによる鍵利用を禁止
WBからPPへの保証の有効性を維持

MDVMの主な機能

デバイス・アプリのセキュリティ状態の検証
- デバイス/アプリの完全性・真正性を確認
- RASP等のプラットフォーム非依存ソリューションも活用
デバイスクラスの特定
- モデル、OSバージョン、パッチレベル、HKS情報の収集
デバイスクラスごとの脆弱性確認
- DCVDB参照による最新脆弱性情報の取得
利用可否判定
- セキュリティ要件を満たさない場合、OpenID4VCI Key AttestationやRWSCD鍵利用を制限

収集シグナルの概要と脅威対応

各シグナルは、対応する脅威の検知・防御に活用
シグナル例
- KeyAttestation：root化、カスタムROM、不正アプリ、エミュレーション等の検知
- PlayIntegrity：アプリ改ざん、リプレイ攻撃、root化、古い脆弱バージョン利用等
- iOS Device Check：リプレイ、証明書改ざん、不正アプリ等
- RASP：アプリのフック・デバッグ・改ざん、root化、エミュレーション等

KeyAttestationシグナル詳細（Android）

Hardwareenforced属性でHKS種別やデバイスモデル、OSバージョン等を識別
複数のモデル識別子を利用し、デバイスクラス特定の信頼性向上
各証明書チェーンや署名の検証が必須
Googleの失効リスト参照も推奨だが、反映遅延や漏洩鍵問題あり

PlayIntegrity Verdictシグナル（Android）

アプリの完全性、リプレイ攻撃、root化、プロキシアテステーション等の検知
Googleバックエンドの評価基準は非公開・不明確
セキュリティパッチ適用状況の強制にも利用可能（MEETS_STRONG_INTEGRITY）

その他のシグナル

LPADB：公開漏洩アテステーション鍵を用いたroot化の検知
DCVDB：既知脆弱性を持つデバイスの検知
RASP：実行時のアプリ・デバイス完全性の動的監視

シグナル活用上の注意点

各シグナルは単独では不完全な場合もあるため、複数の情報源の組み合わせが重要
デバイスモデル特定には、複数の識別子を総合的に評価
鍵アテステーションの署名・証明書チェーンの検証が前提
Google失効リストの遅延や漏洩鍵の存在に留意

モバイルデバイスのセキュリティ運用への示唆

モバイル端末の脆弱性は運用期間中も継続的に発見されるため、 静的な事前認証だけでなく、動的な監視・制御が不可欠
MDVM や多層的なシグナル活用による、リアルタイムなリスク管理体制の構築
ユーザー端末の多様性や進化を踏まえた、柔軟かつ堅牢な認証基盤の設計が重要

Hackerたちの意見

ヨーロッパがアメリカがそんなに信頼できるパートナーじゃないって気づいた今、これはすごく賢い動きだね。外国の技術やインフラへの依存を減らそうとしてるし。いい仕事だと思うよ。ドイツ人がこういうことをするのはちょっと驚きだな。彼らは優れたエンジニアリング文化のイメージがあるからね。

└

ソフトウェアに関してはそうでもないよ。ドイツのソフトウェアはひどいから。ドイツ車、銀行、通信業界とかを考えてみて。

└

ドイツ人は素晴らしいエンジニアリング文化を持っているという評判があるけど、これは30年以上前の話だよね。今は過剰規制の素晴らしい文化がある。

└

評判は薄れてきてると思う。私はドイツ車よりも中国車を選ぶかも。

特定のハードウェアやソフトウェアに対する要求は本当に馬鹿げてるよ。市民が好きなコンピュータを使えるようにすべきだと思う。自分でセキュリティを確保するのはユーザーの責任だし。認証はパスワードかキーのペアだけで十分だよ。もっとセキュリティが欲しいなら、TOTPを設定したり、セキュリティドングルを買ったりすればいいんだから。スマホ以外のコンピュータが存在することを忘れちゃってるのもおかしいし、そもそもスマホを持ってない人もいるのに、AppleやGoogleのアカウントが必要だなんて。

└

すべての市民が好きなコンピュータを使えるようにしよう。そんなの無理だよ。じゃあ、システムはApple IIで動くように法律で義務付けられるべきなの？

└

現在のEUの政策トレンドは、各ユーザーが自分のリスクを評価する原則に基づいているわけじゃない。逆に、金融機関やアイデンティティプロバイダーのようなサービス提供者がユーザーを安全に保つ責任を持っていて、ますます規制が強化されるだろう。自然な結果として、どのプラットフォームがサポートされるかが制限されることになる。

こんなプライバシーや自由を侵害する政策に対して、一般市民からの反対がもっとないのが驚きだよ。親として、子供がインターネットで何をするかをコントロールする必要性は理解できるけど、親は親らしくあるべきだと思う。子供を守るという名目で、自由を奪って不必要な複雑さを増やしているのが怖い。

└

私の見たところ、みんな現実を無視してる感じだよ。知ってる人たちは、自分のパーソナライズされたバブルにどっぷり浸かってて、全然情報を聞いてない。ほんとに心配になるよ。民主主義の未来にとっても。

└

ドイツは「銃の議論」、つまりスピード制限に気を取られてる感じだね。学校の銃撃事件やエネルギー危機のたびに、表面的な騒音で人々を過剰に動揺させるチャンスが生まれる。そうすると、他のことは全部無視されちゃう。両方の側のプレイヤーがこのメカニズムを永遠に利用してるんだよ。

└

ある時点で親は親らしくしないとね。君は、企業が親や子供にたくさんの助けを提供しているかのように書いてるけど、実際はお金を使ってできるだけ難しくしてるんだよ。あと、ドイツの子供たちは一般的にもっと自由があって、事故が起きるたびに親を責めるような反射的な行動は少ないんだ。大人は、親が完璧にコントロールしていなくても子供に危害を加えないのが期待されてる。

└

ほとんどの人、特にテクノロジーに詳しい人でも、これが自分の生活にどう影響するか理解してないと思う。抽象的すぎるんだよね。少なくともここでの描かれ方はそう。チャットコントロールと比べてみて。政府が私のWhatsAppメッセージを読めるの？それは良くない！ここでの非技術的な話は何なの？

└

AppleやGoogle以外の電話を持っている人はどのくらいの割合なんだろう？

└

EUは基本的にロビー活動のプラットフォームとして設計されてるからね。自国の市民によるロビー活動は可能で歓迎されてるけど、コストがかかるし、調整も必要だから、結局は外国のプレイヤーや大企業が支配してる。これは秘密じゃなくて、プロセス自体はかなり透明なんだけど、誰も掘り下げたくない文書の中に「隠れてる」んだよね。それに、EUやその加盟国は無能で、質の低い契約業者に頼りきりだし。例えば、EUのデジタルインフラがランダムなハッカーグループに侵入されたって話は、ほとんど議論も情報もないんだよね。[0] - [0] https://cyberalert.com.pl/articles/shinyhunters-eu-europa-br...

└

それには、99%の人が持ってないテクノロジーのiCalの知識が必要だから。

これは、国際刑事裁判所にいるような制裁対象者がeIDASにアクセスできないってことを意味するのかな？私の理解では、プレイストアからアプリをインストールする必要があるから、アカウントが必要でアクセスできないってことになるんだよね。そういう人たちや、将来的に同じ扱いを受けるかもしれないグループには無理だよね。

└

アカウントが必要なら、そうだね。いい指摘だと思う。最近のEUでの多くの政治的敵に対する非公式な「抹消」があることを考えると、当局にとっては歓迎されるかもしれないね。

└

そう？悪いアイデアだとは思わないけど。問題を公にするためにはいいと思うし。代替案があった方がいいとは思うけど、プライベートキーを守ることが一番重要な部分だよね（例えば、NFD付きのスマートカードに保管することで）。だから、安全なデバイスが必要なんだけど、「でも代替のAndroidをインストールしたい」とか言うのは分かるけど、ここはあまり安全じゃない環境だってことを知っておいてほしいな。

国際刑事裁判所のこの制裁された裁判官のように、GoogleやAppleのアカウントを「失くした」らどうなるの？欧州社会でまだアメリカのプロバイダーに依存しているなんて、逆に行くべきだって明らかに示されているのに、考えるとクレイジーだよね。

└

じゃあ、もうWaymoには乗れないね。

└

高いプロフィールのターゲット、例えば制裁された裁判官である必要すらないよ。自動プロセスで「疑わしい」とマークされてアカウントが禁止されるだけで、社会から排除されることになる。理由も監視も適正手続きもなしに、2つの外国企業にこれだけの権力を持たせるのは、まじで狂ってる。

└

ヨーロッパの社会でまだアメリカのプロバイダーに依存しているなんて、考えるだけでクレイジーだよ。首都がワシントンにある限り、これは普通のことだね。

ドイツの実装がモバイルデバイスなしで可能かどうかはちょっと分からないな（ぱっと見では何も見つからなかった）。一方、オーストリアの実装はモバイルデバイスを必要としないから、PCでやりたいならFIDO2トークンがあれば大丈夫だよ。

└

私もよくわからない。別の文書を見てみたけど、既存のeIDを使った認証方法、つまり私たちのIDカードにある認証チップがまだ使えることを示唆しているみたい。正しく読めてればだけどね。OPのリンクは、IDカードなしで使える新しい代替システムを指していると思う。でも、あまり詳しくないから、話半分に聞いてね。

証明書は完全に廃止すべきだと思う。アプリは、どんなデバイスで動いているかや、ユーザーがシステムにどんな変更を加えたかを知る手段があってはいけない。自分のデバイスのセキュリティを確保するのは、各個人の責任だよ。アプリ開発者は、せいぜい推奨事項を提供するだけでいい。誰かがGrapheneOSを使いたいとか、デバイスをroot化したい（あまりおすすめしないけど）、エミュレーターで動かしたり、Linuxの自作互換レイヤーやMS-DOSのカスタムポートで動かしたりするのは、可能であるべきだよね。

└

その通り。自分のデバイスなんだから、好きにしていいはずだよ。アプリが自動で、私のデバイスがアメリカのテックジャイアンツに認められているかどうかをチェックするなんて、あってはいけない。

意味がわからない。eIDAS 2.0の仕様は特定のハードウェアを要求してないよ。基本的には、検証可能な資格情報や他の暗号的に署名された証明書を保存するだけ。ドイツの実装者が「ユーザーがウォレットユニットの真偽を確認するメカニズムを実装する」ことを避けたいだけの怠慢に感じる。

└

リファレンス実装を見てみて。メンテナは、特に理由もなくGoogle依存を外すのを拒んでる。もし理由もなく持続しているなら、何か理由があるんだよ。https://github.com/eu-digital-identity-wallet/eudi-app-andro...

セルフ・ソブリン・アイデンティティ（SSI）は、アイデンティティの主権問題から抜け出す唯一の方法だよ。自分のアイデンティティが何かや誰かに依存するなんて、ありえない。自分のアイデンティティは、自分自身のものだけでいいんだ。紙や証明書は、誰かが自分のアイデンティティを信頼していることを証明できるけど、それが自分のアイデンティティになるわけじゃない。自分はただ存在しているだけ。Google IDでもApple IDでもない、もちろんね。政府はダサい。

└

あなたは、アイデンティティの哲学的概念と現実世界での機能的な識別を混同してるよ。社会契約からの暗号的な逃げ道なんてないんだから。 >「自分はただ存在している」「私はただ存在している」なんて、22歳でアルコール飲料を注文する時にバーテンダーに言うのは受け入れられないよ。政府発行のIDを渡すんだ。

ISO7816（スマートカード）は、銀行業界などで広く使われている標準的な安全なアイデンティティカードとして、ほぼ40年も存在してる。すごく目立たなくて、ちょっとしたチップを持ち歩く必要があるだけで敵対的でもない。政府が国民IDを欲しがるなら、みんなにこれを配ればいいだけなんだよ。

ハクソク