従来の有料会員制のエクスプレスICとは違い、手持ちの交通系ICカードの活用を目指したサービスである。
乗車券と一体で通常よりちょっとお安く乗ることができる。
そう、乗車券と一体で、というのが問題だ。これにより理不尽な制約が発生する。
<「 東京都区内」「大阪市内」といった所定の乗車券に適用される、いわゆる「特定都区市内制度」は適用されません。
都区内発にできない。
せっかく200円の割引があるのに
スマートEXは学割とか障害者割引に対応していない。
まあ先日ボロクソに叩いた
をどうにかして学生とか障害者を公的個人認証サービスで確認できるようにしないとだめでしょうね。
で、えきねっとがやっているみたいに乗車券別売りにできればまあなんとかなるんですが、それもない。
スマートEX はスマートではないし障害者にも全く優しくないクソである
空想鉄道という、地図上に思うがままに鉄道路線を描いてニヤニヤできるサイトが有る。
そこで今回、京都市内に路線追加をするとしたらどんなのがいいか、考えてみた。
京都は言わずとしれた観光スポットで多くの観光客が訪れる。
京都市が公開している
[PDF注意]「平成28年 京都観光総合調査」について(なんとまさかの透明テキストがついていない!)
によれば、無許可民泊施設を除く宿泊客数は1415万人、無許可民泊施設宿泊客数は推計110万人に達しているそうだ。
しかし、
[PDF注意]「平成28年 京都観光総合調査」について(なんとまさかの同じファイル名で別の内容!)
によれば、残念だと感じたことの上位に「人が多い、混雑」(15.0%)、「電車,バスなどの公共交通機関」(12.3%)が上がっている。
京都市内は市バス網が極めて発達しているが、明らかに問題点がいくつか有り、
などの問題があると思われる。
もっと言ってしまうと京都駅~東山五条~東山三条~三条京阪のあたりだ。該当する市バスの系統は80, 86, 100, 106, 110, 201, 202, 203, 206, 207あたりだろうか。特に京都駅から清水寺に向かうのにもっともよく利用される100系統と206系統は京都駅で長蛇の列となる。
利用客が多いため運行本数も尋常ではないのが事態を更に悪化させている。したがって非常に長い時間満員のバスに揺られて清水寺に向かうこととなる。これはいいユーザー体験とは言えない。
鉄道というのはとてつもない輸送力を持つ。京都駅から東山方面に鉄道があればよい。
東山を走る鉄道としては現状京阪電車があるが、JR京都駅からの便が極めて良くない(これに対しては京都の中心は京都駅じゃなくて四条大宮だからという声も聞こえるが、観光客はそんなことは知ったこっちゃない)。
また清水寺最寄りの清水五条駅から清水寺までは、歩くには遠い。
バスはあるものの、市バス一日乗車券が使える京都市バス80系統はそこまで本数が多くなく、かといって京阪バスに乗るのはお財布に優しくない。
というわけで空想鉄道で東山に地下鉄を通す。
東山周辺に車両基地が作れるような土地はない。JR貨物がある梅小路公園付近にむりやりぶち込む一択だ。ちょうどこのあたりにJR山陰線の新駅ができるらしいからその先に車両基地をおけばいい
こいつらの下を通さないといけないから都営大江戸線ほどではないと思うけど結構深いところを通ることに。
しかし東山は山というだけあって標高が高い。これは傾斜がやばいぞ・・・。
どうにもならない。というか京都市が金余りまくってもこの路線作らないだろう理由の一つだ。
まあ今回は空想なので適当に都営大江戸線方式(車輪式リニアモーターカー)でいこう。急カーブ・傾斜に強く、断面積が小さくなるので総工費を抑えられる。
東山周辺に折返し駅を作る土地は(ry
出町柳周辺とか北大路とかの道が広そうなところがいいよねということで出町柳を選択。
出町柳はまあそうとして、京都駅から東山に行くんだから京阪とクロスする。ここでは無難に七条駅を選択。東京メトロ有楽町線みたいに川の下に駅を作る話かな?
無限に楽しい。ニヤニヤして眺めている。ちょっと駅間狭いのがあれだけど。
煽っておいてすみません。ぶっちゃけGPKIよくわかってないです。
一応
の内容が理解できる程度にはわかっているつもりですが。
誰がどんな立場にいるかわからんと全くわからんと思うので
CA/Policy Participants - MozillaWiki
アプリケーション認証局2(Sub) | 政府認証基盤(GPKI)のホームページ
にもあるように、
https://www.gpki.go.jp/selfcert/finger_print.html
にアクセスしようとすると
のようにルート証明書が信用できんといわれるんですね。
それで、ルート証明書を信用してくれるように
mozilla.dev.security.policy › Japan GPKI Root Renewal Request (日本GPKIルート更新要求)
This begins the discussion of the request from the Government of Japan to include the GPKI 'ApplicationCA2 Root' certificate and enable the Websites trust bit.
要求を出していました。
それに対して、
2018年2月13日火曜日 8時31分43秒 UTC+9 Wayne Thayer
All of my questions regarding the CP/CPS and audits have been answered to my satisfaction. I am left with two concerns:
This root was signed on 12-March 2013. The first end-entity certificate that I'm aware of was signed later in 2013. Mozilla began requiring BR audits in 2014, but the first BR assessment for this root was on 30-September 2015. [1] The assessment shows 22 issues. [2] A PITRA was finally performed on January 31, 2017 [3] and no qualifications were noted. This was followed by a clean period-of-time audit. It is clear that hundreds of certificates were issued in this certificate hierarchy while it was not BR compliant, some of which have not yet expired.
A number of misissued certificates under this hierarchy have been logged [4], some of which are still valid. Some of these contain significant compatibility problems such as the lack of a SAN and the lack of an OCSP URL. The good news is that all of the bad certificates were issued prior to 2017.
At a minimum, the unexpired misissued certificates should be revoked, just as has been done by other CAs in the Mozilla program. However, given the demonstrated lack of BR compliance from 2013-2016, we should consider rejecting this request and requiring that a new root using a new key pair be generated and submitted for inclusion.
Please be aware that trust in this root will be constrained to .go.jp domains, significantly reducing the risk it presents to Mozilla users.
I would appreciate everyone's constructive feedback on these issues, and any others that are relevant to this inclusion request.
- Wayne
[1] https://bug870185.bmoattachments.org/attachment.cgi?id=8667814
[2] https://bug870185.bmoattachments.org/attachment.cgi?id=8667815
[3] https://bug870185.bmoattachments.org/attachment.cgi?id=8852738
[4] https://crt.sh/?caid=1419&opt=cablint,zlint,x509lint&minNotBefore=2013-01-01
*BR: Baseline Requirements
のように、すくなくとも問題の証明書失効させろよ、と言われて、
2018年2月23日金曜日 15時57分38秒 UTC+9 apca2...@gmail.com
We are a certificate authority controlled by the Government of Japan and issued only for servers operated by the government.
For certificates that you point out concerning, they will expire and will be reissued, so we think that the problem will be solved.
We will continue to take BR audits in the future so we will operate as a secure certification authority and we appreciate your continued support.
そのうち失効するし、そうしたら問題ないよね?とかのたまっていたら
2018年2月28日水曜日 7時51分23秒 UTC+9 Wayne Thayer
To conclude this discussion, Mozilla is denying the Japanese Government ApplicationCA2 Root inclusion request. I'd like to thank everyone for your constructive input into the discussion, and I'd like to thank the Japanese Government representatives for their patience and work to address issues as they have been discovered. I will be resolving the bug as "WONTFIX".
We are preparing to revoke certificates immediately, rather than waiting for certificates issued prior to 2017 to expire. However, even if we revoke those certificates, if your judgment is not affected and our request is rejected, there is no point in doing it. Please let us know if our request will be accepted by revoking all the certificates we issued prior to 2017.
I would like to again point out that simply waiting for misissued certificates to expire is not an acceptable response.
2017年までに発行されたすでにある証明書に不備があり、そんなあいまいな状態で信用するとかないわー、それらを失効してから出なおしてくれん?しかも問題の証明書をすぐに失効させろって言ってるのに、期限切れを待つとか何言ってるの?という感じになってRejectされた感じです。
これには大慌てのGPKI担当者、
2018年2月28日水曜日 14時58分50秒 UTC+9 apca2...@gmail.com
This is a misunderstanding. We are preparing to revoke certificates immediately, rather than waiting for certificates issued prior to 2017 to expire. However, even if we revoke those certificates, if your judgment is not affected and our request is rejected, there is no point in doing it. Please let us know if our request will be accepted by revoking all the certificates we issued prior to 2017.
誤読してたんや、すぐに失効させる準備に入る。しかしそれ以外に何をすればいい?
とわずか7時間でレスを返している。
GPKIは、やっぱりMozillaで却下かぁ。https://t.co/6FF31r6Pzk この返事が致命的だったような気がする。素直にlintエラーの証明書を直ちに全部revokeすると返事していれば状況変わったかもしれないのに。
— Shigeki Ohtsu (@jovi0608) 2018年2月28日
GPKI側から2017以前の証明書をrevokeさせるから判断変えてもらえるかと。さっさと失効させてから交渉したほうがいいのにと思うのは私だけ?https://t.co/NfupIEQTxM
— Shigeki Ohtsu (@jovi0608) 2018年2月28日
眺めてる:googleグループ「Japan GPKI Root Renewal Request 」https://t.co/jJcGSFTba0
— 茂木 和洋 (@kzmogi) 2018年2月28日
日本政府にPKIを運用するのは無理だったのか感。メール対応してる担当者に発行済み証明書をリボークさせる権限がなかったんだろーなー。
だって日給8000円で臨時雇用されてる人(偏見による勝手な決めつけ)がそんな権限持ってるわけないじゃない。
— 茂木 和洋 (@kzmogi) 2018年2月28日
https://twitter.com/meteor_saan/status/968837880327020545
GPKI@Mozilla、前見たときは「来年3月末までには返事する」というやる気無さそうなコメント残していたのに、WONTFIXになった途端7時間で反応返す日本政府担当が笑える。中の人は笑いどころじゃないんだろうけど。
— スラきち (@slakichi) 2018年2月28日
PKI破綻論をぶち上げたい。
— 電波の妖精 (@biz4g) 2018年2月28日
個々人がSSL証明書の正当性を確認することは現実的に不可能。そこでPKIではCAが替わりに一括でSSL証明書の正当性を保証する。
— 電波の妖精 (@biz4g) 2018年2月28日
しかし個々人がCAの信頼性を確認することもまた難しい。そこで各ベンダーはCA/Browser Forumのガイドラインに従ってRoot CA証明書をバンドルする。
近年、WoSignやStartCom、Symantecといった大手CAがガイドラインに違反して不正な証明書を発行していたことで、ベンダーからはしごを外された。
— 電波の妖精 (@biz4g) 2018年2月28日
ならば、Mozzilaにバンドルを拒否されているGPKIもそれらと同様に信頼してはいけないCAであるという理論も成り立つ。
信頼できないGPKIを前提とした日本政府のシステムは本当に信用できるのか?その正当性をどうやって確認するのか?
— 電波の妖精 (@biz4g) 2018年2月28日
bugzillaみればわかるとは思うけど、(今もめてる)GPKIでさえfor CAレベルからfor BRレベルにするのに1年以上かかったので、まぁね。。。
— Makoto Kato ︎︎ (@makoto_kato) 2018年2月28日
英語能力…ではないと思うんですよね。日本の立場主義コミュニケーションが通じなかった例のように見えます。22日のメールで政府を持ち出したのは、それが信用につながると思ったからじゃないかなと。実際はrevokeという行動を示すことでしか信用は積み重ねられないのに。
— Shiro Kawai (@anohana) 2018年2月28日
あくまで憶測ですが、担当者は上司とMozillaとの間の板ばさみになっているような印象を受けます。担当者が権限を持ってるならさっさとrevokeして関係各所に頭下げて証明書入れ替えてもらえばいい。権限を持つ上司がそれを嫌がってて、その顔を立てつつ落としどころを探ってるような感じが。
— Shiro Kawai (@anohana) 2018年2月28日
https://twitter.com/jj1bdx/status/968871712316997633
なんかCA界隈の動きの速さについていけてない感じがありますね。予算措置とかいちいち必要になってるとかなのかもしれませんが
— Kazuho Oku (@kazuho) 2018年2月28日
GPKIの話、信用の担保を、証明書をrevokeすることでなく日本政府を持ち出すことで得ようとしているように見えて、こういうの官僚的って言うんだろうなあ、と……
— Bono (@Bono_iPad) 2018年2月28日
GPKIはBR未準拠時代に発行された証明書を全部失効させないので、現行ルートCA破棄してやり直せと。まあ、先方様はそういう理屈になりますわな。 https://t.co/Hg0tBVKlEO
— TOYODA Eizi (@e_toyoda) 2018年2月28日
8000円の元ネタは多分
さすがに安過ぎるのでは?日当8,000円ってのは / “総務省|非常勤職員採用情報 情報流通行政局(サイバーセキュリティ課)” https://t.co/9nRYwveCTe
— Masanori Kusunoki / 楠 正憲 (@masanork) 2018年2月27日
2018年3月1日木曜日 1時15分06秒 UTC+9 Elic Mill
So, to be clear, you would only revoke misissued certificates if required to do so by Mozilla -- not because they represent control failures, or in order to demonstrate to other root programs your CA's responsiveness and the seriousness with which you take control failures.
Mozillaが求めてるんなら失効させるだけでいいんじゃない?という非公式見解が出たと思いきや(この人は.govドメインのメールアドレス以外はMozillaの公式見解ではない)、
追記: こんなコメントが。
2018年3月1日 10時55分13秒 UTC+9 shiro
Eric MillさんのコメントはGPKI担当者に向けて「へー、Mozillaに言われたから直すんだ。CAとしての責任を果たすためじゃなくて。」という皮肉だと思います。
なるほど、いまいち腑に落ちてなかったんだけどそういうことか。解釈をミスってた。(追記終わり)
2018年3月1日木曜日 1時26分58秒 UTC+9 Wayne Thayer
My comment was intended to point out that you are violating BR section 4.9.1.1(9) by not revoking these certificates. My comments were not intended to imply that revoking these certificates would change Mozilla's decision to deny this inclusion request.
Elic Millさん、それは違ってて、私のコメントは証明書を失効させないでいるのがBRに違反してるって言いたいだけなんだ。失効させてもMozillaがこの要求(そもそものroot証明書信用してくれという本題)をRejectしたことをひっくり返すことを意図してないんだ。
と速攻でMozillaの公式見解が否定した。時すでに遅し。
寝る前にGPKI@Mozillaのその後を見たが、「あなたCA要件4.9.1.1(9)満たせないって分かったから結論代わりません」と見事に蹴られてる。
— スラきち (@slakichi) 2018年2月28日
該当要件は「4.9.1.1 CAは以下の状態になった証明書を24時間以内に失効させなければならない…(9)CP/CPS等に従わなくなった証明書」
行政庁で24時間は無理ゲー…?
外野向けに見える部分で色々GPKIのこと書かれているのは色々読んだけど、まぁ自分が担当者だったとしたらみんなCAプログラムパスできる自信あるのかなぁと
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月1日
個人的に言えば、担当者がというよりも予算ですね、あれの場合。なので担当者の問題というより政治の問題かと思う。特に国なので透明性が必要だからプロセスに時間もかかる
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月1日
なので総務省はWoTとかIoTとかに予算割り振る前にe-GOVに対してちゃんと予算振り分けて欲しかったというのが、内情を知る人間としてのGPKI の総括ですね
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月1日
行政管理局がもしまだやる気であれば、Application Root 3作って、WebTrust for BR通してって話になるし、また入札必要だろうからまぁ1年コースかと
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月1日
[PDF注意]Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates
4.9.1.1. Reasons for Revoking a Subscriber Certificate
The CA SHALL revoke a Certificate within 24 hours if one or more of the following occurs:
- The CA is made aware that the Certificate was not issued in accordance with these Requirements or the CA’s Certificate Policy or Certification Practice Statement;
注:
SHALL: 絶対に従わなければならない条件に使う語revoke: 失効させるmade aware: 認識するissue: 発行するin accordance with: ~に従って「日経 xTECHの取材に対するモジラのコメント全文」を要約すると、まあこの記事でも散々引用してきたように、てめーらのぶっ壊れた証明書を全部失効させて新しくroot証明書作って出直しやがれ、ということですね。
一方で
GPKIを所管する総務省行政管理局は「現在もプレインストール実現に向けて交渉中」としている。
とあり、もう手遅れでは?という思いががが。
そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?
郵便みたいに、あらゆる手続きに無くてはならないサービスだから。 どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、 その企業が変な所に買収されないように、とか色々と考えなきゃならない。
と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。
https://t.co/Vzbdv3znvY
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月1日
記者さんってなんでWindowsな視点しかないんだろ。Mobileの視点がないと見え方が違うと思うんだ
MozillaがGPKIを認めなかった件。調べれば調べるほど「Microsoftは認めんなよ」感が
— KIMATA RobertHisasi (@robert_KIMATA) 2018年3月1日
Mozillaよさらば! 遂に協力の方途尽く。総会、Bug 870185をWONTFIXし、我が代表堂々退場す #GPKI
— 谷口 潤 (@juntani) 2018年3月2日
won'tだから、"意思をもって修正しない"って意味だと思うんだが。つまり、どうあがいても対応するつもりなんてねぇよアホってこと。
— カルロスわらふじ@牛勢 (@RyoMa_0923) 2018年3月1日
Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに | スラド IT https://t.co/Vtoz3gOF64
GPKIのアレは、そもそも政府は何をしたいのかが判らんので、放置。単純に、既存のCAに署名してもらえば良いだけなんじゃね?って気がする。日本政府だからあくまでもrootじゃないとダメなんだ的な何かがあるのか、担当できる商社が無いのか、天下り先を作ろうとしているのか、まぁ、どれかじゃね?
— Kanji Okada (@okada_k) 2018年3月1日
GPKI終わったのか。
— dynamis (でゅなみす/レッサーパンダの人) (@dynamitter) 2018年3月1日
担当者が悪いと言うよりは認証局としての最低要件を満たせるだけの(英語力、セキュリティ意識、業界動向の理解及び権限を持つ)スタッフを確保できない運用計画と予算で立ち上げた計画側の責任でしょうね。https://t.co/J48F8sYh3w
そう言えばHTTPサイトで証明書配ってるお笑い認証局も医療従事者向けに運用されてるな。
— dynamis (でゅなみす/レッサーパンダの人) (@dynamitter) 2018年3月1日
それに比べればGPKIはまだマシかも知れんが、今の日本のエンジニア軽視姿勢でまともな認証局運用できる日はこなさそうですね。
しかし気になるのはよくMicrosoftがそんなデタラメなオレオレrootCA受け入れたなって思いますわ。シマンテックの件を鑑みたらrevoke喰らってもおかしくないだろうに…。
— あまのみしお (@foxmaster) 2018年3月1日
GPKIよ、おととい来やがれ!(タイトルで煽るスタイル)https://t.co/VFDz5Xt9ws
— YSR@ぬいすず到着 (@YSRKEN) 2018年3月1日
乱暴に纏めますと、
Mozilla「てめーんとこの証明書信頼できねぇんだわ」
政府のGPKI担当「で、でも政府が発行する奴ですよ?」
M「そんなの知るか!ルールぐらい守れ!」
担「はいいぃぃ……」
な感じ?
Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに | スラド IT https://t.co/LskaGhXvzk
— zeroyoung (@zeroyoung) 2018年3月2日
TL;DR: ちゃんと維持できてないので問題ありありというわけで
この話はFirefoxブラウザーだけでなく、Mozillaの証明書セットを使っているLinuxやAndroidにも影響するのよ
— はぇ~ (@haxe) 2018年3月2日
Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに https://t.co/6FEfTDqToe
MS が失効させてくれないと「まだだ、まだ終わらんよ!」なので、MS も GPKI 失効はよ。 https://t.co/hr4HQGIdQT
— Jumpei Ogawa (@phanect_ja) 2018年3月2日
言われてみれば、確かに Symantec の件などは Google が動いてましたよね。Chrome が GPKI に 👎 してくれれば、政府も本腰入れて対応してくれると思うので、Google 先生にも期待です…
— Jumpei Ogawa (@phanect_ja) 2018年3月2日
GPKIよ、おととい来やがれ!(タイトルで煽るスタイル) - yumetodoの旅とプログラミングとかの記録 https://t.co/b7ECa9NaMg
— fortune (@WoF_twitt) 2018年3月2日
実際の中の人は苦しいだろうけど、このやり取りは正直失笑もの。組織としてのGPKIがガッカリすぎる。
GPKIについてみんな勘違いしているのは、昔 GPKI Application Root 1はちゃんとMozilla CA RootとしてApprovalされた (そのときの基準では)。その後SHA256なGPKI Application Root 2で置き換えるためにあのBugがあって、それがWontfixになったってこと
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月4日
なお、e-Taxの https://t.co/cvgy1AFfHE ログイン先はRejectされて話題のGPKI Application Root 2がルート証明書になってるサイトなので、それもLinuxだと使えないけどね (証明書いれない限り)
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月4日
2年位前にCRYPTRECで出したSSLサーバー管理のPDFにGPKIとかの証明書を手動インストールする話を入れるかどうかをあの文書作ってる時議論したけど、そもそも手動で入れるってことを許可する自体セキュアじゃないって結論になって最終的に削除した
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月4日
GPKIのroot証明書がMozillaに受け入れられるまであとどれくらいかかるか予想は?
— SAKIYAMA Nobuo/崎山伸夫 (@sakichan) 2018年3月3日
ここ数年、CAに関してはとんでもないインシデントが多かったために許可基準が非常に上がってる
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月4日
MozillaのCA Policyのはバージョン上がるために基準が上がってってるんだけど、Microsoftは政府案件だといろいろ違うらしいってことがあるっぽくて、まぁ日本マイクロソフトの社長室かパブセクかはしらないけど、まぁ彼らが絡むとセキュアなんてないのではって思ってる
— Makoto Kato ︎︎ (@makoto_kato) 2018年3月4日
GPKI担当者、なんでメールアドレスがgmailなんだろ。 / “GPKIよ、おととい来やがれ!(タイトルで煽るスタイル) - yumetodoの旅とプログラミングとかの記録” https://t.co/foaDDF7Jck
— 古い記事を読んでいるmatsuu (@matsuu) 2018年3月10日
そろそろ会計検査院マターじゃない? そもそもApplication CAなんて初めから要らなかったんだし本来のGPKIの目的からも外れたオマケだったのにね。16年前にもそう言ったんだけど。
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年3月11日
高木浩光氏の2002年の論文。サーバーがなくなっているので、アーカイブでどうぞ / “GPKIおよびLGPKIにおけるルート証明書配布方式の脆弱性と解決策[PDF]” https://t.co/DeCmsFh7Qq
— 徳丸 浩 (@ockeghem) 2016年12月12日
政府機関も昔はGPKIの利用を推奨されていましたが現在のNISCによる政府統一基準では民間認証局の証明書も並列で認められています。マイナポータルでもEVSSLをサポートするために民間認証局の証明書を採用しました。それはそれとしてLGPKIはMozillaとの折衝を行うべきですが https://t.co/L4LVu40Bhq
— Masanori Kusunoki / 楠 正憲 (@masanork) 2017年7月11日
e-taxのWebサイト自体は別のCAなのでいいのですが、個人認証システムにGPKIが使われています。
