グループ署名、ってものを実用化されようとしているんでしょうか。
なんだか、余計ややこしい側面もあるようだけど。
SAMLを「Webシングル・サインオンの仕様」と説明してしまうのも、割り切ってて良いかも。
【iEXPO2007】 NECが“グループ署名”を実装したWebシングル・サインオン・システムを披露:ITpro
NECは12月6日,個人情報を隠したまま身元保証による認証を受けられるようにする“グループ署名”を実装したWebシングル・サインオン・システム「プライバシ保護型ID連携技術」を,NECグループの展示会「iEXPO 2007」の会場でデモした。 今回デモしたのは,Webシングル・サインオンの仕様であるSAML(Security Assertion Markup Language)で用いるID認証部分に,従来のディジタル証明書に代わってグループ署名の証明書を適用したもの。このライブラリはNEC欧州研究所がスクラッチで開発したもので,一般には公開していない。
デモでは,グループ署名で用いる証明書に,証明書の所有者や署名者の固有名称が含まれないことをディスプレイ画面で見せていた(写真)。グループ署名とは,個人を認証するのではなく,個人の集合であるグループ組織を認証する仕組みを指す言葉。グループ署名では,認証者が利用者を認証する際,組織に所属しているかどうかが分かるのみであり,具体的にどの個人なのかを知ることができない。一方,組織は誰がグループ署名を利用したのかを“追跡”することができる。組織の運用面では,組織に所属するメンバーに対して証明書を発行したり、発行した証明書を失効させるといったことが可能である。
NECの説明員によれば,グループ署名のアルゴリズムや方式に関しては「論文レベルでは落ち着きつつある」という。そろそろ実装のフェーズへと移行しつつある。ただし,実用面では問題もある。アルゴリズムの問題は研究者が解決できるが,運用上は現状のディジタル証明書よりも難しいという。現在のPKIでも証明書の発行組織の権限管理などが難しいが,グループ署名ではメンバーの登録/失効権限など新たな権限が生じるため,組織運営上の煩雑さがあるというわけだ。
なお,NECがグループ署名に取り組んだのは早く,2005年7月には公開鍵暗号の一種である楕円曲線暗号を用いたグループ署名のアルゴリズムを開発している。続く2006年7月には,それまでよりも計算量をきく削減可能なアルゴリズムを実現したと発表している。
(日川 佳三=ITpro) [2007/12/06]
欧州研って、こういうよくわからないものを次々と作ってるみたいですが、私ら下っ端からは何をやってるかよく見えないです。
こっちの部門としては、早くSAML2.0の実装してくれって感じなんですが、それは日本とインドでやるみたいで、予算が組めないとかなんとか言ってます。
担当部署の彼らは、Webサービスのことを全然考えていなくて、それでWebシングルサインオンなんて言葉を発しているのです。SAML1.1をWebサービスにくっつけるのも、こっちがかなり苦労しました。
私に関係するところだと、欧州研はいろいろなSOAPエンジンにオリジナルのWebサービスセキュリティの実装を組み込んでテストしているようだと聞いたことがあります。それも、何を目的としているんだか。。。
なるほどー。WebサービスよりWebシングルサインオンのほうが、わかりやすくて、アピールはしやすいかもしれませんね。
グループ署名ってのが、よくわかりませんが。
グループ署名ですか。
うちの会社の話ですが、本社だけの署名、グループ会社の一つとしての署名、ビジネスユニットの署名、事業部の署名、というように複数の鍵や証明書を使って機密情報をやり取りする仕組みがあるのですが、これじゃ「ざる」だなぁと思うこともしばしばあり、逆に運用が難しいなぁ、Webシステムに適用できないなぁ、という問題点をなんとかしてくれということもあり。
グループ署名というのも、その辺がきっかけで開発しようと考えたのではないでしょうか?あくまでも推測ですが。
グループ署名group signatureってものは、一般的に論じられてるみたいですね。実用化されてる様子ではなく、研究段階なかんじ。
Group signature - Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/Group_signature
ご指摘のような、グループを代表して署名して、でも個人の情報は要らない場合を想定しているようですね。