利用者証明API
概要
マイナンバーカードのICチップまたはスマートフォンのマイナンバーカードから利用者証明用電子証明書を読み取り、利用者によって作成された乱数を秘密鍵で暗号化することで、利用者の真正性を検証するための電子署名を生成します。
これにより、マイページ等のログインの際に、ログインしてきた者が利用者本人であることを確認できます。また、ID・パスワードによる認証よりもセキュリティの高いログイン認証が可能となります。
アクセスコントロール
処理の流れ
対面
非対面
署名対象の乱数生成(サービスプロバイダ事業者)
マイナンバーカードまたはスマートフォンのマイナンバーカードを読み取る前に、署名対象のハッシュ値の元となる乱数を生成します。
利用者証明用電子証明書の読み取り(サービスプロバイダ事業者)
SDKを使用して利用者のマイナンバーカードまたはスマートフォンのマイナンバーカードを、ICカードリーダーまたは読み取り用スマートフォンのNFC機能で読み取り、利用者証明用電子証明書の暗証番号を入力することで、利用者証明用電子証明書のデータを取得します。注意
スマートフォンのマイナンバーカード読み取りは、機種ごとに読み取り手順が変わります。
スマートフォンのマイナンバーカード読み取りは、機種ごとに読み取り手順が変わります。
電子文書のハッシュ値生成(サービスプロバイダ事業者)
生成した乱数から電子署名に使うハッシュ値をSDKで生成します。注意
使用するハッシュ関数は、SHA-1、SHA-256、SHA-384、SHA-512のいずれかを指定します。
使用するハッシュ関数は、SHA-1、SHA-256、SHA-384、SHA-512のいずれかを指定します。
電子署名の生成(サービスプロバイダ事業者)
利用者証明用電子証明書の秘密鍵を用いてハッシュ値から電子署名をSDKで生成します。サービスプロバイダ事業者は、生成されたハッシュ値、電子署名、利用者証明用電子証明書、失効状態確認方式を指定してAPIでリクエストを送信します。注意
デフォルト設定ではCRL方式による失効状態の確認が行われるため、OCSP方式を利用する場合は明示的に指定する必要があります。
また、OCSP方式ではCRL方式と違いリアルタイムでJ-LISに失効確認を行うため、発生する利用料金が変わります。
デフォルト設定ではCRL方式による失効状態の確認が行われるため、OCSP方式を利用する場合は明示的に指定する必要があります。
また、OCSP方式ではCRL方式と違いリアルタイムでJ-LISに失効確認を行うため、発生する利用料金が変わります。
利用者証明検証(プラットフォーム事業者)
受信した電子署名を利用者証明用電子証明書の公開鍵で検証し、復元したハッシュ値と元のハッシュ値を照合することで署名の正当性を検証します。なお、検証結果はAPIの応答として返却されます。
利用者証明用電子証明書の有効性確認(プラットフォーム事業者)
利用者証明検証後、利用者証明用電子証明書をJ-LISに送信することで有効性確認を行います。ここまでの結果は証跡としてプラットフォーム事業者側のデータベースに保存され、管理されます。
処理結果の返却(プラットフォーム事業者)
有効性確認後、利用者証明検証及び利用者証明用電子証明��書の有効性確認の結果をサービスプロバイダ事業者に返却します。
シーケンス図
対面
非対面
実装例
iOS
Android
React Native
Windows