適格署名とは何か
Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence: Standard-backed
「適格」とは、EU eIDAS 規則における法的ステータスであり、ライブラリが付与できる性質ではありません。それは、複数の当事者がそれぞれ特定の役割を果たして初めて成り立ちます。具体的には、適格証明書、適格署名生成装置、適格トラストサービスプロバイダー、そして公開されたトラストリストです。このページでは、それらの役割を整理し、NextPDF が担う一つの限定的な役割 — そしてそれが担わない、より大きな役割 — を明確に示します。
なぜ重要なのか
「なぜ重要なのか」という見出しのセクションqualified electronic signature(適格電子署名)は、その法域において、法律が認める法的効果を持ちます。だからこそ「適格」は魅力的です。同時に、それを安易に主張することが危険である理由でもあります。あるワークフローが適格署名を生成すると説明されていても、チェーンの中の一つの役割が欠けている場合を考えてみてください — 証明書が適格でない、装置が QSCD でない、プロバイダーがトラストリストに載っていない、といった場合です。その場合、その署名は適格ではありません。そのギャップは通常、最も重大な局面で表面化します。すなわち、紛争、監査、または国境を越えた受理チェックの場面です。
難しいのは、完全に有効な高度署名と適格署名が、PDF ビューアー上では同一に見えることがある点です。その違いは、証明書、装置、プロバイダー、そしてトラストリストにあり — そのいずれも署名エンジンが供給するものではありません。重要なのは、どの当事者がどの保証を担うのかを正確に把握することです。
- 適格とはチェーンであり、機能ではありません。 それには、適格証明書、QSCD 上での署名、適格トラストサービスプロバイダーのもとでの発行、そしてトラストリストを通じた発見可能性が必要です。そのいずれか一つでも欠ければ、結果はもはや適格ではありません。
- QSCD は必須です。 適格証明書ポリシーでは、署名は適格署名生成装置によってのみ生成されなければなりません。 Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
- 単独管理は署名者と装置にあります。 秘密鍵は署名者の単独管理下になければならず、その鍵を保護してユーザーに代わって署名する装置に保持されなければなりません。 Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
- NextPDF の役割は限定的かつ誠実です。 構造的に正しい PDF 署名を組み立て、信頼できるタイムスタンプと長期検証情報を埋め込むことができます。それは QSCD ではなく、(適格)トラストサービスプロバイダーでもなく、証明書を発行することも、トラストリストを運用することも、適格ステータスを付与することもありません。
NextPDF のアプローチ
「NextPDF のアプローチ」という見出しのセクション各役割の整理
「各役割の整理」という見出しのセクションeIDAS のもとでの qualified electronic signature(適格電子署名)は、それぞれ異なる責任から構成されます。NextPDF が担うのはそのうち一つの範囲だけであり、それ以外はエンジンの外にある当事者や標準に属します。
- Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
- Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control
- Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements
- Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
- Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds
- 適格証明書。 署名者に対して発行され、電子署名のための適格証明書であることを機械可読な形で示し、それを発行した適格トラストサービスプロバイダーを識別する QC ステートメントを含みます。 Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF はそれを発行しません。
- QSCD。 適格署名生成装置 — ETSI の用語では、ユーザーの秘密鍵を保持し、それを危殆化から保護し、ユーザーに代わって署名を行うセキュアな暗号装置です。 Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF は、そのような装置を通じて署名するためのソフトウェアです。エンジン自体は QSCD ではなく、そのソフトウェア鍵パスも QSCD ではありません。
- 適格トラストサービスプロバイダー。 QTSP は適格証明書を発行し、それ自体が監督を受けます。これらの証明書のもとでの署名は QSCD によってのみ生成されることを、ポリシーが求めます。 Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF はトラストサービスプロバイダーではありません。
- トラストリスト。 依拠当事者が、プロバイダーとサービスが適格であったことを確認するための、公開された証拠です。NextPDF はトラストリストを運用することも、その内容を保証することもありません。
NextPDF が担う限定的な役割
「NextPDF が担う限定的な役割」という見出しのセクションそのチェーンの中で、NextPDF の仕事は限定的かつ具体的です。PDF 署名を組み立てることです。つまり、署名フィールドを配置し、バイトレンジを計算し、標準が Contents エントリに保持するよう求める CMS SignedData を構築します。 Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 署名鍵が QSCD 上にある場合、NextPDF は HSM ベースの署名で説明されているのと同じハードウェア境界を介して署名し、鍵は装置上にとどまります。
NextPDF はまた、署名の持続性を支える二つの要素 — タイムスタンプ機関からの信頼できるタイムスタンプと、署名を検証可能に保つ長期検証情報 — を埋め込むこともできます。タイムスタンプとは、特定の時点より前にある事象が存在していたことを示す、信頼できる第三者による証明です Spec: RFC 3161, §1 RFC 3161 §1 。EU の枠組みにおいて、その機関はタイムスタンプを発行するトラストサービスプロバイダー向けのポリシーのもとで運用されます。 Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF はトークンを要求し埋め込みます。それはタイムスタンプ機関を運用するわけではなく、 タイムスタンプを埋め込むこと自体が署名を適格にするわけではありません。
証拠が示すこと
「証拠が示すこと」という見出しのセクションEvidence: Standard-backed QSCD 要件は適格証明書ポリシーに明示されています。すなわち、加入者(または管理する TSP)に対する義務として、デジタル署名が QSCD によってのみ生成されることが求められます。 Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 装置そのものは、 ユーザーの秘密鍵を保持し、それを危殆化から保護し、 ユーザーに代わって署名を行うものと定義されています Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 。自然人の場合、 秘密鍵は署名者の単独管理下になければなりません。 Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 署名ライブラリは、 チェーンの代わりにこれらの義務のいずれも満たすことはできません。
Evidence: Standard-backed 証明書を適格にするものは、 証明書の QC ステートメントに含まれており、機械可読な形でそれが電子署名のための適格証明書として発行されたことを示す情報と、 それを発行した適格トラストサービスプロバイダーを識別するデータを含みます。 Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 証明書を利用して署名を構築するライブラリは、その証明書を適格にするわけではありません。適格性を与えるのは、それを発行した QTSP です。
Evidence: Standard-backed 信頼できる時刻には、それを担う固有のプロバイダーの役割があります。 RFC 3161 はタイムスタンプ機関を、 ある時点における事象の存在証明を提供する信頼できる第三者として定義します Spec: RFC 3161, §1 RFC 3161 §1 。ETSI EN 319 421 は、 タイムスタンプを発行するトラストサービスプロバイダー向けのポリシーおよびセキュリティ要件を規定します。これらはデジタル署名を裏付けることも、ある事象が特定の時刻より前に存在していたことを証明することもできます。 Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF はそのようなプロバイダーからのトークンを埋め込みます。そのプロバイダーの適格ステータスは、 仮に存在する場合でも、プロバイダーのものであって、エンジンのものではありません。
「署名を適格にする」API は存在しません。そうであるかのように示唆するコードサンプルがあれば、それ自体が誤りです。ここで有用な成果物は、レビュアーが使える責任チェックリストです。
| チェーン内のリンク | 誰が担うか | NextPDF の役割 |
|---|---|---|
| 適格証明書の発行 | 適格トラストサービスプロバイダー | それを利用する。発行はしない |
| QSCD 上での署名 | 署名者と装置 | それを通じた署名。QSCD ではない |
| 秘密鍵の単独管理 | 署名者と装置 | QSCD 上にある場合、鍵を決して保持しない |
| プロバイダー/サービスが適格である | QTSP と監督 | それについて何も主張しない |
| トラストリストを通じて発見可能 | トラストリスト運用者 | それを運用も検査もしない |
| PDF 署名が整形式である | 署名エンジン | これが NextPDF の枠です |
| 信頼できるタイムスタンプの埋め込み | タイムスタンプ機関 | トークンを要求し埋め込む |
| 長期検証情報 | signing/validation フロー | それを埋め込める(関連ドキュメント参照) |
エンジンの担当範囲より上にある行のいずれかが満たされていなければ、結果は — よくても — 有効な高度署名であって、適格署名ではありません。NextPDF は自らが担うすべての行を満たしても、それでも署名を適格にすることはできません。なぜなら、そのステータスはエンジンが付与しうるものではないからです。
よくある誤解
「よくある誤解」という見出しのセクション「NextPDF は適格署名を生成する。」
それは生成しません。ここでは正確な言い回しが重要です。NextPDF は構造的に正しい PDF 署名を生成し、QSCD 上での署名や適格プロバイダーのタイムスタンプの埋め込みと互換性があります。ある署名が適格であるかどうかはデプロイメント依存です。それは適格証明書、QSCD、適格トラストサービスプロバイダー、そしてトラストリストのステータスに依存し — そのいずれもエンジンが供給も認証もしません。正しい主張は「NextPDF は署名を組み立てる。適格ステータスは証明書、装置、そしてプロバイダーから生じる」というものです。それ以上を述べることは、ソフトウェアが付与しえない法的ステータスを過大に主張することです。
限界と境界
「限界と境界」という見出しのセクション境界をぼかさずに明確に述べると、次のとおりです。
- NextPDF が担うもの。 PDF 2.0 署名エンジンです。それは Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 に従って署名を構築し、装置が与えられればそれを通じて署名し、タイムスタンプと長期検証情報を埋め込むことができます。
- NextPDF ではないもの。 それは QSCD ではなく、適格(またはいかなる)トラストサービスプロバイダーでもなく、認証局でもなく、トラストリスト運用者でもありません。それは適格ステータスを評価することも、確認することも、付与することもありません。
- 準拠は認証ではありません。 それは、NextPDF が PDF 署名標準に準拠した署名を構築し、AdES プロファイルが期待する要素を含められるという構造的な記述です。それは、結果として生じるいかなる署名も適格であるという認証ではなく、それを適格にする — それらが揃って初めて成立する — QSCD、証明書、プロバイダー、トラストリストの条件の代替でもありません。
- 法域は重要です。 「適格」とその法的効果は、その適用範囲において eIDAS 規則によって定義されます。このページは工学的な説明であって、法的助言ではありません。特定の用途における署名の法的十分性は、関連する法令と当事者の顧問弁護士に問うべき事柄であって、ライブラリのドキュメントが扱う事柄ではありません。
| Edition | Availability |
|---|---|
| Core | Core は PDF 署名キャリアと CMS コンテナを構築します。それ自体では適格ステータスに寄与しません。 |
| Pro | Pro は、ビヘイビアレベルで説明されるマネージド鍵署名と署名拡張を追加します。それでもなお QSCD でもトラストサービスプロバイダーでもありません。 |
| Enterprise | Enterprise は PKCS#11 を通じたハードウェアトークン署名を追加するため、署名鍵を、デプロイメントが QSCD として運用する装置上に置くことができます。エンジンは装置を通じて署名します。適格ステータスは証明書、 装置、そしてプロバイダーのものであり続け — エンジンのものになることは決してありません。 |
ミニ FAQ
高度署名は適格署名と同じですか。 いいえ。ビューアー上では同一に見えることがあります。適格署名は加えて、適格証明書、QSCD、そして適格トラストサービスプロバイダーを必要とします。高度署名はそれらを必要としません。その違いはチェーンにあるのであって、PDF のバイトにあるのではありません。
HSM 上での署名は署名を適格にしますか。 それだけでは適格になりません。QSCD は必要ですが、十分ではありません。証明書は適格トラストサービスプロバイダーからの適格証明書でなければならず、装置はそのデプロイメントにおける QSCD 基準を満たさなければなりません。一般的な HSM が自動的に QSCD になるわけではありません。
タイムスタンプを付加すると署名は適格になりますか。 いいえ。信頼できるタイムスタンプは永続性と時刻の証明を強化します。それは適格ステータスを定義する証明書、装置、またはプロバイダーの条件を供給するものではありません。それは長期プロファイルには必要ですが、適格ステータスには十分ではありません。
NextPDF は私の署名が適格かどうかを教えてくれますか。 いいえ。エンジンは適格ステータスについて何も主張しません。それを確立することは、証明書、装置、プロバイダー、トラストリスト、そして適用される法令に関わる事柄であり — エンジンの責任範囲外にあります。
関連ドキュメント
「関連ドキュメント」という見出しのセクション- HSM ベースの署名 — QSCD ベースの署名が用いる装置の境界と、鍵の境界の所在。
- タイムスタンプと信頼できる時刻 — RFC 3161 タイムスタンプが証明するものと、その背後にあるプロバイダーの役割。
- 長期検証 — 署名を時間が経過しても検証可能に保つ検証情報。
- 適格電子署名 — eIDAS 規則のもとで、QSCD によって生成され、適格証明書に基づく高度電子署名。ソフトウェアの機能ではなく、法的ステータス。
- eIDAS — 電子識別およびトラストサービスに関する EU 規則 (EU) No 910/2014。「適格」とその効果を定義する法的枠組み。
- QSCD(適格署名生成装置) — eIDAS 基準を満たす装置。ETSI の用語では、ユーザーの鍵を保持し、それを保護し、ユーザーに代わって署名するセキュアな暗号装置。
- 適格証明書 — 適格トラストサービスプロバイダーによって発行され、その QC ステートメントが機械可読な形で電子署名のための適格証明書であることを示す証明書。
- QTSP(適格トラストサービスプロバイダー) — 適格証明書および関連する適格サービスを発行する、監督下のトラストサービスプロバイダー。
- トラストリスト — 依拠当事者が、プロバイダーとサービスが適格であったことを確認するための公開された証拠。
- 単独管理 — 自然人である署名者の秘密鍵が、その署名者の単独管理下に保たれるという義務。
- タイムスタンプ機関(TSA) — ある時点における事象の存在証明を提供する信頼できる第三者(RFC 3161)。