Lazy Diary @ Hatena Blog

PowerShell / Java / miscellaneous things about software development, Tips & Gochas. CC BY-SA 4.0/Apache License 2.0

RHLS試験における本人確認の強度

Red Hat Learning Subscriptionによる試験の受験申込時には、運転免許証 or パスポート or 顔写真付きの社員証+健康保険証が画像データとして要求されます。練習問題として、この本人確認がSP 800-63AのどのIALに当たるか調べてみました。 www.jipdec.or.jp

まず各画像データのエビデンス強度を考えます。そもそも写真がエビデンスとして使えるの、という話はありますが、犯収法で本人確認書類の画像の送信が想定されていることを前提に、いったんエビデンスとして使えるものとして考えます。 satob.hatenablog.com

  • 運転免許証の写真: Strong
  • パスポートの写真: Strong
  • 顔写真付きの社員証: Strong*1
  • 健康保険証: Fair、ただし臓器提供意思表示欄等に直筆署名がない場合はWeak

IAL2を満たすには以下のいずれかが必要です*2

運転免許証およびパスポートの発行時のProofingおよび検証が十分と考えれば、この条件は満たしていると言えるでしょう。あとはIAL2を満たすには住所確認*4が必要ですが、ここをどうやっているかは分かりませんでした。

*1:詳細な表は省略。ただし、発行のプロセスが文書化されており、また手渡しなどで確実に本人に渡される必要があります。また社員番号等が印字されている必要があります。

*2:https://pages.nist.gov/800-63-3/sp800-63a.html#63aSec4-Table1

*3:原文は"One piece of SUPERIOR or STRONG evidence depending on strength of original proof and validation occurs with issuing source"とあり、andとorの係り受けが不明瞭です。この訳はOpenID Foundation Japanの訳 https://openid-foundation-japan.github.io/800-63-3-final/sp800-63a.ja.html#63aSec4-Table1 を参考にしました。一方、SUPERIORは一発OKで、STRONGは発行元の検証状況次第とも読めます。

*4:Addressが何を指すか確証が持てず。OpenID Foundation JapanではAddress Confirmationは「住所確認」としています。 https://openid-foundation-japan.github.io/800-63-3-final/sp800-63a.ja.html#-4416-address-confirmation