アカウント名:
パスワード:
いやー今更厚労省には無理かデジタル庁とやらに期待するしかないのか
厚労省というか…接種券番号の発行主体は当然に自治体で、それも市区町村。そんな仕様に「最終桁は1桁目の数を~倍、…を10で割った余り」みたいな仕組みを入れて実施するのは現実的に無理。説明に時間もコストも掛かる。自治体向け説明会とかで理解させられる気がせん。最小人口18人の村でどうしろとって話なわけで。
中央集権で個人情報なんざどうでも良いっていうなら何も難しくも無いんだけどね。地方自治ってのはそういう時ほんと厄介。
接種券番号は、自治体コード+ランダム生成ナンバー+再発行回数+チェックディジットで、住民基本台帳番号もしくはマイナンバーと1:1で紐づけたらいいのに
で、行政しか利用できないプライベートネットワーク上に、確認サーバ兼データベースみたいなのおいて、APIで接種券番号を入れると有効かどうかや、有効なら必要な情報が入手可能みたいに
チェックディジットアルゴリズムは非公開で、わからないように、接種券番号に特定文字列を加えた後、MD5ハッシュをとって末尾2桁の数字を使うみたいな感じで特定文字列はもちろん非公開
別にソルトをわからないようにする理由もないというか、「何かが秘密である」ことを安全の足しにしようっていうのはちょっと時代遅れ
ランダムがあると攻撃の隙になるので代わりに帳番号のハッシュとかにすればいいんじゃないかな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
チェックデジット必須にしよう (スコア:2)
いやー今更厚労省には無理か
デジタル庁とやらに期待するしかないのか
Re: (スコア:0)
厚労省というか…接種券番号の発行主体は当然に自治体で、それも市区町村。
そんな仕様に「最終桁は1桁目の数を~倍、…を10で割った余り」みたいな仕組みを入れて実施するのは現実的に無理。
説明に時間もコストも掛かる。自治体向け説明会とかで理解させられる気がせん。
最小人口18人の村でどうしろとって話なわけで。
中央集権で個人情報なんざどうでも良いっていうなら何も難しくも無いんだけどね。
地方自治ってのはそういう時ほんと厄介。
Re: (スコア:0)
接種券番号は、自治体コード+ランダム生成ナンバー+再発行回数+チェックディジットで、
住民基本台帳番号もしくはマイナンバーと1:1で紐づけたらいいのに
で、行政しか利用できないプライベートネットワーク上に、確認サーバ兼データベースみたいなのおいて、
APIで接種券番号を入れると有効かどうかや、有効なら必要な情報が入手可能みたいに
チェックディジットアルゴリズムは非公開で、わからないように、
接種券番号に特定文字列を加えた後、MD5ハッシュをとって末尾2桁の数字を使うみたいな感じで
特定文字列はもちろん非公開
Re:チェックデジット必須にしよう (スコア:0)
別にソルトをわからないようにする理由もない
というか、「何かが秘密である」ことを安全の足しにしようっていうのはちょっと時代遅れ
ランダムがあると攻撃の隙になるので代わりに帳番号のハッシュとかにすればいいんじゃないかな