デジタル署名の検証方法とは

スーツを着た二人の男性がプロジェクトについて話している様子

PDFファイルにデジタル署名を行うことで、そのPDFファイルの非改ざん性の証明が可能になります。しかし、実際に手元にある電子文書が「改ざんされていない」ことを、具体的に証明するのにはどうしたらよいのでしょうか。今回は、PDFファイルにおけるデジタル署名の検証および改ざん検知について解説します。

デジタル署名による改ざん検知

電子契約などを行う際、契約書をはじめ重要な文書は、一般的にはPDFファイル形式で取り扱われます。多くの場合、それらのPDFファイルはクラウド上で扱われ、改ざんされないよう安全に保管されます。しかしながら実務上、(署名が完了した)PDFファイルをダウンロードしたり他のシステムにデータ転送することもあります。そのPDFファイルが、本当に電子契約サービスから提供され、クラウド上の原本(マスター)と変わりないことはどのように確認したらよいのでしょうか。

PDFファイルなどのデジタルデータは、その名のとおりデジタルですから、寸分たがわぬものをいとも簡単に作成できますし、またそのデータの中身自体を簡単に書き換えることもできます。その場合、もしある時点で改ざんされたとしても痕跡が残らないため、受け取る側からすれば、改ざんの有無はわかりません。また、「署名」や「印影」の画像が視覚的にあるだけでは文書が改ざんされていないかどうかの確認はできません。

PDFファイルの非改ざん性を担保するためにはデジタル署名の技術を用います。具体的には、PDFのデータ(実際にはそのPDFから不可逆に一意に生成されるハッシュ値)からPKI(公開鍵暗号基盤)技術を使い、秘密鍵を使ってハッシュ値を暗号化したデータをPDFに付加します。署名されたPDFが正しい文書であることを証明するには、署名した鍵と対となる公開鍵を使って、PDFに付与された署名データを復号して、もとのPDFデータのハッシュ値と一致すれば、そのPDFはデジタル署名された時点から改ざんされておらず、正しいデータであることが分かります。

おすすめ記事:電子署名とデジタル署名の違いとは?

PDFファイルの改ざん検知の方法

それでは、受け取ったPDFファイルの改ざん検知を行うには、どのようにすればよいのでしょうか。この場合、文書のデジタル署名を、任意のアプリケーションで検証することで確認できます。例えばAdobe Acrobat Reader DC(以下、「Acrobat Reader」)を使ってデジタル署名の検証を行うことができます。

Acrobat Readerでデジタル署名が施されたPDFファイルを開き、メニューバーの下に青いバーで「署名済みであり、すべての署名が有効です。」と結果が表示されたなら、そのPDFファイルはデジタル署名によって、署名後文書が改ざんされていないことが証明されます。

Acrobar DCでデジタル署名の検証

通常Acrobat Readerでは、署名検証は文書を開く時に行われます。文書を開くと同時に自動で署名検証されない場合は、手動で検証開始するか、[環境設定] の [署名の検証設定]で、文書を開く時検証を行うように設定を行う必要があります。

もう一点、デジタル署名の検証においては、デジタル証明書がしかるべきところのものであることを確認するためのルート証明書が必要になります。ルート証明書はOSやPDFリーダーへのインストールが必要になりますが、 AATL(Adobe Approved Trust List)に登録されている認証局(認証局については後述)のルート証明であればAcrobat Readerへは自動でインストールおよび更新がなされます。検証に利用するデジタル証明書のルート証明書がなかったり、古くて失効していたりすると署名検証に失敗しますので、この場合はルート証明書の状態を確認してください。

もう一つのポイント - 誰がいつデジタル署名をしたか

デジタル署名を行う際のもうひとつのポイントは誰がデジタル署名を施したか、という点です。前述のデジタル署名時には署名する秘密鍵と署名検証のための対になる公開鍵が必要ですが、この秘密鍵と公開鍵をしかるべき相手に発行し、その相手が特定できることが重要です。この業務を担う機関を認証局といいます。認証局は秘密鍵とそれを証明する公開鍵を含むデジタル証明書を、その相手が誰であるかを確認した上で発行します。署名する秘密鍵をその当人が厳重に管理して利用する限りは、認証局の後ろ盾のもと、誰がデジタル署名を行ったか証明することができます。

認証局から発行される鍵や証明書には期限があることにも注意してください。また、鍵の盗難など何らかの理由で失効されることもあります。このため、一般には、デジタル証明書失効後もデジタル署名の有効性や非改ざん性を証明するために長期検証(LTV)という技術が用いられます。これはデジタル証明書の失効情報などをデジタル署名に含めることによって、デジタル証明書の有効期限後や失効した場合でも、過去の署名時点でその証明書が有効であれば、デジタル署名を有効とするものです。

加えていつデジタル署名されたかについても補足しますと、クラウドサービスを利用する場合は、クラウドサービス側の運用にて正しい時刻に基づいてデジタル署名を行います。時刻認証局(Time Stamping Authority:TSA)を使ってデジタル署名に時刻情報(署名タイムスタンプ)を埋め込むこともあります。

以上から、デジタル署名は改ざんされていないことの証明とあわせて、署名者が誰であるか、いつ署名したかといったことも証明できます。改ざんとともに、発行元の確認ができることで、安全な電子文書のやり取りが可能となります。

ドキュサインの電子署名の場合は?

ドキュサインの電子署名においては、署名記録はクラウド上で行われ、署名が完了した文書はクラウド上で改ざんされないように安全に保管されます。署名済みの文書や記録はいつでもクラウド上で確認でき、またPDFファイルとしてダウンロードやデータ利用も可能です。

この時、署名の一連の記録を完了証明書としてPDF出力することができ、署名済みの文書および完了証明書は、AATLに登録されたEntrust社より発行されたドキュサイン名義の秘密鍵でデジタル署名を行った状態で長期検証可能なPDFファイルとしてダウンロードされます。従ってドキュサインから発行された文書かどうか、改ざんされてないかどうかは、前述の署名検証手順で確認することができます。

なお、EU Advancedなど署名者自身のデジタル署名を行った場合には、ダウンロードしたPDF内に、ドキュサイン名義の署名に加えて、それぞれのデジタル署名を確認することができます。

またドキュサインのホームページ上 https://validator.docusign.com/ では、ドキュサインで署名が完了した文書の検証が行えます。

おすすめ記事:ドキュサインの電子署名では何が記録されるの?

最後に

電子文書は今後、デジタルトランスフォーメーション(DX)の進展に伴い、より幅広い分野で利用されていくでしょう。その電子文書を利用した電子契約において、デジタル署名に関して正しい理解をもつことは、これからの新しいリテラシーになっていくものと考えられます。

Masao Ohkushi - Docusign Japan
筆者
Masao Ohkushi
Senior Sales Engineer
公開
関連トピック