MAST（マークル化抽象構文木）を実現する新しいアプローチとしてMERKLEBRANCHVERIFY opcodeの導入を提案するBIP-116が公開された↓

https://github.com/bitcoin/bips/blob/master/bip-0116.mediawiki

MAST（Merkelized Abstract Syntax Tree）とは？

Bitcoinのスクリプトでは IF/ELSEの分岐を使って以下のように複数のアンロック条件を定義することができる。

IF
  2 <アリスの公開鍵> <ボブの公開鍵> 2 CHECKMULTISIGVERIFY
ELSE
  HASH160 <H(x)> EQUAL <ボブの公開鍵> CHECKSIGVERIFY
ENDIF

このスクリプトにロックされたコインは、

• アリスとボブが協力してマルチシグをアンロックする署名の作成が必要
• ボブがハッシュのプリイメージを知っていればそのプリイメージとボブの署名が必要

のどちらかの条件を満たせばアンロックできる。つまりアンロックのパスは２つある。

こういったスクリプトはそのハッシュがP2SHの形式でscriptPubkeyに指定され、そのコインを使用する際のインプットのscriptSigに↑のスクリプトと↑のアンロック条件を満たす要素がセットされるようになる。

この一般的な手法には↓の２つの問題がある。

1. scriptSigにプッシュできる要素数には制限があるので巨大なスクリプトは組み込めないし、スクリプトのアンロック条件が多くスクリプトが大きくなるほどトランザクションサイズも増えるので手数料も増える。
2. 実際にコインを入手する際に使用するパスは１つだけなのに、使用しないパス（条件）も公開され誰もが参照可能な状態になってしまう（ケースによっては使用されない条件は秘匿したいということも考えられる）。

そこでスクリプトのパスについてマークルツリーを利用して↑の問題を解消しようというのがMASTを使ったアプローチになる。各アンロック条件のパスをそれぞリーフノードとしてマークルツリーを構成し、そのマークルートに資金をロックする。資金を使用する際は、実際にアンロックに使用する実行パスのスクリプトと、それ以外の条件のマークルブランチのハッシュと、使用する実行パスへのマークルパスをscriptSigのスタックに入れる。

こうすると実際にアンロックに使用するスクリプト部分のみが公開され、それ以外のスクリプトは秘匿されたまま、しかし与えられたマークルパスとハッシュから計算したマークルルートとロック時に使われたマークルルートを比較することで、スクリプト全体に対するコミットはされる。また全スクリプトを公開する必要がないことから、どんなに巨大なスクリプトでも構築することができ、scriptSig自体はコンパクトになることから手数料も大きくなることはない。

MASTの提案自体は、Johnson Lauが2016年4月にBIP-114として提案している↓

techmedia-think.hatenablog.com

BIP-114はSegwitによって導入されるwitness programに新バージョンを定義することで使用できるような提案になっており、segwitが導入されるのに時間がかかったこともありデプロイ計画はまだない。

今回のBIP-116は、BIP-114がwitness programの新しいバージョンでMASTをサポートするのに対し、まだ残りがある将来の拡張用のNOP opcodeを使って新しいopcode MERKLEBRANCHVERIFYを導入する仕様になっている。既存のスクリプト内で使用可能になるので非Segwitなトランザクションでも利用可能になる。個人的にはBIP-116の方がシンプルで既存のクライアントとも互換があるので、BIP-116によるMASTの導入に期待したい。

また、デプロイ方法にBIP-8を挙げてるのも興味深い。

techmedia-think.hatenablog.com

具体的なBIP-116の具体的な仕様については、BIPの内容を見てみよう↓

概要

Bitcoinのコントラクトの一般的な手法では、アンロック条件を全て列挙し、これらの条件の検証を１つのスクリプトにプログラムする。ロックされているコインを償還する際は、例えばif/elseのような条件が構成された場合、使用する条件を明示的に選択し、選択した条件を満たす要素をwitnessスタックにプッシュする。

この手法には、検証に使われないパスも含め全てのプログラムのパスをscriptPubkeyもしくはredeem scriptを含めなければならないという大きな欠点がある。これはブロックチェーンのスペースを無駄に消費し、プッシュ制限のためスクリプトのサイズを制限することなる。また特定のユーザーに向けたコントラクトであるケースも多く、その内容が全て公開されてしまうためプライバシーやファンジビリティの影響もある。

このBIPでは、スクリプトの作成者が償還時にスクリプトの全体を明かすことなく、償還に使用するスクリプトの１要素もしくは複数の要素のみを明らかにすれば済むように、ソフトフォークでアップグレード可能な新しいopcode MERKLEBRANCHVERIFYを提案する。公開鍵や検証サブスクリプトなどの要素をこれらのポリシーでエンコードし、MERKLEBRANCHVERIFYopcodeを使えば既存のBitcoinスクリプトの制限を克服できる。

仕様

MERKLEBRANCHVERIFYは既存のOP_NOP4 opcodeを再定義して使用する。実行した際、以下の条件のいずれかに当てはまるとスクリプトインタプリタはエラーで終了する。

1. スタックの要素が３つより少ない
2. スタックの最初の要素が2バイトより大きい
3. スタックの最初の要素は整数Nとして解釈され、Nが負の値であるか最小限のエンコードでない場合
4. スタックの２つめの要素が32バイトでない場合
5. スタックの３つめの要素がBIP-98で指定されているfloor(N/2) のVERIFYハッシュであるシリアライズされたマークルツリーのinclusion proofではない場合
6. 残りのスタックの要素にはfloor(N/2)未満の追加要素が含まれており、これらをあわせてインプットスタック要素となる。

Nの下位ビットがクリアな場合N&1 == 0、各インプットスタック要素はdouble-SHA256でハッシュされている。それ以外の場合は、各要素は正確に32バイトの長さである必要がありシリアライズされたハッシュとして解釈される（これらはVERIFYハッシュ）。

スタックの３つめの要素のマークルツリーのinclusion proofのVERIFYハッシュを使ってスタックに示されている順に上から下に計算して算出したfast マークルルートが、スタックの２つめの要素と一致しない場合、スクリプトインタプリタはエラーで終了する。

上記以外の場合は、NOPが実行されたかのようにスクリプトの実行が継続される。

動機

BIP16 (Pay to Script Hash)やBIP141 (Segregated Witness)では両方ともredeem scriptをscriptPubKey外につまりUTXO外に保持することができようにしたが、コインを使用する際にそのコインの全使用条件（redeem script全て）を明らかにしなければならない。これには償還に必要な条件のパスやポリシーが含まれる。この不必要な情報がブロックチェーン上に存在することは非効率なだけでなく、使用されていないスクリプトポリシーが識別される可能性があるためプライバシーやファンジビリティにも影響する。マークルハッシュツリーを使ってポリシーオプションにコミットし、償還時に使用するポリシーのみを明らかにすることで、この情報漏洩は最小限に抑えられる。

マークルハッシュツリーを使ってポリシーにコミットすることで、今までは組み込みのスクリプトサイズや実行時の制限のため不可能だったより複雑なコントラクトの構築が可能になる。ポリシーに対するマークルコミットメントにより、サイズや実行時の制限は全ポリシーの合計ではなく使用するポリシーのみに制限される。

論拠

Satoshiがブロックヘッダのマークルルートの計算に使用したマークルルートの構成には下位プロトコルにmalleabilityを導入する要因となる重複エントリーの脆弱性があるため、MERKLEBRANCHVERIFY opcodeはBIP-98で定義されたfast マークルハッシュを使用する。マークルプルーフにおけるmalleabilityは、MERKLEBRANCHVERIFYを使用するプロトコルに脆弱性をもたらす可能性がる。例えばコンパクトな2-of-Nのポリシーでは、MERKLEBRANCHVERIFYを使って同じツリーから２つの鍵が一度に抽出されたことを証明し、続いて同じエントリーが２回使用されなかったことを確認するためビット単位の等価性の証明をチェックする。脆弱なマークルツリーの実装では、バランスの取れていないマークルツリー内に特別なポジションがあり、１つのエントリーに対し複数のプルーフを構築できてしまう。

BIP141 (Segregated Witness)は、スクリプトバージョニングと呼ばれる強力なスクリプトアップグレードの仕組みサポートしており、以前であればハードフォークが必要だったアップグレードをソフトフォークで可能にした。スクリプトバージョニングをこの仕組みを導入すると、MERKLEBRANCHVERIFYはそのインプットを使用するように書くことができ、多くの予想されるユースケースに対して２バイトの節約が可能だ。しかし、スクリプトバージョニングではなく BIP65 (CHECKLOCKTIMEVERIFY)やBIP112 (CHECKSEQUENCEVERIFY)の導入の際に使われたより使い慣れたNOPを使った拡張ソフトフォークの仕組みが以下の２つの理由から採用された。

1. インフラストラクチャの互換性
   NOP拡張のソフトフォークにすることで、カスタムスクリプトを使用できる既存のソフトウェアでMERKLEBRANCHVERIFYを利用できるようになり、結果BIP143の署名コードを必要とせずP2SHやP2SHでネストされたP2WSHアドレスが使える。これによりMERKLEBRANCHVERIFYはスクリプトバージョニングやBIP-143の署名をライブラリやツールがサポートするのを待つことなく、必要なサービスですぐに使用することができる。
2. スクリプトアップグレードプロトコルの決定の遅れ
   今後のスクリプトのアップグレードに関して、スクリプトバージョニングをどのように使用すべきか未解決の問題がある。将来の拡張用に確保されているスクリプトバージョンは16種類しかないため、希少なリソースとして扱う必要がある。さらに、スクリプト機能のバージョニングはおそらくwitnessに対して定義されるべきで、BIP141のスクリプトバージョニングはwitnessの構造を定義するのにのみ使用されるが、まだそのようなプロトコルは無い。NOP拡張スペースを使用することで（既に利用可能な拡張スペースを利用しているので）、スクリプトのアップグレード手続きが完了するまでMERKLEBRANCHVERIFYが停滞するのを防ぐことができる。

MERKLEBRANCHVERIFY opcodeではVERIFYハッシュを直接提示するか、リーフの値をdouble-SHA256して計算する。ほとんどの場合、後者のアプローチはリーフの値を前処理なくブランチの検証と他の目的の両方に使用できることが期待される。しかし既に計算済みのハッシュをインプットとすることで、チェーンされたMERKLEBRANCHVERIFYopcodeを使って520バイトのプッシュ制限を超えるほど大きなプルーフを持つツリーのブランチを検証することができる。定義されているように、リーフから15番めの内部ノードをルートとして証明し、そのノードのハッシュが実際のマークルツリーのルートハッシュの子であることを証明することで30ブランチパスを検証できる。（ハッシュ値をキーとするバイナリプレフィックスツリーのような）250ブランチパスの検証は、18の連鎖検証が必要だが現在のスクリプトの制限内に収まる。

アプリケーション

1-of-N（Nが巨大な場合）

スクリプトサイズによる線形スケーリングなく、巨大なセット内の任意の鍵でコインを使用するredeem scriptは以下のようになる。

redeemScript: <root> 2 MERKLEBRANCHVERIFY 2DROP DROP CHECKSIG
witness: <sig> <pubkey> <proof>

redeem scriptは標準のpay-to-pubkey-hashにとても似てるが、P2PKHにおいてpubkeyのハッシュがP2PKHのハッシュ（コミットメント）と同じであることを示す代わりに、pubkeyはredeem scriptでコミットされているマークルツリーに含まれる多くの公開鍵の１つであることを示している。最初のパラメータ2の下位ビットは((2>>1) == 1)でインプットが１つある（シリアライズされた公開鍵）ことを指し、そのVERIFYハッシュはdouble-SHA256を使ってMERKLEBRANCHVERIFYで計算する必要がある。

ハニーポット

Pieter Wuilleによって説明されているように*1、1-of-Nのスキームはハニーポットの構築に特に有用だ。サーバー自体の価値よりも大きな特典をつけるのが大事で、サーバーに侵入された場合ハッカーはそのサーバより価値のあるビットコインを入手する＝サーバーへの侵入が明らかになる。しかしサーバの数が多い場合（1,000台とか）、各サーバ毎に別々の賞金を確保するととても高額になる。同じ賞金が複数のサーバで共有され、どのサーバが侵入されたか明らかになるのが望ましいだろう。

これには1000個の別々の鍵を生成し、これらの公開鍵のハッシュツリーを構築し、各鍵と関連するマークルパスをそれぞれのサーバに配置することで実現できる。ハニーポットが請求されたとき、前のコインのオーナーは資金の請求に使われた鍵とパスからどのサーバが侵入されたのか知ることができる。

実装

このBIPの実装はコンセンサスコードの更新とテストの両方を含み、以下のリポジトリで公開されている。

https://github.com/maaku/bitcoin/tree/merkle-branch-verify

デプロイ

このBIPはBIP-8を使ってデプロイされ、merklebranchverifyという名前でbit 2を使用する。

Bitcoinのmainnetでは、BIP8のstartheightがM（未決定）で、timeoutはM+50,400ブロック後。

Bitcoinのtestnetでは、BIP8のstartheightがT（未決定）で、timeoutはT+50,400ブロック後。

DISCOURAGE_UPGRADABLE_NOPSは、この機能を使用するトランザクションが既にネットワークルールで非標準とみなされているため、例えばBIP68の時よりデプロイは容易になる。

互換性

古いクライアントはOP_MERKLEBRANCHVERIFYをNOPとみなして無視する。プルーフは検証されないがトランザクションは承認される。

8/1にBitcoin Cashが分岐した際、BTCとの間のリプレイアタックに対する保護の仕組みを組み込む必要があり、この時SIGHASHを利用する仕組みが導入された。

spec/replay-protected-sighash.md at master · Bitcoin-UAHF/spec · GitHub

最近分岐したBitcoin Gold（BTG）も同じ仕組みを採用したようだ。

SIGHASH_FORKID

通常トランザクションに署名する際には、トランザクションのどのスコープまで署名するか決めるのにSIGHASH TYPEと呼ばれるものをセットするようになっている↓

techmedia-think.hatenablog.com

基本となるSIGHASH_ALL、SIGHASH_NONE、SIGHASH_SINGLEの３つタイプにSIGHASH_ANYONECANPAYというフラグを組み合わせることで計6通りの署名スコープをセットできるようになっている。
（ほとんどのトランザクションはSIGHASH_ALLを使っている。）

フォークを識別するため、SIGHASH_ANYONECANPAYのように追加されたフラグがSIGHASH_FORKIDで以下の値がフラグとして決められている。

SIGHASH_FORKID = 0x40

HF後、このフラグがセットされていないトランザクションはBCHやBTGのブロックチェーン上では無効なトランザクションと判断される。尚、BTCのチェーンでは、セットされているSIGHASH_TYPEからSIGHASH_ANYONECANPAYを除去した結果、その値がSIGHASH_ALL(0x01) 〜 SIGHASH_SINGLE(0x03)の間でなければ署名のエンコードチェックでエラーになる。つまり、 SIGHASH_FORKID（0x40）フラグがセットされていればエラーになる。

署名スコープがSIGHASH_ALLでBCHやBTGのトランザクションの署名を作る際、そのSIGHASH TYPEは

SIGHASH_ALL(0x01) | SIGHASH_FORKID（0x40） = 0x41

になる。

実際にBitcoin Cashのトランザクション↓

https://www.blocktrail.com/BCC/tx/50c22f9cb1fbeec34fb9a77fdd54bcfa65c6ae65deebc6e06655867d0d659b3d

のインプットのscriptSigを見てみると↓

304502210085b726543e566fe2921f801f548e18bfb67662de920f0264bee6086e610af553022011103703f8cbc19c33c213e546da169434f3334c20f456fdf36fd2ea33fe4e1b41 
033489bdf777f135fa9ab0f31bd795a60a56d7daddc0ae18c6c1ad4d8589d2c72e

１つめの要素が署名で2つめの要素が公開鍵。署名の最後にはSIGHASH TYPEをセットする決まりなので、上記から41 = SIGHASH_ALL | SIGHASH_FORKIDになっていることが分かる。

Bitcoin Goldのトランザクションも↓

https://btgexp.com/api/getrawtransaction?txid=6673dd19df842c2777201718d95edca600f72de6bf508727604ddb0834212323&decrypt=1

41 = [ALL|FORKID]が適用されていることが分かる。

fork id

BCHもBTGもどちらもSIGHASH_FORKIDフラグが付与されているのは分かったが、これだけだとBTC⇔BCH,BTGのリプレイ保護にはなるけどBCH⇔BTG間のリプレイ保護にはならない。そのため共通のSIGHASH_FORKIDフラグとは別に各チェーンを識別するためのfork idが存在する。各チェーンのfork idの値は以下の通り。

このfork idは、署名対象のトランザクションのダイジェストデータであるSIGHASHを生成する際に加味される。BCHもBTGもトランザクションのダイジェストデータを生成する仕様は、BTCのsegwitで導入されたBIP-143のルールに従う↓（BCHはsegwit導入はしていないけどこの仕様だけは導入している）

techmedia-think.hatenablog.com

オリジナルのBIP-143と唯一違うのは、このSIGHASHを生成する際に使用するSIGHASH TYPEの最上位bitにfork idを含める点だ。BCHのfork idは0なので実質何もする必要はないが、BTGの場合は79なので↓のようにSIGHASH TYPEにfork idのビット和を適用する必要がある。

hash_type = hash_type | (79 << 8)

これにより、BTGのトランザクションをBCHのチェーンで署名検証すると、署名対象データであるSIGHASHを生成する際に使用する値（fork id）が違っているので署名検証に失敗し、リプレイ攻撃から保護できるという仕組みだ。

以上のSIGHASH_FORKIDとfork idがリプレイプロテクションの仕組みなので、この仕組みを採用しているBTC派生チェーンで有効なトランザクションを作成する際は、

1. トランザクション署名時のSIGHASH TYPEにSIGHASH_FORKIDフラグを適用
2. SIGHASH生成時に使用するSIGHASH TYPEの最上位bitにfork_idを適用（BCHのみ省略可）

すれば、それぞれのチェーンで有効なトランザクションが生成できる。トランザクションについては他はBTCと変わらないみたいなので、各チェーンのコインを送金したい場合は↑のルールに則って署名すればいいだけ。

気になる点

• この仕組みはSIGHASHを使った仕組みなので、当然ながらOP_CHECKSIGやOP_CHECKMULTISIGを使用せず署名検証が必要のないスクリプトの場合、リプレイ保護は提供されない（まぁほとんどは署名検証をするスクリプトになっているということだろう）。
• SIGHASH_FORKIDは署名の最後のSIGHASH TYPEを確認すれば簡単に分かるが、fork idはSIGHASH生成時の１要素なだけなので署名データから明示的に確認する方法はなく、そのチェーンで有効なfork idなのかは署名検証するまで分からない。
• 署名検証のコストも考慮すると、ネットワークのservice bitsなんかで互いを識別して接続しないようにするとかした方が、各ノードが無駄なコストを負担しなくて済むように思うけどどうなんだろう？

OpenSCにマイナンバーカード（JPKI）の対応がマージされていたので、OpenSCを使ってマイナンバーカードの登録情報を確認してみる。

github.com

使用したカードリーダーは↓でMacでも認識できた。

amzn.to

カードに登録されているオブジェクトのリスト確認

まずカードに登録されているオブジェクトを確認してみる。

$ pkcs15-tool --dump
Using reader with a card: Gemalto PC Twin Reader
PKCS#15 Card [JPKI]:
    Version        : 0
    Serial number  : 00000000
    Manufacturer ID: JPKI
    Flags          : 
PIN [User Authentication PIN]
    Object Flags   : [0x12], modifiable
    ID             : 01
    Flags          : [0x12], local, initialized
    Length         : min_len:4, max_len:4, stored_len:0
    Pad char       : 0x00
    Reference      : 1 (0x01)
    Type           : ascii-numeric
    Tries left     : 3

PIN [Digital Signature PIN]
    Object Flags   : [0x12], modifiable
    ID             : 02
    Flags          : [0x12], local, initialized
    Length         : min_len:6, max_len:16, stored_len:0
    Pad char       : 0x00
    Reference      : 2 (0x02)
    Type           : ascii-numeric
    Tries left     : 5

Private RSA Key [User Authentication Key]
    Object Flags   : [0x1], private
    Usage          : [0x4], sign
    Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
    ModLength      : 2048
    Key ref        : 1 (0x1)
    Native         : yes
    Auth ID        : 01
    ID             : 01
    MD:guid        : c5a0a252-9d2d-eb60-fec0-41b4fbd722a2

Private RSA Key [Digital Signature Key]
    Object Flags   : [0x1], private
    Usage          : [0x204], sign, nonRepudiation
    Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
    ModLength      : 2048
    Key ref        : 2 (0x2)
    Native         : yes
    Auth ID        : 02
    ID             : 02
    MD:guid        : e1bc1dae-59f1-16ab-b43f-9dafbb2acc9b

Public RSA Key [User Authentication Public Key]
    Object Flags   : [0x0]
    Usage          : [0x0]
    Access Flags   : [0x2], extract
    Key ref        : 1 (0x1)
    Native         : yes
    Path           : 000a
    ID             : 01

Public RSA Key [Digital Signature Public Key]
    Object Flags   : [0x0]
    Usage          : [0x0]
    Access Flags   : [0x2], extract
    Key ref        : 2 (0x2)
    Native         : yes
    Path           : 0001
    ID             : 02

X.509 Certificate [User Authentication Certificate]
    Object Flags   : [0x0]
    Authority      : no
    Path           : 000a
    ID             : 01
    Encoded serial : 02 03 1C3301

X.509 Certificate [Digital Signature Certificate]
    Object Flags   : [0x1], private
    Authority      : no
    Path           : 0001
    ID             : 02

X.509 Certificate [User Authentication Certificate CA]
    Object Flags   : [0x0]
    Authority      : yes
    Path           : 000b
    ID             : 03
    Encoded serial : 02 01 01

X.509 Certificate [Digital Signature Certificate CA]
    Object Flags   : [0x0]
    Authority      : yes
    Path           : 0002
    ID             : 04
    Encoded serial : 02 01 01

• JPKIのカードオブジェクト
• 認証用のPIN
• 署名用のPIN
• 認証用のRSA秘密鍵
• 署名用のRSA秘密鍵
• 認証用のRSA公開鍵
• 署名用のRSA公開鍵
• 認証用のX.509証明書
• 署名用のX.509証明書
• 認証用の認証局のX.509証明書
• 署名用の認証局のX.509証明書

が登録されていることが分かる。

証明書の確認

↑のうち、ユーザーの証明書は認証用のX.509証明書と署名用のX.509証明書。

まずユーザー認証用のX.509証明書の内容を確認してみる。

$ pkcs15-tool --read-certificate 1 > user-auth.pem
Using reader with a card: Gemalto PC Twin Reader
$ openssl x509 -text -noout -in user-auth.pem

opensslコマンドで証明書の内容を確認できる。

X509v3 Issuer Alternative Name: 
   DirName:/C=JP/O=\xE5\x85\xAC\xE7\x9A\x84\xE5\x80\x8B\xE4\xBA\xBA\xE8\xAA\x8D\xE8\xA8\xBC\xE3\x82\xB5\xE3\x83\xBC\xE3\x83\x93\xE3\x82\xB9
X509v3 CRL Distribution Points: 
   DirName:/C=JP/O=JPKI/OU=JPKI for user authentication/OU=CRL Distribution Points/OU=Fukuoka-ken/CN=Iizuka-shi CRLDP

発行者は"公的個人認証サービス"で、CRLのDistribution Pointsは福岡県飯塚市になってる。各市町村が証明書の失効リストを管理していることになる？

この認証用の証明書には個人情報は掲載されていない。

個人情報が含まれているのは、署名用のX.509証明書で、個人の氏名、生年月日、性別、住所といった本人確認に必要な情報が含まれている。続いてこの証明書の内容を確認してみる。

先程と同様にpkcs15-toolで確認しようとすると

$ pkcs15-tool --read-certificate 2 > user-signature.pem
Certificate read failed: Security status not satisfied

とエラーになる。どうやらこっちはPINでロックされてるみたい。

なので--verify-pinオプションでPINの検証をする。この時、署名用のPINのIDは02なので--auth-idオプションでそのPINを指定して実行する。すると署名用のPINの入力を求められるので入力すると署名用のX.509証明書が表示される。

$ pkcs15-tool --read-certificate 2 --verify-pin --auth-id 02
Using reader with a card: Gemalto PC Twin Reader
Please enter PIN [Digital Signature PIN]: 
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

証明書のX509v3 Subject Alternative Nameに個人情報が記載されているが、UTF-8で記載されているこのデータはopensslコマンドで確認しても

othername:<unsupported>, othername:<unsupported>, othername:<unsupported>, othername:<unsupported>, othername:<unsupported>, othername:<unsupported>

となるだけなので、別途OpenSSL::ASN1などでパースする必要がある。

rubyでパースするサンプル↓

require 'openssl'

cert = OpenSSL::X509::Certificate.new File.read('証明書のパス')
subject_alt_name = cert.extensions.find {|e| e.oid == 'subjectAltName'}

asn_san = OpenSSL::ASN1.decode(subject_alt_name)
asn_san_sequence = OpenSSL::ASN1.decode(asn_san.value[1].value)

asn_san_sequence.each do |asn_data|
  key = asn_data.value[0].value
  value = asn_data.value[1].value[0].value
  puts "#{key}: #{value}"
end

証明書に記載されている個人情報が確認できる。

最後に

公的認証された証明書やキーペアを日本国民であれば誰でも手に入れられ、それらを利用すれば各サービス毎の煩わしい本人確認のプロセスは簡略化できると思うので、今後そういったサービスが充実していくのに期待したい。まぁカードの場合リーダーとセットで不便なので、スマホなどへのインポートができるとさらに便利になると思う。

まぁ、本当に秘密鍵を知ってるは本人だけなのか？という疑念はあるけどなー。マイナンバー登録時に鍵にアクセスする際のPINの登録はするけど、その際に秘密鍵作ってるわけではないし。