SSL の存在を→ 知っている 知らない
SSL 利用者の常識を→知っている 知らない
フィンガープリント照合を知っている
別経路から入手する必要性を知っている Aa Ab Ac
別経路から入手する必要性を知らない Ba Bb Bc
フィンガープリント照合を知らない Ca Cb Cc
さて、ここで重要なのは、これらの知識の有無にかかわらず、危険と知りつつも実行してしまう人の存在です。これを LA としましょう。その他は、自分が安全と考える手段が無ければ「やめる」「文句を言う」という選択をする人です。これは誤った知識が無い限り騙されない人です。これを HA とします。たとえば、何も知識が無い Cc の人は、言われたままやるか(LA)やめるか(HA)、です。何らかの知識がある人は、「知らない手段」「知っているが安全でない手段」が提供されている場合に、HA/LA に分かれます。
LA/HA の比率は知識別グループ毎/及び提供される手段毎に異なると考えています。「知っている安全な手段」が提供されていても、その手間が甚大だから実施できない人も LA です。
※「知っているが安全でない手段」は、「フィンガープリントが(同一サーバで/httpで)配布されている」「SSL なのに URL が見れない」などね。
# あんまり分類得意でないので、よりすっきりした分類出来れば誰かよろしくです^^;。
## ここ見てるのが私とあなただけでも無いようですので^^;。今はわかんないけど^^;;
で、現状のものに騙される人は「SSL なページがあると思わなかった人たちだから騙された」ケースと「SSL なページがあると思ったが見つからないので仕方なく指示に従って騙された」に分類され、今回両者を LA としていますが、前者は提供側が SSL なページを用意しても騙され続ける、という点について同意します。しかし後者を救うことが出来ます。現在の LA/HA の定義からすると LA が HA になるという表現は誤りでした_o_。
政府関係者の無知にはあきれるかも (スコア:2, すばらしい洞察)
と堂々と言ってのける総務省官房企画課だね。
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという
Re:政府関係者の無知にはあきれるかも (スコア:0)
あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
ブラウザにまだインストールされてないルート証明
Re:政府関係者の無知にはあきれるかも (スコア:1)
引用コメントが完全な解決にはならないのは確かで
Re:政府関係者の無知にはあきれるかも (スコア:0)
高木氏の「安全のため=SSL使え」「SSL使ってない=安全でない」という固定観念から抜け出せない様を「SSL安全神話・SSL至上主義」と書いたのです。
で、それに洗脳されちゃってるから「SSL使ってないから安全じゃない」→「たとえ警告出ててもSSL使えば安全じゃないか」という間違った考え方をする人が出てくる。
そもそもルート証明は、安全でない通信路を通して安全に配布するためにフィンガープリントという仕組みが用意されている訳で、それを使えば(完全にではありませんが)十分に安全に配布できるものです。
もちろん正しくSSLを使えば微々たる安全性の向上はしますが、SSLで守られる「安全」は全ての「危険」の中のごく一部にしか過ぎません。
Re:政府関係者の無知にはあきれるかも (スコア:0)
偽サーバで…以降の意味がわかりません。
- SSLなのに「httpで」とは?
Re:政府関係者の無知にはあきれるかも (スコア:1, 参考になる)
そのときも 論破されてました [srad.jp] けど?
Re:政府関係者の無知にはあきれるかも (スコア:0)
前のコメントはURLをベタベタ書いたせいか「余計なもの」にされちゃったので、もう少し簡略化して書きますね。
たとえば、
A→B→C→D
というリンクがあるとします。ここでDはルート証明書とします。ルート証明書をSSLで配布するために、ルート証明書のDとその前のページCをSSLにします(SSLのページは小文字でd, cと書きます)
A→B→c→d
でもBのページは相変わらずhttpなので、これを偽造されて
A→B'→
Re:政府関係者の無知にはあきれるかも (スコア:0)
C’の画面を見て、https になっていないこと
Re:政府関係者の無知にはあきれるかも (スコア:0)
それで「おかしい」と気付くためには「cがSSLで提供されているはず」という予備知識が必要ですが、そんなものはありません
「cのページはSSLで提供されています」という事を周知する労力をかけるぐらいなら、本来の確認手段であるフィンガープリントを周知する方に力をいれるべきでしょう。
もちろんトップページに「SSLだよ」なんて書いても無意味です
Re:政府関係者の無知にはあきれるかも (スコア:1)
まだやってるとは…。
この議論では http じゃ危険だという予備知識があるということは前提なんでしょ? それすらわからない人がだまされることを阻止することは出来ません。
その上で、「フィンガープリントが(どこか他の場所に)公開されてるはずだから」とか「フィンガープリントを照合する必要がある」という予備知識を周知するのと、「SSL で提供されるはずだから https:// になってるか確認する」という予備知識を周知するのはどっちが現実的ですか?
Re:政府関係者の無知にはあきれるかも (スコア:0)
そんなこと言ったら、申請のフォームがSSLで提供されていることも予備知識じゃないから、ニセの申請フォームに気づかないわけだ。ネットショップでSSL使うのも意味ないし?
Re:政府関係者の無知にはあきれるかも (スコア:1)
ここで jbeef 氏が指摘している [srad.jp]
この点だけを(SSL不完全論の)拠り所にしているようです。
確かに、SSL はコンテンツのすり替えを検出してくれるわけではないので、偽のルート証明書を総務省サーバに混入されちゃえば、SSL で安全、とはならず、フィンガープリント照合の必要性も現実味を帯びます。しかし、そんなのすぐばれますし、その場合完全に総務省の責任でしょう。まったく知らない場所で偽の証明書が配られるのとはわけが違うんですから。
Re:政府関係者の無知にはあきれるかも (スコア:0)
勝手な前提を作らないで下さい。
いやhttpが危険だという事は予備知識として期待しても良いかもしれませんが、その危険を回避するために「SSLを使う」というのは前提にはできません。
ルート証明書配布で、その危険を回避するための仕組みとして用意されているのは「フィンガープリント」であり、「SSLを使うべき」などという「前提」も「常識」も存在しません。
# あなたや高木氏の脳内には存在するかもしれませんが
実際、俺様認証局(高木氏の言ですが面白いので使ってみよう)の多くは
Re:政府関係者の無知にはあきれるかも (スコア:0)
そこに至る経路でSSLで用意されているページ以外の所へ誘導されてしまうという話をしています。
Re:政府関係者の無知にはあきれるかも (スコア:0)
何をそんなにムキになっているのやら。
> 一般の人に「ルート証明書は大事なものだからSSLで配られてるはず
> だ」などという「前提」「常識」を期待するのは間違っている
ルート証明書が大事なものだとわからない人は,フィンガープリントも確かめないでしょう。だって,どこにフィンガープリントがあるの?
> 十分に注意深い人「以外の」人に使わせるシステムだからこそ、
> こういう議論が起こっているのではありませんか?
十分に注意深い人以外の人が,フィンガープリントを見る
感想文 (スコア:0)
という自分の常識を作り上げてそこに嵌って抜け出せなくなってるんじゃないかな?
一切の常識(と自分が思ってる事)とか仮定を排除して、不特定多数の人がどう行動するかという事を客観的に考えられなくなっているように思う。
SSLを使って、SSLでやり取
Re:政府関係者の無知にはあきれるかも (スコア:1)
ダウンロードしたコンテンツがオリジナルかを確かめるにはハッシュをチェックするというのは我々レベルでは確かに常識だし、ルート証明書のような情報を特定の相手に間違いなく届けるという目的であればそうすべきと思います。
しかし、今回のものは不特定多数の非技術者ユーザに配布する、というものですよね。そういう前提で出た「現実的な対策」案であるということを忘れていませんか?
元の論文でも、フィンガープリントの配布が徹底されていないことが問題だとされてますし。…解決案の第一が SSL なのか。だからそこを突っつこうとしてるのね。しかし(他コメントでも既出ですが)もちろんそこでフィンガープリントの照合に関しても触れられていますね。少なくともフィンガープリントの照合で防げる問題ということ程度は高木氏は充分に理解したうえで、現実的な対策を書いていることは解ると思うんだけどなぁ。
なお、ハッシュをチェックするという行為は、ある種の P2P ソフトのおかげでいくらか一般にも認識が広まりつつあるとは思います。ってそういう層は一般とは言わないかもですが^^;。
Re:政府関係者の無知にはあきれるかも (スコア:1)
それ以外の点は全部 SSL 利用者の常識レベルで回避できることが示されていると思いますが。
とっくに論破:Pされていますね。
Re:感想文 (スコア:1)
SSL だけとは限りません(当然)
SSL を使った安全な情報やり取り方法はほぼ確立されていますが。
もうこの辺はわやくちゃ^^; 思い込み激しいですね。:P
不特定多数の人が現在の総務省の方式でフィンガープリントの照合が出来るかよっていう客観的な視点から出たネタじゃないんですか?
SSL が安全であるためには、URL 表示欄が "https://目的のドメイン名" となっていて、その証明書が valid であること、は常識(というかその確認を怠ると安全は保証されない)ですが、その SSL の常識さえ知っていれば、サーバ上のコンテンツが入れ替えられる以外の全ての危険を(今のところ)回避可能なんですけど。
その(SSL 利用者の)常識を知っていればバイパスなんて出来ません。
御理解いただけますでしょうか?
# どうも上の引用文を見てると SSL の目的を暗号化だけと思われている節が…
## なんか代弁をしているようでちょっと恐縮_o_
Re:感想文 (スコア:0)
> このスレとか3月の議論とか見て思ったんだが、
それは違うんじゃないかな。
HTTPS でないと安全でないことを知らなかったら,もはやどうともならないわけで。
それはもう Web を使う人の最低限のリテラシーで,HTTPS でない
Re:政府関係者の無知にはあきれるかも (スコア:0)
いえ、別にムキになってる訳じゃありませんが
「ルート証明書が大事なものだという事を啓蒙する」「フィンガープリントを(インターネット外で)周知する」というのは、まだ十分でなく、これからもっとやらなくて
Re:政府関係者の無知にはあきれるかも (スコア:0)
「そうすべき」というのであれば、そうすべきなのでは?
それができないのであれば、そもそもルート証明書の配布なんてすべきではないですね
「URLがhttps
Re:政府関係者の無知にはあきれるかも (スコア:1)
「SSL 利用者の常識」とまで言う理由は既にいろんなところで言われてると思うんですけど…。もっとも身近なところで
ここでも見てください [srad.jp]。
フィンガープリント照合の必要性の周知よりずっと深刻ですよ。SSL の常識が周知されてないことは。
まだこっちのほうが(その使用頻度から)常識化されやすいから SSL 化が「現実的」な解決方法(と高木氏は主張しているんだろう)なんですけどまだ突っつきたいですか?
Re:政府関係者の無知にはあきれるかも (スコア:0)
> プリントを(インターネット外で)周知する」というのは、まだ十分
> でなく、これからもっとやらなくてはいけない事だと思います。
役人の答弁みたいですね (^^;
いくらもっとやっても無理じ
Re:政府関係者の無知にはあきれるかも (スコア:1)
Re:政府関係者の無知にはあきれるかも (スコア:0)
>「URLがhttps://....soumu.go.jp を確認してください」というのを周知するのが
>現実的で「証明書のフィンガープリントの部分が hoge hoge となっ
>ている事を確認してください」というのを周知するのが現実的でないと?
当然そうじゃないかなあ。
というか,素朴に,#195696 の AC さんのような考え方をする人がいるというのが不思議なんだけど。
フィンガープリントは覚えきれないほど長いんですよね。
>証明書にsoumushouと書かれている事を確認してください」というのを周知する
それはいらないでしょ?
証明書の名前に意味があるのかしら。
Re:政府関係者の無知にはあきれるかも (スコア:0)
「SSLの常識」というのを(今回の件とは独立に)周知しておいた方が良いというのには別に異論はありません。
ですが、今回の件に限れば、「SSLでないからダメだ」「SSLにすべきだ」という根拠は何?
ルート証明書の配布において、最低限しなくてはいけない事は、「安全にフィンガープリントを配布する事」です。
それに+αで何をするかというのは、その配布対象や重要度によって変わって来る事で、場合によっては「各自の自宅/会社に人が出向いてルート証明書をインス
Re:政府関係者の無知にはあきれるかも (スコア:1)
という状況にあるフィンガープリントの照合という手順を用いて、しかも周知が不徹底な現状よりは、SSL のほうがよかったんじゃない? ということだと思いますけど。
違うと思うけど^^; 私納得できる主張だと思いましたけど。なんだかなぁ。フィンガープリント獲得/照合と、SSL での接続先確認のユーザの手間と確実性の違い、及び SSL でも危険度に差はほとんどないことはもう納得いただけたんでしょうか? そんなわけないでしょう。
Re:政府関係者の無知にはあきれるかも (スコア:1)
周知されている(と期待せざるを得ない)のは、「HTTP では危ない」という点のみであるというのも良いですよね?
# 私はその上「SSL はある種の安全を提供できる」というのも周知されていると思いますが。
# それが過剰で「SSL の常識」を理解せずに安全と思われているフシがあることは別問題。
# それこそショッピングサイトなどで周知がんばれといったところ。
ルート証明書を入れるのがリスクを伴うことだとユーザが理解していたとして、攻撃者が http な dns spoof した偽サイトを用意した場合、「HTTP では危ない」と思ったユーザはどうするでしょう?
そこに、偽のフィンガープリントがあって、それと照合してくださいなんて書かれてたらあっさり騙されるのでは?
「フィンガープリントの常識」が周知されていればいいんですよ。でも、総務省の最初のやり方は、上記の騙りをしやすくするようなものだったわけですよね?
あーもうだいぶおんなじことばっかり言ってだれてきたなー。「fingerprint の常識」「SSL の常識」認知度合いと周知度合い(つまりやるべきことがわかっていて且つ実行してもらえる割合)、いずれも圧倒的に「SSL の常識」が上だと思うんですけど、それが統計に基づいていない主観だからだめだという意見に対しては、そりゃ実態調査していたほうが良いだろうけど私はノーコメントです。
Re:政府関係者の無知にはあきれるかも (スコア:0)
その2点は認めます。
それではこちらからも確認しますが、「ルート証明書はSSLだけで配布されてるはずだ」という「常識」も(現時点では)存在しないし、その事を周知する手間は必要だという事は認めてもらえますか?
# 「SSLの常識」とあなたのおっしゃる知識と、該当
Re:政府関係者の無知にはあきれるかも (スコア:1)
いえいえ、最初のコメントのほうは最後までちゃんと読まずに書いちゃってたんです_o_。
そういう常識は存在しませんが、「http は危険」->「(ごく一般的な意味で)https になってないと危険」レベルの常識はあるでしょうね。なぜなら SSL(TLS)以外でそこまで浸透している代替手段がないのですから。
というわけで、「http は危険」->「SSL でページが提供されているのでは?」程度は、常識かどうかはともかく期待しても叩かれないでしょう。
# 御指摘どおり統計なしの主観ですが、他の誰かもリテラシーとして常識では?と言ってたなぁ。
さて、現在(だって叩きどころころころ変わるんだもん^^;)あなたが問題としているのは、
ここにある通り、「SSL 利用者の常識」が周知されていないことの一点に尽きると言ってよいですかね? その周知がされていないのに SSL を勧めんなよ、と。周知がされてさえいれば、今回の論文の主張に問題はなかった、と。(「fingerprint の常識」が周知可能であればそれを第一に勧めるべきだが、その点はまた別)
その点に関して、私は実際に SSL を使っているショッピングサイトなどががんばれ、と先に書きましたが、高木氏自身も周知しようと努力されているようですよ。
こういうことを指示してくるサイト実際にありますよね。こういうサイトは、作成者が「SSL の常識」を知らないばかりか、利用者の「SSL の常識」への誤解を誘発する極悪サイトでしょう。高木氏は memo-ml などでそういうサイトに対する指摘を積極的にしていました。ちなみに上記手法で騙せるというのであれば、世の中の商取引サイトは全て騙せると言っているに等しいですよ。だから深刻な問題なんですが。
あなたの主張が、「フィンガープリントの照合に関してはほとんど理解している人がいないから誤解をさせずにすむ可能性があるんだ。SSL は既に誤解している人が多く、偽の安全に騙されやすいから問題なんだ」ということなら、それは確かにそうでしょうけれど、ほとんど理解されていないなら、これからいくらでも騙せるということでもありますので差はないでしょう。
えー、その論法ではフィンガープリントを用いる方法では SSL 以上に危険な状況である、と言っていることになると思うんですが。
# ブラウザは何も警告しません :P
では、そろそろあなたから現実的な代替手段を提案していただけますでしょうか?
そうすればこちらが叩く側に回らせていただきますので。:P
Re:政府関係者の無知にはあきれるかも (スコア:0)
ころころ変わるというより、あるかないかわからないし、一般的にはどの程度まで浸透してるかわからない「常識」を持ち出して来て、そういうあやふやなものに立脚した「安全」を主張されるから、「攻撃する方法は色々あるよ」って話をしてるだけですが。
たとえば、玄関の鍵をピッキングで開けて侵入するピッキング盗が流行ってるから対策として鍵を変えましょう。いっそ変えるんだから電磁ロックで指紋認証にして防犯カメラも付けましょう。これでより「安全」になりました
Re:政府関係者の無知にはあきれるかも (スコア:0)
それがSSLを導入する必要が無いとする根拠になるのですか?
完璧な方法は無いのだから何もしなくていいと主張しているように受け取れます。
「電子政府に100%の安全はなく、やむを得ない」というのと同じ論法になってますね。
>他に脆弱な所があれば、玄関の鍵をピッキング対策錠に変える以上の対策は無駄な対策だったって事になりますね。
他に脆弱な場所が無いか検証しなければいけないのは当然として、それをピッキング対策錠が「必要ない」という根拠にはなりませ
Re:政府関係者の無知にはあきれるかも (スコア:1)
# ちなみにおそらく最も現実的な「やめる」という案は高木氏の立場上出来ないんでしょう:P。やるという前提でどうするか?です。
Re:政府関係者の無知にはあきれるかも (スコア:0)
「人を騙す」ってのはソーシャルな問題なんですよ。
それなのに、そのソーシャルな問題には目を瞑って技術論に持ち込んでも意味無いでしょ。
ソーシャルな大きな問題に、僅かな技術的解決が追加されただけで、いきなり「現実的な解決策」ですか。
「技術的にはここまでしかできない」というのと「十分な対策をした」というのを混同してませんか?
技術的にできる限りの事をやっても解決できない問題であれば、それは全然「現実的な解決策」ではありません。
Re:政府関係者の無知にはあきれるかも (スコア:1)
僅かなではありません。大きなソーシャルの問題を大幅に軽減する現実的な解決策でしょう。それでもまったく何も知らない人なら騙せるという意味で、ソーシャルな攻撃方法を突き詰めていけば必ず攻撃手段が残るでしょう、ということです。
だからどうすればよかったの? と聞いたのに-_-。大体「現実的」の意味解ってるんでしょうか?
だから(論文なり記事なりの)表現がまずいといってるわけでしょ? (解決案の提示順、くらいかな?)
新聞記事ははしょってる部分があるだろうとは思いますが、「http のページでフィンガープリントを公開している」んでしょ? その公開場所が膨大ならともかく。また、「SSL にすれば完璧に安全」なんてどこにも書いてないんでしょ? 今より安全という趣旨なら書いてあるかもしれませんが:P
毎日新聞の記者は誤った感想(事実も)を記事にしてはいないようですね:P
「フィンガープリントを Web の特定ページでしか配布しないならそれが改ざん/詐称されないようにしなきゃ危険」。当たり前じゃないですか。「その手段として SSL を用いるべき」。現状の普及度を考えたら他の手段はないでしょう。
「SSL が使われていれば詐称攻撃も防げる」ことを知らなかった人は、SSL を勧めた=だめじゃん という感想を持つでしょうね :P だから、論文にちゃんと書いてあったのに。もちろん逆に「SSL が使われているだけで詐称攻撃も防げる」と勘違いしている人には、SSL? トーゼンじゃん、となって今後も騙される機会を持ったままになるでしょうね。
なので、SSL の常識の啓蒙活動がなされているわけですが。んで、総務省は何をしたんですっけ?
再再再度念のためですが、フィンガープリントの常識は周知されればすむ問題でもないんですよ? どこから入手すれば良いのか? という問題が常に付いて回るんですから。# 私はめんどくさい^^;
それはそれなりの意図があるんでしょう^^;(上層部も許してるわけだし)。少なくとも一石を投じたという効果はあるようですね。 んで、立場上というのは言いまちがえた気がしますが_o_、既に動き出しているため「やめろ」と言うことが現実的でない、ということではないかと想像します。が、政府関係者でなかったらあっさり「やめろ」と言っているのかもしれないですね :P
# 上記のような言動を見るに、真に叩きたかったのは、「他省庁のプロジェクトにいちゃもん付けたこと」じゃないの? と思っちゃうなぁ:P
Re:政府関係者の無知にはあきれるかも (スコア:0)
結局話がかみ合わないのは、この辺の「危険性の認識の差」だと思いますが、私がちょっと「思考実験」として考えついただけだも、いくつもソーシャルな「騙し方」が残っているのに「大幅に軽減」されてるとおっしゃる?
前に書いたピッキングの喩えで言えば、確かに玄関から侵入されるという「危険性」は「大幅に軽減」されていますが、裏口とか窓とか別の侵入経路が解決されない以上、家全体のセキュリティから見れば、ほんの僅かな安全性向上でしかありません。
Re:政府関係者の無知にはあきれるかも (スコア:1)
さて、ブラウザに初期導入されるまでやめろといわれてもやめなかった相手にどうすればいいんでしょう? うーん。まぁ、「ブラウザに初期導入されるまでやめろ」という主張を今回の論文のように公の場で発表する、というのが妥当な方法かなという気もしますが、それでもやめないんじゃないかなぁ。だから現実的な対策案を出したんじゃないかなぁと言うところ。
正直「ブラウザに初期導入されるまでやめろ」という指摘方法は私の頭からは抜けていたので、あぁそうされていればよかったかもという気にもなるんですが(※)、元々私がここに参加したのは、「どうしてもルート証明書の配布をしたいならせめてこうするのが現実的だろ」という主張に「それじゃバイパスされる」などといういかにもわかっていないと思しき指摘をする人がいたからなので、その辺がクリアになったということで満足です。
※それじゃ論文にはならないような気もしますが^^;。あと、政府がやるようなことならそういう解決案も出せるけど、一般的な解決案じゃないですし。
Re:政府関係者の無知にはあきれるかも (スコア:0)
>「止める」「立ち止まる」という選択肢も含めて考え直す必要があるんじゃないですか?
それはつまり総務省関係者でもない技術者に政策決定にまで口を出せということで?
Re:政府関係者の無知にはあきれるかも (スコア:0)
ダウンロード配布するのを止めても、ダウンロード配布を続けている偽のサーバーを見せられますね。「ルート証明書のネット配布はされていないはずだ」という「常識」も(現時点では)存在しないし。
というのは冗談ですけど。:-)
Re:政府関係者の無知にはあきれるかも (スコア:0)
SSLにしろという話も3月頃から出ている話で、それもやらなかった相手なんですが。
言っても聞かない相手なら言っても無駄というのであれば、「ブラウザに初期導入されるまでやめろ」と言うのも「SSLにしろ」というのもどちらも無駄という事になっちゃいますね。
Re:政府関係者の無知にはあきれるかも (スコア:0)
だったら「止める」「立ち止まる」という選択肢を除外しなくてはいけない理由は何も無いと思いますが。
Re:政府関係者の無知にはあきれるかも (スコア:0)
無論そうです。他にも騙す方法はいくらでもあるし、javascriptやメーラ等の脆弱性を使って偽物のルート証明書を送り込んだりする事もできるでしょうね。
ですからブラウザに初期導入されたからといっても完全に安全になる訳ではありません。
ですが(httpにしろSSLにしろ)ルート証明書をインストールするとい
Re:政府関係者の無知にはあきれるかも (スコア:1)
# 煽ったつもりなんだろうか。もうあなたの言いたいことは全部把握できましたし、めんどくさいので「SSL 利用者の常識」の定義の説明まではしません_o_。
Re:政府関係者の無知にはあきれるかも (スコア:1)
また最初の話に逆戻りですか。はー。そんなことは解ってるってばさー(あなたの言いたいことは全部把握したって言ったでしょ)。で、それが現実的か?って話にとっくに移ってるはずなのにあなたの頭の中だけはずっとそれなのね。
その目的のものが正しく取得できたか確認するためのフィンガープリントが http で配られてるのよ。
ちなみに私は、論理的にはフィンガープリントが正当であると確認できるだけの充分な広範囲に公開されるのが正しいんだろうと思っていますが、そこに偽が混じっていたからって、ユーザがちゃんと他の複数経路のフィンガープリントと比較して、フィンガープリントが正当かを確認してから、ダウンロードしたものの照合をするなどという手間のかかることをやってくれるとは思えないので、ぜんぜん現実的と思っていません。
次に正しいと思うのは、あなたの御指摘で思い出すことができた「ブラウザにルート証明書を同梱してもらう」ということですが、そんなの普通の業者には出来ないでしょう。今回たまたま政府の証明書だからできる可能性がありますが。っと、今見直したら論文の5.4に思いっきり明確に書いてあるじゃない。
で、その次であり、現状最も現実的なのが SSL 上で配布することです。ユーザが安全を守るために必要な手間は他の手段と比べて最小限だろうと思います。フィンガープリントを SSL で配布することが論理的に正しいであろうと思いますが、そこで SSL に頼らざるを得ないのなら、証明書そのものを SSL 上で配布することで、手間を大幅に軽減して危険度の差はほとんどない、ということになりますよね。
「httpだから危ないな」と正しく認識しているなら、そこに書かれた「確認するための手段」が偽である可能性がある、と思わなければなりません。思わないならそれは「http だから危ない」というのが常識でないことを表します。で、それが最低限のリテラシーであると同意されましたよね? もちろんそのレベルの常識も知らない人は当然いるし、知ってても「まさか自分が」と思う人も多いと思います。あなたはそういう人が騙されるケースばかり挙げて「ぜんぜん安全じゃない」と連呼しています。
で、とっくに何度も何度も言われているのにまだ「完全に安全になるなんて嘘」とか(そんなことどこにも書いてない)、「現実的な解決策じゃない」とか(現実的だろうに)、と言うんですか?
はい。論破:P。というかあなた論理の構成が変ですよ。ま、「完全な解決方法はない」が信念のようですから(あなたの想定する人を救う方法は将来に渡ってないです)ポジティブな思考が出来ないんでしょうけれど。# と、まだ煽ってみる^^;
P.S.
実際のところ、「確認するための手段」に相当する文書が http になっているケースはまだ多いと思われます。 つまり、あなたの危惧する攻撃法を実施されると、世の中のほとんどのサイトが詐称可能でどうしようもないことになります。 そうなると、「重要な情報は SSL になっているはずだ」を周知しない限り現在の仕組みにおける Web の全てが危険ということになります。当然ながらあなたが常識と言うフィンガープリントについてもですよ。ショッピングサイトなどでは個人情報のやり取りでは SSL になっているのが常識と化しつつあるので、まだ期待が持てます。後は「SSL 利用者の常識」(URLの確認)
Re:政府関係者の無知にはあきれるかも (スコア:1)
(1) に、「SSL であれば安全であると知っている/知らない」と、「SSL で配布元が正当であるかの確認手段を知っている/知らない」を入れましょう。これはフィンガープリントの照合の常識を知っているか否かとは独立なので組み合わせになります。
// table で丁寧に書いたらタグ消されちった-_- 書き辛いったらありゃしない。見にくかったらすみません。
証明書ダウンロードについて http が危険と認識している人
SSL の存在を→ 知っている 知らない
SSL 利用者の常識を→知っている 知らない
フィンガープリント照合を知っている
別経路から入手する必要性を知っている Aa Ab Ac
別経路から入手する必要性を知らない Ba Bb Bc
フィンガープリント照合を知らない Ca Cb Cc
さて、ここで重要なのは、これらの知識の有無にかかわらず、危険と知りつつも実行してしまう人の存在です。これを LA としましょう。その他は、自分が安全と考える手段が無ければ「やめる」「文句を言う」という選択をする人です。これは誤った知識が無い限り騙されない人です。これを HA とします。たとえば、何も知識が無い Cc の人は、言われたままやるか(LA)やめるか(HA)、です。何らかの知識がある人は、「知らない手段」「知っているが安全でない手段」が提供されている場合に、HA/LA に分かれます。
LA/HA の比率は知識別グループ毎/及び提供される手段毎に異なると考えています。「知っている安全な手段」が提供されていても、その手間が甚大だから実施できない人も LA です。
※「知っているが安全でない手段」は、「フィンガープリントが(同一サーバで/httpで)配布されている」「SSL なのに URL が見れない」などね。
# あんまり分類得意でないので、よりすっきりした分類出来れば誰かよろしくです^^;。
## ここ見てるのが私とあなただけでも無いようですので^^;。今はわかんないけど^^;;
はい。けっこうなことです。でも、「実用性」(だまされなくするための手間=LA/HAの比率)も同時に考えてください。まず、現状ですと、Cn (HA)、及び An (HA) だけが騙されずに済む人となりますね。その他は全滅です。なお、HA は「怪しい時はやめる」なので事実上 An (HA) だけに有効ということですね。さらに、An (LA)との比率を考えるとだいぶ少ないのでは? としておきます。
では SSL での配布を実施しましょう。
まず、重要なのは、na (HA) が安心してインストールの実施が出来るようになることです。あなたはこのことの意義を理解しようとしてくださらないようですが。
また、na (LA) の多くを救うことが出来ます。特にフィンガープリントを http 以外の別経路から入手する手段がわからん or 面倒と考える Aa (LA) にとって、Aa (HA) になってもらえる可能性が高いでしょう。話題の焦点はこの層(及び各層)が多いか少ないか?というあたりに至っていると思っていますが、お互い統計を持っていないので主観の押し付け合いになっています。
弊害として、nb (HA) な人は、SSL 化することによって騙されるようになるでしょう。これらの人が周知啓蒙の対象であることは既に述べられています。
(1Ac) は危険と知りつつ(LA)、ではないじゃないですか。知識がないからでしょう。…とも言い切れないか。HA/LA ごちゃ混ぜにしてますね、と言うべきですか。
私の表では Bn です。
Re:政府関係者の無知にはあきれるかも (スコア:1)
あなたは今回の総務省側の主張を適切に代弁してくださる上、こちらの問いかけに根気強く付き合ってくださる貴重な方です_o_。
今回の分類に主観混じりでも御協力いただければ、その後memo-mlの小島さんにタレこむなどの方法で公の場に出したいです。それによって今後みんながどのように振舞うべきかの指針が出来上がっていくかもしれません。
私も自分の考えで表の整理を試みますので、是非御協力をお願いしたいです。
# ちなみに私もあなたも memo-ml では今回の件について発言しないでしょうけれど^^;;
Re:政府関係者の無知にはあきれるかも (スコア:1)
了解です。どうも失礼しました_o_。
うーん。私も変に固執している面があって突っつきどころ間違ったかなという気もしますが_o_、要するに、あなたもおっしゃってましたが、「http は危ない」&「SSL の知識がある」→「SSL で提供されていることを期待する」と考えているからです。
私はそれは妥当と思いますが、あなたは妥当と思わない、ということでしょう。本当に妥当かは統計しないと^^;。
で、現状のものに騙される人は「SSL なページがあると思わなかった人たちだから騙された」ケースと「SSL なページがあると思ったが見つからないので仕方なく指示に従って騙された」に分類され、今回両者を LA としていますが、前者は提供側が SSL なページを用意しても騙され続ける、という点について同意します。しかし後者を救うことが出来ます。現在の LA/HA の定義からすると LA が HA になるという表現は誤りでした_o_。
その通りです。なので LA/HA についてはもう少し分類が必要なのですが、そこまではやっていませんでした。# 最初 MA というのも用意してたけど消しちった^^; やっつけでスマンです_o_
先に記したとおり、LA の定義に幅を持たせすぎました_o_。「意識が低い」でひとくくりにしていますが、SSL で提供されることを期待したけど仕方なくという人はいるでしょう。フィンガープリントについてもそうです。んで、フィンガープリントは正しいものが配布されていることを探すのには手間がかかるが、SSL では URL を "https" にしてみることで確認できます。まぁ、ちょっと苦しいですが^^;、フィンガープリントと比較すれば救えると表現できるでしょう。
上記の通りです。では、SSL にせよという主張に対しては問題ないことは御了承いただけますね? 「今まで騙された人が騙されなくなる」というのが誇大(でも完全な誤りではない)であるという表現の問題を除いて。
Re:政府関係者の無知にはあきれるかも (スコア:1)
おぉ、確かに^^;; DNS スプーフィングの場合はだめですね。MITM でもそうか…。
それに関しては(今後)期待してもよいのではないかと思いますが。期待しないことには http 上の偽の「確認のための手順」に騙されることを阻止できないのですから。引用前後しますが、
LA/HA の比率は主に啓蒙によって変化するわけですしねー。でも、現状の俺様分類^^;だと、それだけではなくて、「危ないと思った時に危なくない手段を探したが見つからなかったので仕方なく」な人に対して、提供側が「期待された手段を提供している」という状態を保つことにより、LA な人が「仕方なく実行してしまう」事態を軽減できる、と考えています。
そして、「期待された手段」として現状現実的なのは「SSL であること」だろうと思います。
いや、それでも http でフィンガープリントの配布はだめでしょう^^;。http 上で証明書配布方法の説明をしていることも好ましくはないでしょうね。他媒体に充分に転載されていればよいですが。政府が率先して LA 層を作り出しているようなものですから。
うーん。SSL にすべきとするところの現状の利点の第一は、正確には確かに「現状が危険ということでインストールを見合わせざるを得ない人に安全にインストールできるようにする」ということになるのでしょう。それを「より安全にする」と表現することは誤りではありませんが、「今まで騙された人が騙されなくなる」と言ってしまうと誤りだ、と。まぁ現時点ではそうだと思います。# どうも今まで前者の点ばかり突っついてすみません_o_
ただ、高木氏は memo-ml で、既に「SSL でなければならないことをユーザが知っているべきだ」「Web サイト側がその周知を促すような告知をしていくべきだ」といった(ちょうど上に書いたような)主張をしていたと記憶しています。実際そうでなければ偽の説明文に騙されるわけですから。その記憶が正しければ、高木氏は「SSL にすべき」とする主張に、「政府が率先してユーザへの適切な周知をやってくれよ。フィンガープリントを http で配布されちゃ困るし、その確認方法が http に書いてあるのも困るでしょ。SSL にして、ユーザに対する周知もやっていこうよ」という意図を含んでいたのかもしれません。
んー、だとすると、この記事も一部訂正しないとですね [srad.jp]_o_。
Re:政府関係者の無知にはあきれるかも (スコア:1)
なので、「状態を保つことにより」です。要するに、SSL が使われていることが当たり前になることにより、SSL でないことを「おかしい」と思えよ、ということです。先に述べた「啓蒙によって LA が HA に変わる」が実現するための前提です。
それが「誤った認識」からのものであるかどうかは私には判断しかねます。上記の主張(の元?)と思われる記事を見つけたんですが [ryukoku.ac.jp]、ここにはこのように書かれています。# 3月だよ^^;
少なくとも、(別経路でのフィンガープリント配布が難しいなら)「SSL のページがある」ことをユーザが期待しない限り完全には防げないことは承知のうえのようですよ。
つまり、承知の上で「SSL にせよ」と主張するわけですから、ユーザ側への啓蒙も必要であり、その啓蒙を無駄にしないためにも、公開側もきっちりせよ、ということでは?
政府以外の公開側が「SSL で公開する」常識を(金の問題で)守ってくれない可能性はありますが、政府をはじめとしてきちんとしたところがきちんとしていき、それによって利用者側にも常識として定着していけば、淘汰されていく存在のように思えます。まさか政府が金の問題で俺様認証局運用したいと思っているわけじゃないですよね^^;。そもそもやっぱりルートCA証明書のダウンロードなんて特殊ですよ。他に信頼できるところでやっているところってあるんでしょうか?
高木氏的には、「ルート証明書のダウンロードに SSL を使え」、というのは主張の枝葉でしかなくて、本質的には「重要な情報のやり取りには SSL を使い、且つユーザがそうなっていることを当たり前と思えるようになっていなければ完全な安全は得られない」といったところではないでしょうか?
http を淘汰する新技術でも出てくれば別でしょうけれど、http が使えてしまう以上やはり現状最も現実的と思います。
Re:政府関係者の無知にはあきれるかも (スコア:1)
えー、論文が「公開側がSSLにするだけで今まで騙されていた人が騙されなくなる」と書かれているなら嘘でしょうけれど、そんな意図ではない(であろう)ことはもう理解いただいたのではないでしょうか? そういう観点で読んでも明確にそういう主張がされている箇所ってありましたっけ?
私は研究者でも査読者でもないのであんまりそういう見方では批評できないんですが、情報処理学会の方には本来の意図が伝わったからそれなりの評価がされているのではないですか?
現状は一般にはどちらも常識とはいえないのでは?
自分自身のルート証明書を第三者に証明してもらうほうが論理的には正しいのでは?(信頼の輪方式で) まぁそれは別の論点ですけど。えー、http 上で証明書インストール方法を説明している限り、偽の説明を読まされることを完全に回避することは不可能、という点はもうよいのでしょうか? 配布元&インストール方法を説明している場所が確かにその配布元であるかを証明するには SSL にするか Web 以外を用いるか、充分に広範囲で(それこそ常識と思わせるくらいに)説明されるかしかないですよね? (しかもいずれも利用者側の周知を要する)
それはそうと、ルートCA 証明書のWeb 経由での配布を行っているサイトって他にあるんですっけ?
まったくもってフィンガープリントの照合にも当てはまりますね。論文の解決策の冒頭に「最も簡単な方法は」って書いてませんでしたっけ?
なので常識化されるべきなのは「ルート証明書の配布に限らず重要
Re:政府関係者の無知にはあきれるかも (スコア:1)
「問題点」には続きがあります。「フィンガープリントの開示を行っているがそれも http である」と。「解決策」にも「それをしたくないとなると,官報や新聞,パンフレットなどに定期的にフィンガープリント値を掲載して照合を求めることになるが,」と続きがあります。「SSL にすることである」の部分に、フィンガープリントのケースでは書かれている条件である利用者側の注意が書かれていないことは今確認しました。これは誤解を招くのは確かです。が、書き忘れとしか思えないです。
とはいえ、「書き忘れとしか思えない」のが、私が先に引用したような記事の主張をおぼろげにも記憶していたからで、初めて読んだ人にそれは期待できないのはそうでしょう。なのでその点について既に同意しています。
そりゃそうですね^^;。でも先に引用した記事以外にもあったと思います。「利用者が SSL であることを常識と思え」というのは。また暇があったら探します。
いいえ。無かったことにしたいとは思っていません。私自身はまぁ、一種の高木ファンですね^^;。昔 Java-House-ML を見て頭の切れる人だなーと思ってその後も参考にしていたみたいな。んで、認識不足とかは無いだろうという思いからバイアスがかかってるなぁとは思いますが、それはあなたの側も同じように思えます。私は論文の記述/表現が問題だったんだな、と推測に結論付けましたが、あなたは執拗に高木氏という人間を叩こうとしているように見える、と。
論文の記述不足は認めています(認めました)が、高木氏の主張にはまったく同意しているので、主張の部分への反論に対して反駁している、というところです。ですから私的には話題は論文から離れつつあります。
これは冗談だったので無視してくださいな_o_。
えと、では完全にオフトピックですね。「そのような議論はしていませんから」^^;
私は一般ユーザに配布する点についてのみ話しております。
それはまずくないんですか?
Re:政府関係者の無知にはあきれるかも (スコア:1)
私も、「SSL で提供されているはず」「SSL ページを探す」「ドメインがターゲットのものであることを確認する」の周知/実施を徹底することが簡単と思っているわけではありません。「フィンガープリントがあるはず」「見つける」「照合する」の周知/実施よりは簡単であるだろうと思っているに過ぎないです。