SSL の存在を→ 知っている 知らない
SSL 利用者の常識を→知っている 知らない
フィンガープリント照合を知っている
別経路から入手する必要性を知っている Aa Ab Ac
別経路から入手する必要性を知らない Ba Bb Bc
フィンガープリント照合を知らない Ca Cb Cc
さて、ここで重要なのは、これらの知識の有無にかかわらず、危険と知りつつも実行してしまう人の存在です。これを LA としましょう。その他は、自分が安全と考える手段が無ければ「やめる」「文句を言う」という選択をする人です。これは誤った知識が無い限り騙されない人です。これを HA とします。たとえば、何も知識が無い Cc の人は、言われたままやるか(LA)やめるか(HA)、です。何らかの知識がある人は、「知らない手段」「知っているが安全でない手段」が提供されている場合に、HA/LA に分かれます。
LA/HA の比率は知識別グループ毎/及び提供される手段毎に異なると考えています。「知っている安全な手段」が提供されていても、その手間が甚大だから実施できない人も LA です。
※「知っているが安全でない手段」は、「フィンガープリントが(同一サーバで/httpで)配布されている」「SSL なのに URL が見れない」などね。
# あんまり分類得意でないので、よりすっきりした分類出来れば誰かよろしくです^^;。
## ここ見てるのが私とあなただけでも無いようですので^^;。今はわかんないけど^^;;
で、現状のものに騙される人は「SSL なページがあると思わなかった人たちだから騙された」ケースと「SSL なページがあると思ったが見つからないので仕方なく指示に従って騙された」に分類され、今回両者を LA としていますが、前者は提供側が SSL なページを用意しても騙され続ける、という点について同意します。しかし後者を救うことが出来ます。現在の LA/HA の定義からすると LA が HA になるという表現は誤りでした_o_。
政府関係者の無知にはあきれるかも (スコア:2, すばらしい洞察)
と堂々と言ってのける総務省官房企画課だね。
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという
Re:政府関係者の無知にはあきれるかも (スコア:0)
あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
ブラウザにまだインストールされてないルート証明
Re:政府関係者の無知にはあきれるかも (スコア:1)
引用コメントが完全な解決にはならないのは確かで
Re:政府関係者の無知にはあきれるかも (スコア:0)
VeriSignなど、既に多くのブラウザにルート証明が存在するSSLで独自のルート証明書を配るようにしても、偽サーバでhttpで偽ルート証明書を配られる事を阻止できないという事は既出なので書かなかっただけですが
高木氏の「安全のため=SSL使え」「SSL使ってない=安全でない」という固定観念から抜け出せない様を「SSL安全神話・SSL至上主義」と書いたのです。
で、それに洗脳されちゃってるから「SSL使ってないから安全じゃない」→「た
Re:政府関係者の無知にはあきれるかも (スコア:0)
偽サーバで…以降の意味がわかりません。
- SSLなのに「httpで」とは?
Re:政府関係者の無知にはあきれるかも (スコア:-1, 余計なもの)
これをSSLにしましょう。https://www.shinsei.soumu.go.jp/download/soumuca.cer
でもここへのリンクが貼ってあるhttp://www.shinsei.soumu.go.jp/first_ie.htmlはhttpなので偽装可能ですから、https://www.shinsei.soumu.go.jp/download/soumuca.cerではなくhttp://www.shinsei.soumu.go.jp/download/soumuca.cerへと書き換えられてhttpでルート証明書を配られる可能性があります。
じゃあhttp://www.shinsei.soumu.go.jp/first_ie.htmlもSSLにして偽装ができないように
Re:政府関係者の無知にはあきれるかも (スコア:1, 参考になる)
そのとうりですね。ユーザがここで https になっていることを目で確認するわけです。
その話って 前にも言ってませんでした [srad.jp] ?
そのときも
Re:政府関係者の無知にはあきれるかも (スコア:0)
前のコメントはURLをベタベタ書いたせいか「余計なもの」にされちゃったので、もう少し簡略化して書きますね。
たとえば、
A→B→C→D
というリンクがあるとします。ここでDはルート証明書とします。ルート証明書をSSLで配布するために、ルート証明書のDとその前のページCをSSLにします(SSLのページは小文字でd, cと書きます)
A→B→c→d
でもBのページは相変わらずhttpなので、これを偽造されて
A→B'→
Re:政府関係者の無知にはあきれるかも (スコア:0)
C’の画面を見て、https になっていないこと
Re:政府関係者の無知にはあきれるかも (スコア:0)
それで「おかしい」と気付くためには「cがSSLで提供されているはず」という予備知識が必要ですが、そんなものはありません
「cのページはSSLで提供されています」という事を周知する労力をかけるぐらいなら、本来の確認手段であるフィンガープリントを周知する方に力をいれるべきでしょう。
もちろんトップページに「SSLだよ」なんて書いても無意味です
Re:政府関係者の無知にはあきれるかも (スコア:1)
まだやってるとは…。
この議論では http じゃ危険だという予備知識があるということは前提なんでしょ? それすらわからない人がだまされることを阻止することは出来ません。
その上
Re:政府関係者の無知にはあきれるかも (スコア:0)
勝手な前提を作らないで下さい。
いやhttpが危険だという事は予備知識として期待しても良いかもしれませんが、その危険を回避するために「SSLを使う」というのは前提にはできません。
ルート証明書配布で、その危険を回避するための仕組みとして用意されているのは「フィンガープリント」であり、「SSLを使うべき」などという「前提」も「常識」も存在しません。
# あなたや高木氏の脳内には存在するかもしれませんが
実際、俺様認証局(高木氏の言ですが面白いので使ってみよう)の多くは
Re:政府関係者の無知にはあきれるかも (スコア:1)
ダウンロードしたコンテンツがオリジナルかを確かめるにはハッシュをチェックするというのは我々レベルでは確かに常識だし、ルート証明書のような情報を特定の相手に間違いなく届けるという目的であればそうすべきと思います。
し
Re:政府関係者の無知にはあきれるかも (スコア:0)
「そうすべき」というのであれば、そうすべきなのでは?
それができないのであれば、そもそもルート証明書の配布なんてすべきではないですね
「URLがhttps
Re:政府関係者の無知にはあきれるかも (スコア:1)
「SSL 利用者の常識」とまで言う理由は既にいろんなところで言われてると思うんですけど…。もっとも身近なところで
Re:政府関係者の無知にはあきれるかも (スコア:0)
「SSLの常識」というのを(今回の件とは独立に)周知しておいた方が良いというのには別に異論はありません。
ですが、今回の件に限れば、「SSLでないからダメだ」「SSLにすべきだ」という根拠は何?
ルート証明書の配布において、最低限しなくてはいけない事は、「安全にフィンガープリントを配布する事」です。
それに+αで何をするかというのは、その配布対象や重要度によって変わって来る事で、場合によっては「各自の自宅/会社に人が出向いてルート証明書をインス
Re:政府関係者の無知にはあきれるかも (スコア:1)
あのー、「フィンガープリントと照合するのが常識」という状況でもないということは御自身認められてますよね?
周知されている(と期待せざるを得ない)のは、「HTTP では危ない」という点のみであるというのも良いですよね?
# 私はその上「SSL はある種の安全を提供できる」というのも周知されていると思いますが。
# それが過剰で「SSL の常識」を理
Re:政府関係者の無知にはあきれるかも (スコア:0)
それではこちらからも確認しますが、「ルート証明書はSSLだけで配布されてるはずだ」という「常識」も(現時点では)存在しないし、その事を周知する手間は必要だという事は認めてもらえますか?
# 「SSLの常識」とあなたのおっしゃる知識と、該当ページがSSLか否かという事をユーザが知っているかどうかは別の問題です
別問題ではありますが、その点もSSLでは十分にうまく保護されない原因になりえます。一般的なユーザの認識というのは「鍵アイコンが出てれば大丈夫」程度です。
たとえば該当ページを俺様認証してしまってSSLにしたらどうなるでしょう?
もちろん「このセキュリティ証明書は、信頼する会社から発行されていません。証明書を表示して、この証明機関を信頼するかどうか決定してください」という警告ダイアログは出ます(IE6の場合)。
しかし、その俺様認証局の名前が「MPHPT Certification Authority」となっていたらユーザはどう判断するでしょう?
総務省を信用してルート証明書をインストールしようとしている人が総務省を証明機関として信頼する可能性は高いと思います。
まあこれは「その機関を信頼するか」だけではなく「確かにその機関から送り込まれた証明書なのか」という判断までしなくてはいけないのに、警告としてそこまで書かれていないというIEの問題ではありますが、実際にIEがこれだけシェアを持っているのですから「IEの問題だから知らね~よ」では済まされない問題です。
更に追い討ちとして、httpな偽造ページに「ブラウザのバージョンによっては、下記の警告が出る場合がありますが、その場合は[はい(Y)]をクリックしてください」とでも書いてダイアログをキャプチャしたものを貼っておけば、騙される割合は格段に上がるでしょう。それこそあなたのおっしゃる「偽のフィンガープリントがあって、それと照合してくださいなんて書かれてたらあっさり騙されるのでは? 」というのと同程度に。
別の方法として、SSLのリンクを用意して、そこを辿るとエラーになるようにしておいて、その下に「上記リンクがエラーとなる場合は、こちらからダウンロードしてください。ただし、こちらは暗号化されていませんので、改竄されている可能性があります。必ず下記のフィンガープリントと照合して正しいものかどうか確認してください。」とでも書いて偽のルート証明書へのリンクと偽のフィンガープリントを書いておけば、少なからぬ割合で騙されるでしょうね。
人間の心理として、危険性を明確に指摘した上で併せて対処法を示されると、盲目的に信じてしまうという所があります。
今回の高木氏の指摘がまさにそうですね。
もちろん高木氏に悪意があるという意味ではなく、危険性の指摘と併せて示された対処法は不十分なものであっても(その対処法では他に騙せる方法がいくらでもあっても)それで十分だという印象を与えてしまい、その対処法自体の検証を十分にしないままに信用してしまうという意味です。
Re:政府関係者の無知にはあきれるかも (スコア:1)
いえいえ、最初のコメントのほうは最後までちゃんと読まずに書いちゃってたんです_o_。
そういう常識は存在しませんが、「http は危険」->「(ごく一般的な意味で)https になってないと危険」レベルの常識はあるでしょうね。なぜなら SSL(TLS)以外でそこまで浸透している代替手段がないのですから。
というわけで、「http は危険」->「SSL でページが提供されているのでは?」程度は、常識かどうかはともかく期待しても叩かれないでしょう。
# 御指摘どおり統計なしの主観ですが、他の誰かもリテラシーとして常識では?と言ってたなぁ。
さて、現在(だって叩きどころころころ変わるんだもん^^;)あなたが問題としているのは、
ここにある通り、「SSL 利用者の常識」が周知されていないことの一点に尽きると言ってよいですかね? その周知がされていないのに SSL を勧めんなよ、と。周知がされてさえいれば、今回の論文の主張に問題はなかった、と。(「fingerprint の常識」が周知可能であればそれを第一に勧めるべきだが、その点はまた別)
その点に関して、私は実際に SSL を使っているショッピングサイトなどががんばれ、と先に書きましたが、高木氏自身も周知しようと努力されているようですよ。
こういうことを指示してくるサイト実際にありますよね。こういうサイトは、作成者が「SSL の常識」を知らないばかりか、利用者の「SSL の常識」への誤解を誘発する極悪サイトでしょう。高木氏は memo-ml などでそういうサイトに対する指摘を積極的にしていました。ちなみに上記手法で騙せるというのであれば、世の中の商取引サイトは全て騙せると言っているに等しいですよ。だから深刻な問題なんですが。
あなたの主張が、「フィンガープリントの照合に関してはほとんど理解している人がいないから誤解をさせずにすむ可能性があるんだ。SSL は既に誤解している人が多く、偽の安全に騙されやすいから問題なんだ」ということなら、それは確かにそうでしょうけれど、ほとんど理解されていないなら、これからいくらでも騙せるということでもありますので差はないでしょう。
えー、その論法ではフィンガープリントを用いる方法では SSL 以上に危険な状況である、と言っていることになると思うんですが。
# ブラウザは何も警告しません :P
では、そろそろあなたから現実的な代替手段を提案していただけますでしょうか?
そうすればこちらが叩く側に回らせていただきますので。:P
Re:政府関係者の無知にはあきれるかも (スコア:0)
ころころ変わるというより、あるかないかわからないし、一般的にはどの程度まで浸透してるかわからない「常識」を持ち出して来て、そういうあやふやなものに立脚した「安全」を主張されるから、「攻撃する方法は色々あるよ」って話をしてるだけですが。
たとえば、玄関の鍵をピッキングで開けて侵入するピッキング盗が流行ってるから対策として鍵を変えましょう。いっそ変えるんだから電磁ロックで指紋認証にして防犯カメラも付けましょう。これでより「安全」になりました
Re:政府関係者の無知にはあきれるかも (スコア:0)
それがSSLを導入する必要が無いとする根拠になるのですか?
完璧な方法は無いのだから何もしなくていいと主張しているように受け取れます。
「電子政府に100%の安全はなく、やむを得ない」というのと同じ論法になってますね。
>他に脆弱な所があれば、玄関の鍵をピッキング対策錠に変える以上の対策は無駄な対策だったって事になりますね。
他に脆弱な場所が無いか検証しなければいけないのは当然として、それをピッキング対策錠が「必要ない」という根拠にはなりませ
Re:政府関係者の無知にはあきれるかも (スコア:1)
# ちなみにおそらく最も現実的な「やめる」という案は高木氏の立場上出来ないんでしょう:P。やるという前提でどうするか?です。
Re:政府関係者の無知にはあきれるかも (スコア:0)
「人を騙す」ってのはソーシャルな問題なんですよ。
それなのに、そのソーシャルな問題には目を瞑って技術論に持ち込んでも意味無いでしょ。
ソーシャルな大きな問題に、僅かな技術的解決が追加されただけで、いきなり「現実的な解決策」ですか。
「技術的にはここまでしかできない」というのと「十分な対策をした」というのを混同してませんか?
技術的にできる限りの事をやっても解決できない問題であれば、それは全然「現実的な解決策」ではありません。
Re:政府関係者の無知にはあきれるかも (スコア:1)
僅かなではありません。大きなソーシャルの問題を大幅に軽減する現実的な解決策でしょう。それでもまったく何も知らない人なら騙せるという意味で、ソーシャルな攻撃方法を突き詰めていけば必ず攻撃手段が残るでしょう、ということです。
だからどうすればよかったの? と聞いたのに-_-。大体「現実的」の意味解ってるんでしょうか?
だから(論文なり記事なりの)表現がまずいといってるわけでしょ? (解決案の提示順、くらいかな?)
新聞記事ははしょってる部分があるだろうとは思いますが、「http のページでフィンガープリントを公開している」んでしょ? その公開場所が膨大ならともかく。また、「SSL にすれば完璧に安全」なんてどこにも書いてないんでしょ? 今より安全という趣旨なら書いてあるかもしれませんが:P
毎日新聞の記者は誤った感想(事実も)を記事にしてはいないようですね:P
「フィンガープリントを Web の特定ページでしか配布しないならそれが改ざん/詐称されないようにしなきゃ危険」。当たり前じゃないですか。「その手段として SSL を用いるべき」。現状の普及度を考えたら他の手段はないでしょう。
「SSL が使われていれば詐称攻撃も防げる」ことを知らなかった人は、SSL を勧めた=だめじゃん という感想を持つでしょうね :P だから、論文にちゃんと書いてあったのに。もちろん逆に「SSL が使われているだけで詐称攻撃も防げる」と勘違いしている人には、SSL? トーゼンじゃん、となって今後も騙される機会を持ったままになるでしょうね。
なので、SSL の常識の啓蒙活動がなされているわけですが。んで、総務省は何をしたんですっけ?
再再再度念のためですが、フィンガープリントの常識は周知されればすむ問題でもないんですよ? どこから入手すれば良いのか? という問題が常に付いて回るんですから。# 私はめんどくさい^^;
それはそれなりの意図があるんでしょう^^;(上層部も許してるわけだし)。少なくとも一石を投じたという効果はあるようですね。 んで、立場上というのは言いまちがえた気がしますが_o_、既に動き出しているため「やめろ」と言うことが現実的でない、ということではないかと想像します。が、政府関係者でなかったらあっさり「やめろ」と言っているのかもしれないですね :P
# 上記のような言動を見るに、真に叩きたかったのは、「他省庁のプロジェクトにいちゃもん付けたこと」じゃないの? と思っちゃうなぁ:P
Re:政府関係者の無知にはあきれるかも (スコア:0)
結局話がかみ合わないのは、この辺の「危険性の認識の差」だと思いますが、私がちょっと「思考実験」として考えついただけだも、いくつもソーシャルな「騙し方」が残っているのに「大幅に軽減」されてるとおっしゃる?
前に書いたピッキングの喩えで言えば、確かに玄関から侵入されるという「危険性」は「大幅に軽減」されていますが、裏口とか窓とか別の侵入経路が解決されない以上、家全体のセキュリティから見れば、ほんの僅かな安全性向上でしかありません。
Re:政府関係者の無知にはあきれるかも (スコア:1)
さて、ブラウザに初期導入されるまでやめろといわれてもやめなかった相手にどうすればいいんでしょう? うーん。まぁ、「ブラウザに初期導入されるまでやめろ」という主張を今回の論文のように公の場で発表する、というのが妥当な方法かなという気もしますが、それでもやめないんじゃないかなぁ。だから現実的な対策案を出したんじゃないかなぁと言うところ。
正直「ブラウザに初期導入されるまでやめろ」という指摘方法は私の頭からは抜けていたので、あぁそうされていればよかったかもという気にもなるんですが(※)、元々私がここに参加したのは、「どうしてもルート証明書の配布をしたいならせめてこうするのが現実的だろ」という主張に「それじゃバイパスされる」などといういかにもわかっていないと思しき指摘をする人がいたからなので、その辺がクリアになったということで満足です。
※それじゃ論文にはならないような気もしますが^^;。あと、政府がやるようなことならそういう解決案も出せるけど、一般的な解決案じゃないですし。
Re:政府関係者の無知にはあきれるかも (スコア:0)
>「止める」「立ち止まる」という選択肢も含めて考え直す必要があるんじゃないですか?
それはつまり総務省関係者でもない技術者に政策決定にまで口を出せということで?
Re:政府関係者の無知にはあきれるかも (スコア:0)
ダウンロード配布するのを止めても、ダウンロード配布を続けている偽のサーバーを見せられますね。「ルート証明書のネット配布はされていないはずだ」という「常識」も(現時点では)存在しないし。
というのは冗談ですけど。:-)
Re:政府関係者の無知にはあきれるかも (スコア:0)
SSLにしろという話も3月頃から出ている話で、それもやらなかった相手なんですが。
言っても聞かない相手なら言っても無駄というのであれば、「ブラウザに初期導入されるまでやめろ」と言うのも「SSLにしろ」というのもどちらも無駄という事になっちゃいますね。
Re:政府関係者の無知にはあきれるかも (スコア:0)
だったら「止める」「立ち止まる」という選択肢を除外しなくてはいけない理由は何も無いと思いますが。
Re:政府関係者の無知にはあきれるかも (スコア:0)
無論そうです。他にも騙す方法はいくらでもあるし、javascriptやメーラ等の脆弱性を使って偽物のルート証明書を送り込んだりする事もできるでしょうね。
ですからブラウザに初期導入されたからといっても完全に安全になる訳ではありません。
ですが(httpにしろSSLにしろ)ルート証明書をインストールするとい
Re:政府関係者の無知にはあきれるかも (スコア:1)
# 煽ったつもりなんだろうか。もうあなたの言いたいことは全部把握できましたし、めんどくさいので「SSL 利用者の常識」の定義の説明まではしません_o_。
Re:政府関係者の無知にはあきれるかも (スコア:0)
政策決定の意味わかってます?
Re:政府関係者の無知にはあきれるかも (スコア:0)
>くては使えないというのは、リスクが高いのではないでしょうか?
高木氏の論文にもそう書かれてますね.
Re:政府関係者の無知にはあきれるかも (スコア:0)
もちろん一般的な非技術系ユーザにまで浸透した「常識」じゃないけど、「ルート証明書を安全に取得する」事に長けた人にとっては「通信路が安全でない」→「通信路を安全にする」ではなくて「通信路が安全でない」→「目的のものが正しく取得できたか確認する」という手法で「危険性の回避」をする「常識」があるのよ。あんたには無いかもしれんがね。
そういう「わかってる人」ですら「通信路が安全でない」→「安全な通信路
Re:政府関係者の無知にはあきれるかも (スコア:1)
また最初の話に逆戻りですか。はー。そんなことは解ってるってばさー(あなたの言いたいことは全部把握したって言ったでしょ)。で、それが現実的か?って話にとっくに移ってるはずなのにあなたの頭の中だけはずっとそれなのね。
その目的のものが正しく取得できたか確認するためのフィンガープリントが http で配られてるのよ。
ちなみに私は、論理的にはフィンガープリントが正当であると確認できるだけの充分な広範囲に公開されるのが正しいんだろうと思っていますが、そこに偽が混じっていたからって、ユーザがちゃんと他の複数経路のフィンガープリントと比較して、フィンガープリントが正当かを確認してから、ダウンロードしたものの照合をするなどという手間のかかることをやってくれるとは思えないので、ぜんぜん現実的と思っていません。
次に正しいと思うのは、あなたの御指摘で思い出すことができた「ブラウザにルート証明書を同梱してもらう」ということですが、そんなの普通の業者には出来ないでしょう。今回たまたま政府の証明書だからできる可能性がありますが。っと、今見直したら論文の5.4に思いっきり明確に書いてあるじゃない。
で、その次であり、現状最も現実的なのが SSL 上で配布することです。ユーザが安全を守るために必要な手間は他の手段と比べて最小限だろうと思います。フィンガープリントを SSL で配布することが論理的に正しいであろうと思いますが、そこで SSL に頼らざるを得ないのなら、証明書そのものを SSL 上で配布することで、手間を大幅に軽減して危険度の差はほとんどない、ということになりますよね。
「httpだから危ないな」と正しく認識しているなら、そこに書かれた「確認するための手段」が偽である可能性がある、と思わなければなりません。思わないならそれは「http だから危ない」というのが常識でないことを表します。で、それが最低限のリテラシーであると同意されましたよね? もちろんそのレベルの常識も知らない人は当然いるし、知ってても「まさか自分が」と思う人も多いと思います。あなたはそういう人が騙されるケースばかり挙げて「ぜんぜん安全じゃない」と連呼しています。
で、とっくに何度も何度も言われているのにまだ「完全に安全になるなんて嘘」とか(そんなことどこにも書いてない)、「現実的な解決策じゃない」とか(現実的だろうに)、と言うんですか?
はい。論破:P。というかあなた論理の構成が変ですよ。ま、「完全な解決方法はない」が信念のようですから(あなたの想定する人を救う方法は将来に渡ってないです)ポジティブな思考が出来ないんでしょうけれど。# と、まだ煽ってみる^^;
P.S.
実際のところ、「確認するための手段」に相当する文書が http になっているケースはまだ多いと思われます。 つまり、あなたの危惧する攻撃法を実施されると、世の中のほとんどのサイトが詐称可能でどうしようもないことになります。 そうなると、「重要な情報は SSL になっているはずだ」を周知しない限り現在の仕組みにおける Web の全てが危険ということになります。当然ながらあなたが常識と言うフィンガープリントについてもですよ。ショッピングサイトなどでは個人情報のやり取りでは SSL になっているのが常識と化しつつあるので、まだ期待が持てます。後は「SSL 利用者の常識」(URLの確認)
Re:政府関係者の無知にはあきれるかも (スコア:0)
もう一度良く考えてみなよ。
今回の総務省がhttpでルート証明とフィンガープリントを配ってて、それが改竄されるから危険だってのが大元の話でしょ。
で、その「危険」はSSLによって「安全」になるってのが高木氏やあなたの主張でしょ。
総務省のサイトからルート証明を取って来ようとする人をグループ分けすると
Re:政府関係者の無知にはあきれるかも (スコア:1)
(1) に、「SSL であれば安全であると知っている/知らない」と、「SSL で配布元が正当であるかの確認手段を知っている/知らない」を入れましょう。これはフィンガープリントの照合の常識を知っているか否かとは独立なので組み合わせになります。
// table で丁寧に書いたらタグ消されちった-_- 書き辛いったらありゃしない。見にくかったらすみません。
証明書ダウンロードについて http が危険と認識している人
SSL の存在を→ 知っている 知らない
SSL 利用者の常識を→知っている 知らない
フィンガープリント照合を知っている
別経路から入手する必要性を知っている Aa Ab Ac
別経路から入手する必要性を知らない Ba Bb Bc
フィンガープリント照合を知らない Ca Cb Cc
さて、ここで重要なのは、これらの知識の有無にかかわらず、危険と知りつつも実行してしまう人の存在です。これを LA としましょう。その他は、自分が安全と考える手段が無ければ「やめる」「文句を言う」という選択をする人です。これは誤った知識が無い限り騙されない人です。これを HA とします。たとえば、何も知識が無い Cc の人は、言われたままやるか(LA)やめるか(HA)、です。何らかの知識がある人は、「知らない手段」「知っているが安全でない手段」が提供されている場合に、HA/LA に分かれます。
LA/HA の比率は知識別グループ毎/及び提供される手段毎に異なると考えています。「知っている安全な手段」が提供されていても、その手間が甚大だから実施できない人も LA です。
※「知っているが安全でない手段」は、「フィンガープリントが(同一サーバで/httpで)配布されている」「SSL なのに URL が見れない」などね。
# あんまり分類得意でないので、よりすっきりした分類出来れば誰かよろしくです^^;。
## ここ見てるのが私とあなただけでも無いようですので^^;。今はわかんないけど^^;;
はい。けっこうなことです。でも、「実用性」(だまされなくするための手間=LA/HAの比率)も同時に考えてください。まず、現状ですと、Cn (HA)、及び An (HA) だけが騙されずに済む人となりますね。その他は全滅です。なお、HA は「怪しい時はやめる」なので事実上 An (HA) だけに有効ということですね。さらに、An (LA)との比率を考えるとだいぶ少ないのでは? としておきます。
では SSL での配布を実施しましょう。
まず、重要なのは、na (HA) が安心してインストールの実施が出来るようになることです。あなたはこのことの意義を理解しようとしてくださらないようですが。
また、na (LA) の多くを救うことが出来ます。特にフィンガープリントを http 以外の別経路から入手する手段がわからん or 面倒と考える Aa (LA) にとって、Aa (HA) になってもらえる可能性が高いでしょう。話題の焦点はこの層(及び各層)が多いか少ないか?というあたりに至っていると思っていますが、お互い統計を持っていないので主観の押し付け合いになっています。
弊害として、nb (HA) な人は、SSL 化することによって騙されるようになるでしょう。これらの人が周知啓蒙の対象であることは既に述べられています。
(1Ac) は危険と知りつつ(LA)、ではないじゃないですか。知識がないからでしょう。…とも言い切れないか。HA/LA ごちゃ混ぜにしてますね、と言うべきですか。
私の表では Bn です。
Re:政府関係者の無知にはあきれるかも (スコア:1)
あなたは今回の総務省側の主張を適切に代弁してくださる上、こちらの問いかけに根気強く付き合ってくださる貴重な方です_o_。
今回の分類に主観混じりでも御協力いただければ、その後memo-mlの小島さんにタレこむなどの方法で公の場に出したいです。それによって今後みんながどのように振舞うべきかの指針が出来上がっていくかもしれません。
私も自分の考えで表の整理を試みますので、是非御協力をお願いしたいです。
# ちなみに私もあなたも memo-ml では今回の件について発言しないでしょうけれど^^;;
Re:政府関係者の無知にはあきれるかも (スコア:0)
あなたは何のために話に割り込んできたのですか?
(割り込んでくるのが悪いという意味ではないです。念為)
元々、高木氏が論文で「SSLではないので、改竄されたルート証明書をインストールしてしまう可能性がある」「その危険を回避するために(軽減するために)SSLにすべきだ」という発表をしたから、それを受けて「SSLではそういう被害は防げない」という話を私はしてるんですよ。
「SSLでなくても被害
Re:政府関係者の無知にはあきれるかも (スコア:1)
了解です。どうも失礼しました_o_。
うーん。私も変に固執している面があって突っつきどころ間違ったかなという気もしますが_o_、要するに、あなたもおっしゃってましたが、「http は危ない」&「SSL の知識がある」→「SSL で提供されていることを期待する」と考えているからです。
私はそれは妥当と思いますが、あなたは妥当と思わない、ということでしょう。本当に妥当かは統計しないと^^;。
で、現状のものに騙される人は「SSL なページがあると思わなかった人たちだから騙された」ケースと「SSL なページがあると思ったが見つからないので仕方なく指示に従って騙された」に分類され、今回両者を LA としていますが、前者は提供側が SSL なページを用意しても騙され続ける、という点について同意します。しかし後者を救うことが出来ます。現在の LA/HA の定義からすると LA が HA になるという表現は誤りでした_o_。
その通りです。なので LA/HA についてはもう少し分類が必要なのですが、そこまではやっていませんでした。# 最初 MA というのも用意してたけど消しちった^^; やっつけでスマンです_o_
先に記したとおり、LA の定義に幅を持たせすぎました_o_。「意識が低い」でひとくくりにしていますが、SSL で提供されることを期待したけど仕方なくという人はいるでしょう。フィンガープリントについてもそうです。んで、フィンガープリントは正しいものが配布されていることを探すのには手間がかかるが、SSL では URL を "https" にしてみることで確認できます。まぁ、ちょっと苦しいですが^^;、フィンガープリントと比較すれば救えると表現できるでしょう。
上記の通りです。では、SSL にせよという主張に対しては問題ないことは御了承いただけますね? 「今まで騙された人が騙されなくなる」というのが誇大(でも完全な誤りではない)であるという表現の問題を除いて。
Re:政府関係者の無知にはあきれるかも (スコア:0)
もう一歩踏み込んで考えてみてください。
そこで「SSLのページを期待」して見つかれば良いのですが、見つからなければ「危なそうなので止めとく」か「危なそうだけどインストールしてしまう」かのどちらかですね?
前者(止めとく)という人はあなたの分類ではHAですのでhttpでも危険はありません。
後者の場合はLAで
Re:政府関係者の無知にはあきれるかも (スコア:1)
おぉ、確かに^^;; DNS スプーフィングの場合はだめですね。MITM でもそうか…。
それに関しては(今後)期待してもよいのではないかと思いますが。期待しないことには http 上の偽の「確認のための手順」に騙されることを阻止できないのですから。引用前後しますが、
LA/HA の比率は主に啓蒙によって変化するわけですしねー。でも、現状の俺様分類^^;だと、それだけではなくて、「危ないと思った時に危なくない手段を探したが見つからなかったので仕方なく」な人に対して、提供側が「期待された手段を提供している」という状態を保つことにより、LA な人が「仕方なく実行してしまう」事態を軽減できる、と考えています。
そして、「期待された手段」として現状現実的なのは「SSL であること」だろうと思います。
いや、それでも http でフィンガープリントの配布はだめでしょう^^;。http 上で証明書配布方法の説明をしていることも好ましくはないでしょうね。他媒体に充分に転載されていればよいですが。政府が率先して LA 層を作り出しているようなものですから。
うーん。SSL にすべきとするところの現状の利点の第一は、正確には確かに「現状が危険ということでインストールを見合わせざるを得ない人に安全にインストールできるようにする」ということになるのでしょう。それを「より安全にする」と表現することは誤りではありませんが、「今まで騙された人が騙されなくなる」と言ってしまうと誤りだ、と。まぁ現時点ではそうだと思います。# どうも今まで前者の点ばかり突っついてすみません_o_
ただ、高木氏は memo-ml で、既に「SSL でなければならないことをユーザが知っているべきだ」「Web サイト側がその周知を促すような告知をしていくべきだ」といった(ちょうど上に書いたような)主張をしていたと記憶しています。実際そうでなければ偽の説明文に騙されるわけですから。その記憶が正しければ、高木氏は「SSL にすべき」とする主張に、「政府が率先してユーザへの適切な周知をやってくれよ。フィンガープリントを http で配布されちゃ困るし、その確認方法が http に書いてあるのも困るでしょ。SSL にして、ユーザに対する周知もやっていこうよ」という意図を含んでいたのかもしれません。
んー、だとすると、この記事も一部訂正しないとですね [srad.jp]_o_。
Re:政府関係者の無知にはあきれるかも (スコア:0)
いやだから、提供側がSSLで提供していても「探してもみつからない」んですよ。
「探す」場合にはリンクを辿って回る事になりますが、どこにもリンクが無ければみつかりません。
まあ改竄サイト作った人がhttpsのリンクを残してしまうようなマヌケなら別ですが :-)
Re:政府関係者の無知にはあきれるかも (スコア:1)
なので、「状態を保つことにより」です。要するに、SSL が使われていることが当たり前になることにより、SSL でないことを「おかしい」と思えよ、ということです。先に述べた「啓蒙によって LA が HA に変わる」が実現するための前提です。
それが「誤った認識」からのものであるかどうかは私には判断しかねます。上記の主張(の元?)と思われる記事を見つけたんですが [ryukoku.ac.jp]、ここにはこのように書かれています。# 3月だよ^^;
少なくとも、(別経路でのフィンガープリント配布が難しいなら)「SSL のページがある」ことをユーザが期待しない限り完全には防げないことは承知のうえのようですよ。
つまり、承知の上で「SSL にせよ」と主張するわけですから、ユーザ側への啓蒙も必要であり、その啓蒙を無駄にしないためにも、公開側もきっちりせよ、ということでは?
政府以外の公開側が「SSL で公開する」常識を(金の問題で)守ってくれない可能性はありますが、政府をはじめとしてきちんとしたところがきちんとしていき、それによって利用者側にも常識として定着していけば、淘汰されていく存在のように思えます。まさか政府が金の問題で俺様認証局運用したいと思っているわけじゃないですよね^^;。そもそもやっぱりルートCA証明書のダウンロードなんて特殊ですよ。他に信頼できるところでやっているところってあるんでしょうか?
高木氏的には、「ルート証明書のダウンロードに SSL を使え」、というのは主張の枝葉でしかなくて、本質的には「重要な情報のやり取りには SSL を使い、且つユーザがそうなっていることを当たり前と思えるようになっていなければ完全な安全は得られない」といったところではないでしょうか?
http を淘汰する新技術でも出てくれば別でしょうけれど、http が使えてしまう以上やはり現状最も現実的と思います。
Re:政府関係者の無知にはあきれるかも (スコア:0)
正しく認識しながら誤った表現でしか論文が書けないのであればSSLの勉強以前に日本語の勉強をすべきですね。
それとも、たとえ嘘があっても結果オーライ?
情報処理学会って原因や解決法が嘘でも結果オーライが罷り通るようないいかげんな学会なんですか?
一般の(非技術系の)人に多少嘘(というか不正確)な表現を取りながら啓蒙するというのは許される場合もあるかもしれませんが、研究者の
Re:政府関係者の無知にはあきれるかも (スコア:1)
えー、論文が「公開側がSSLにするだけで今まで騙されていた人が騙されなくなる」と書かれているなら嘘でしょうけれど、そんな意図ではない(であろう)ことはもう理解いただいたのではないでしょうか? そういう観点で読んでも明確にそういう主張がされている箇所ってありましたっけ?
私は研究者でも査読者でもないのであんまりそういう見方では批評できないんですが、情報処理学会の方には本来の意図が伝わったからそれなりの評価がされているのではないですか?
現状は一般にはどちらも常識とはいえないのでは?
自分自身のルート証明書を第三者に証明してもらうほうが論理的には正しいのでは?(信頼の輪方式で) まぁそれは別の論点ですけど。えー、http 上で証明書インストール方法を説明している限り、偽の説明を読まされることを完全に回避することは不可能、という点はもうよいのでしょうか? 配布元&インストール方法を説明している場所が確かにその配布元であるかを証明するには SSL にするか Web 以外を用いるか、充分に広範囲で(それこそ常識と思わせるくらいに)説明されるかしかないですよね? (しかもいずれも利用者側の周知を要する)
それはそうと、ルートCA 証明書のWeb 経由での配布を行っているサイトって他にあるんですっけ?
まったくもってフィンガープリントの照合にも当てはまりますね。論文の解決策の冒頭に「最も簡単な方法は」って書いてませんでしたっけ?
なので常識化されるべきなのは「ルート証明書の配布に限らず重要
Re:政府関係者の無知にはあきれるかも (スコア:0)
>で入手したフィンガープリントで確認すべき」という「認知された常
>識」を広めてくれた方が、
「異経路」というのは、 http://www.e-gov.go.jp/... のことですか?
Re:政府関係者の無知にはあきれるかも (スコア:0)
「問題点」として「このURLはhttps:でなくhttp:であるから,この証明書は信頼できない通信路を経由してダウンロードされることになる.すなわち,通信路中で偽の証明書にすり替えられる可能性がある」と指摘しておいて「解決策」として「それができない場合の解決策は,主要民間認証局発行のサーバ証明書を使用したhttps:ページで府省運用支援認証局のルート証明書を配布することである」と書かれているのですが、これを「SSLにしても、これまで騙される可能性のあった人
Re:政府関係者の無知にはあきれるかも (スコア:1)
「問題点」には続きがあります。「フィンガープリントの開示を行っているがそれも http である」と。「解決策」にも「それをしたくないとなると,官報や新聞,パンフレットなどに定期的にフィンガープリント値を掲載して照合を求めることになるが,」と続きがあります。「SSL にすることである」の部分に、フィンガープリントのケースでは書かれている条件である利用者側の注意が書かれていないことは今確認しました。これは誤解を招くのは確かです。が、書き忘れとしか思えないです。
とはいえ、「書き忘れとしか思えない」のが、私が先に引用したような記事の主張をおぼろげにも記憶していたからで、初めて読んだ人にそれは期待できないのはそうでしょう。なのでその点について既に同意しています。
そりゃそうですね^^;。でも先に引用した記事以外にもあったと思います。「利用者が SSL であることを常識と思え」というのは。また暇があったら探します。
いいえ。無かったことにしたいとは思っていません。私自身はまぁ、一種の高木ファンですね^^;。昔 Java-House-ML を見て頭の切れる人だなーと思ってその後も参考にしていたみたいな。んで、認識不足とかは無いだろうという思いからバイアスがかかってるなぁとは思いますが、それはあなたの側も同じように思えます。私は論文の記述/表現が問題だったんだな、と推測に結論付けましたが、あなたは執拗に高木氏という人間を叩こうとしているように見える、と。
論文の記述不足は認めています(認めました)が、高木氏の主張にはまったく同意しているので、主張の部分への反論に対して反駁している、というところです。ですから私的には話題は論文から離れつつあります。
これは冗談だったので無視してくださいな_o_。
えと、では完全にオフトピックですね。「そのような議論はしていませんから」^^;
私は一般ユーザに配布する点についてのみ話しております。
それはまずくないんですか?
Re:政府関係者の無知にはあきれるかも (スコア:0)
という事なので枝葉には触れませんが、一点だけ
そういう主張ではありません。
フィンガープリントによって確認するというのは、(少なくとも技術的知識のある人には)「常識」として定着しているものであり、ルート証明書を配布するのであれば最低限しなくてはいけない事です。
その「最低限」の事をするために必要なフィン
Re:政府関係者の無知にはあきれるかも (スコア:1)
私も、「SSL で提供されているはず」「SSL ページを探す」「ドメインがターゲットのものであることを確認する」の周知/実施を徹底することが簡単と思っているわけではありません。「フィンガープリントがあるはず」「見つける」「照合する」の周知/実施よりは簡単であるだろうと思っているに過ぎないです。
Re:政府関係者の無知にはあきれるかも (スコア:0)
長らくお付き合い頂き、ありがとうございました。