パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward on 2007年11月28日 12時06分 (#1256737)
    こういうのが理解できるなら。

    また、できないならできないなりに、「やばそう?」と感じたら近寄らなきゃいいし、「大丈夫だろう」と思うなら使っていればいい。
    それで結果的にどうなろうと、それは選択した人間の意思なんだし。

    啓蒙として「こういうのはこうなんですよ」と世間に向けて発信するのはいいけど、いちいち銀行などに指図をするのは共感できないな。
    • by Anonymous Coward on 2007年11月28日 12時25分 (#1256749)
      銀行などは公共性が高いわけですし、そういった分野であやまった解釈がまかりとおってしまい、SSLの基盤が社会的に無効化されてしまうことに危惧をもつのは、技術者としては普通だと思います。

      業界ゴロではなく、正しく声を上げるという点でも評価できます。これを認証局が言えばカドが立つでしょうし。
      親コメント
      • それに、私はこういう「啓蒙活動」は、「科学技術を、自然や社会と調和した
        健全な方向に発展させること」を使命とする産総研のやるべきことに入っていると思います。
        親コメント
      • 銀行 = 公共 という図式が果たして今でも正しいかどうか
        まして今回の二行はともに地銀

        一般的な大企業とくらべたらずっと小規模かつローカルすぎると思うけどねぇ
        • by yohata (11299) on 2007年11月28日 14時44分 (#1256890)
          地銀だからだよ。

          東京や大阪は複数の都市銀行があるから、イヤなら他を選べばいい。
          しかし、地方では「事実上、そこの地銀以外ATMが存在しない」コトが多々あるわけで。
          そーなると全く選択の余地がない=完全な公共インフラとして存在しているコトになります。

          その状況で「フィッシングし放題・オレオレ証明書完備」というのは、大変危険だと思いますが。
          親コメント
          • by Anonymous Coward on 2007年11月28日 19時42分 (#1257071)
            武銀はりそな銀行よりはでかいような気がする。少なくともIBM社内の取り扱いとしては。

            武銀に常駐してるCSRがりそなへ向かう。

            # 本当にAC
            親コメント
          • by Anonymous Coward on 2007年11月28日 21時39分 (#1257121)
            北越銀行は本店が長岡市にあり、他に大光銀行もあります。
            新潟市に本店があるのは第四銀行で、以前は新潟中央銀行(倒産)もありました。
            なので冷静に新潟県全体を見渡せば、あまり影響がなさそうな気がします。

            しかし北越銀行は「ATM手数料無料!」のCM攻勢で他行を牽制しています。
            また災害続きの中越地区におけるメインバンクと考えれば、本件への対応は
            疎かにしてほしくないと思います。
            親コメント
        • > 一般的な大企業とくらべたらずっと小規模かつローカルすぎると思うけどねぇ

          「小規模かつローカルすぎる」から公共性が無いと? 酷い言い掛かりだな。
          だとすると銀行法第一条からそぐわないので、銀行業免許を取り消すべきって話になる。
          彼らを廃業に追い込むだけの(公共性の無さを示す)材料があるの?
          根も葉もない中傷なら控えて欲しい。
        • 規模は関係ないと思います。
          たとえ信金や労金などでも、取り付け騒ぎなどは最悪、全金融機関に波及しかねないと聞いた覚えが。
          • そして豊川信金、佐賀銀行に続く悪い噂 [wikipedia.org]がこの二つの地銀に・・・
            なんてことが起こらないといいのですが。

            「安全宣言」が虚しく響くこのご時世、しっかり対策を行ってほしいですね。
            --
            匠気だけでは商機なく、正気なだけでは勝機なし。
            親コメント
      • >SSLの基盤が社会的に無効化されてしまうことに危惧をもつのは
        そもそも現在のPKIが社会的に信用を得ていないから無視されるわけでしょう。
        無視されたからPKIが無効化されたというのは本末転倒です。

        そもそも認証局の信頼性にどんな社会的担保があるんでしょう?
        行政府や、強制力のある監督機関が定期的にチェックしてるんでしょうか。
        man-in-the-middle の危険性を吹聴しますが、man-in-the-ca の可能性は無視していませんか?
        • by Anonymous Coward on 2007年11月28日 15時32分 (#1256932)
          > そもそも現在のPKIが社会的に信用を得ていないから無視されるわけでしょう。
          PKIが無意味だと思うのなら証明書を使ったSSL通信なんてしなければいい。
          それをいい加減な方法で使っておいて安全を装うというのは詐欺に近い。
          そもそもどんな通信方法を使っていようと、セキュリティリスクがあるにもかかわらず利用者に対して「セキュリティ上の問題はございません」と嘘をついてるのが根本的な問題なわけで。
          親コメント
        • by Anonymous Coward on 2007年11月29日 0時13分 (#1257184)
          私が知る限りMSにCAルート証明書を配布してもらうには
          WebTrust for CAという監査を受ける必要があるはずです
          少し調べた限りでは監査法人がやってるようです
          監査法人が社会的に信用できないというなら私はしりません
          親コメント
        • じゃあ、どうしろというのかね?
          君のソリューションを見せてもらおうじゃないか。
          • >行政府や、強制力のある監督機関が定期的にチェックしてるんでしょうか。

            ここ読めば分かるでしょ。
          • PKIは技術的に設計されたもので、社会的システムとして設計されていません。
            PKIを運用する社会システムを作ればよいのです。
            PKI懐疑派は社会的信頼性を問題にしているのに、PKI賛美派は技術的信頼性を力説するばかりです。

            PKIが技術的に達成した信頼性を現実社会で運用するにはコスト的な問題があります。
            しかし幸いにも、現実社会ではセキュリティ屋の求める100%の信頼性は必要としません。
            現実的なコストで大多数をカバーできる安全と、そこから漏れた犯罪を摘発し裁き損害を補填する仕組みがあればよいのです。

            • CPSを読みましょう。証明書の発行プロセスに実在確認など
              一定の社会的信頼性を組み込むことはすでに行われています。
              技術的に利便性を向上させるEVSSLの仕組みも始まっています。

              PKI技術だけで社会的信頼性が保証されることはありませんが
              PKI基盤なしにインターネット上で社会的信頼性を担保することは
              現実的ではありません。
              # もしかしてWeb of Trustの信奉者だったりしますか?

              PKIを用いない場合に発生させる損害のコストを引き受けるなら
              どうぞご自由になさればよろしいですが、「オレオレ証明書」や
              平文通信が安全であるかのように吹聴するようなことは
              くれぐれもなさいませんように。
            • PKIは技術的に設計されたもので、社会的システムとして設計されていません。
              いいえ。PKI は初めから社会システムとして設計された技術応用です。 「PKI」は技術の名前ではありません。Public Key Infrastructure(公開鍵基盤) という名前が示す通り、社会のインフラなのです。

              それを破壊する行為をしているのは一部のレベルの低い技術者達です。
              「セキュリティ上の問題はありません」と書いている銀行も、ベンダーにそう言われて書いているにすぎません。破壊しているのは一部の技術者です。

              PKI懐疑派は社会的信頼性を問題にしているのに、PKI賛美派は技術的信頼性を力説するばかりです。
              誰か賛美しているのですか? 社会システムとしてのPKIの前提となる技術の部分で使用方法に明確な誤りが見られるのだから、それを是正するのは当然でしょう。PKI懐疑派であろうと賛美派であろうと、技術的誤りは純然たる誤りです。
            • > PKI懐疑派は社会的信頼性を問題にしているのに、
              > PKI賛美派は技術的信頼性を力説するばかりです。

              フフン。つまり君の言いたいことはこうかな?
              「俺はPKI懐疑派だ。だから俺はオレオレ証明書を使うし、それで問題ないと説明する。」
        • > そもそも認証局の信頼性にどんな社会的担保があるんでしょう?
          > 行政府や、強制力のある監督機関が定期的にチェックしてるんでしょうか。
          信頼性が商品なだけで、他の企業と同じ。
          変な事をすれば淘汰される。顧客は同業他社が受け皿になる。

          PKIは信頼性を低コストで提供するための道具だよ。
          道具は間違った使い方をすれば無駄になる。

          > man-in-the-middle の危険性を吹聴しますが、man-in-the-ca の可能性は無視していませんか?
          man-in-the-行政府 の可能性は無視?

          • >> man-in-the-middle の危険性を吹聴しますが、man-in-the-ca の可能性は無視していませんか?
            >man-in-the-行政府 の可能性は無視?

            そういう反論をするということは、PKI は man-in-the-ca は無視していることは認めるわけですね。

            さて、僕らが man-in-the-ca を指摘する時、当然 man-in-the-gov は想定します。
            公開自由言論の下で社会制度決める過程では、必ずそういう懸念の指摘がされます。
            技術セキュリティの議論で、色々な攻撃方法が考えられるのと同じ。

            で、それに対処するために国会への報告義務とか公安機関とかマスコミによる監視とか情報公開請求とか独立権力による裁判とか、リスクへ対処する仕組みが必ず付くわけです。社会的制度設計と言った内にはそういう対処をすることを含んでいます。
            • そういうのが好みならPKIの仕組みの中でそう [gpki.go.jp] いう [lgpki.jp] CA [jpki.go.jp]を使えばよろしい。

              個別のCAを信頼する・しないを選択する自由(と責任)はあなたにもあります。それもPKIの枠組みのうちです。

              PKIを用いなければ信頼の問題を「man-in-the-gov」に局所化することもできませんよ。
              • PKIを否定しているわけではありません。
                PKIはあくまで技術基盤で、社会基盤はそれを土台にして構築します。技術基盤としての出来に文句言っているわけではありません。
                ベースクラスと拡張クラスみたいなもんです。PKIは実社会で運用される信頼システムとイコールではありません。
                man-in-the-ca を言ったのはそういうことです。PKI仕様はその保障を社会制度へ投げているわけで、自身をそれだけでは社会システムとして完璧ではないと位置づけていることを示しています。

                もし常に自己認証証明書を否定するのならば、https 仕様をそうすればよいのです。
                自己認証証明書を拒否すると
              • PKIを否定しているわけではありません。 PKIはあくまで技術基盤で、社会基盤はそれを土台にして構築します。技術基盤としての出来に文句言っているわけではありません。

                違いますよ。何度言えば分かるのですか?PKIは社会基盤です。下層の技術基盤と上層の社会基盤の全体をPKIと呼ぶのです。

                もし常に自己認証証明書を否定するのならば、https 仕様をそうすればよいのです。 自己認証証明書を拒否するという要件を、SSLクライアントの MUST にすればいい。

                仕様ではそうなっていますよ。

                でも現実にはそうなっていません。 ということは、自己認証証明書を使うかどうかは実運用時の選択に任せ

              • >>PKIを否定しているわけではありません。 PKIはあくまで技術基盤で、社会基盤はそれを土台にして構築します。技術基盤としての出来に文句言っているわけではありません。

                >違いますよ。何度言えば分かるのですか?PKIは社会基盤です。下層の技術基盤と上層の社会基盤の全体をPKIと呼ぶのです。

                社会基盤には法律も含むわけで、世界連邦の実現していない現状では各国で異なるのは自明だと思いますが。
                まぁ、PKI が a か the かは本論ではないので深追いはしません。

                重要なことは、実社会の公開鍵基盤とは下層の技術部分と上層の社会部分から成る構造をとっているということです
              • 社会システムでの対処方法が存在することを認めなければ比較検討には至りません。

                「社会システムでの対処方法」とは何のことを言っているのですか?
                今までに一度も提示されていません。ありもしないものを言われても困ります。

                #というか自己署名を拒否すべしって、認証局の自己署名も拒否しちゃわないんですかね。

                支離滅裂。そもそも何も理解していないのでは?

              • >> #というか自己署名を拒否すべしって、認証局の自己署名も拒否しちゃわないんですかね。
                >支離滅裂。そもそも何も理解していないのでは?

                RFC明記した反論の#だけ取り出して非難してないで、
                「httpsクライアントは自己署名証明書を拒否するのがMUSTとなっている」
                という証拠を示さないと何言ってもホラ吹きの戯言

              • それはSSLではないと言ってやればいいのか?
              • 横から失礼。何が食い違ってるかわかりましたよ。「オレオレ証明書」の定義が食い違ってますね。

                片方のACは、「オレオレ証明書」=自己署名証明書だと勘違いしている。
                もう片方のACは、「オレオレ証明書」=妥当性検証のできない状態の証明書で話してる。
              • 脇道ですが、自己署名の話だかと混同する方があるといけないので
                ホスト名が証明書と違っても警告表示の上で続けていいとすら書いてあります。
                DNSが信頼できないということに過ぎません
              • >RFC明記した反論の#だけ取り出して非難してないで、
                >「httpsクライアントは自己署名証明書を拒否するのがMUSTとなっている」
                >という証拠を示さないと何言ってもホラ吹きの戯言

                仕様になっていないものを仕様だと明言する、さしずめオレオレPKIってとこでしょうか。
              • RFC 2246 に must と書かれていますよ。
    • > 「やばそう?」と感じたら近寄らなきゃいいし、
      > 「大丈夫だろう」と思うなら使っていればいい。

      WebSite上で企業が虚偽の説明をする事について、
      罰したり是正したりする仕組みがあるなら、貴方の仰る通り。

      だが、現状ではまだ虚偽の説明を正せないのだから、
      高木氏のようなキイキイうっさいオッサンは必要なんだよ。
      • 景品表示法違反(優良誤認)とかで立件できないもんですかねえ。

        「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号)に基づいて経済産業省が銀行に勧告とかした上で従わなければ、景品表示法違反(優良誤認)とか。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...