アカウント名:
パスワード:
PKIは技術的に設計されたもので、社会的システムとして設計されていません。
それを破壊する行為をしているのは一部のレベルの低い技術者達です。 「セキュリティ上の問題はありません」と書いている銀行も、ベンダーにそう言われて書いているにすぎません。破壊しているのは一部の技術者です。
PKI懐疑派は社会的信頼性を問題にしているのに、PKI賛美派は技術的信頼性を力説するばかりです。
PKIを否定しているわけではありません。 PKIはあくまで技術基盤で、社会基盤はそれを土台にして構築します。技術基盤としての出来に文句言っているわけではありません。
違いますよ。何度言えば分かるのですか?PKIは社会基盤です。下層の技術基盤と上層の社会基盤の全体をPKIと呼ぶのです。
もし常に自己認証証明書を否定するのならば、https 仕様をそうすればよいのです。 自己認証証明書を拒否するという要件を、SSLクライアントの MUST にすればいい。
仕様ではそうなっていますよ。
でも現実にはそうなっていません。 ということは、自己認証証明書を使うかどうかは実運用時の選択に任せ
社会システムでの対処方法が存在することを認めなければ比較検討には至りません。
「社会システムでの対処方法」とは何のことを言っているのですか? 今までに一度も提示されていません。ありもしないものを言われても困ります。
#というか自己署名を拒否すべしって、認証局の自己署名も拒否しちゃわないんですかね。
支離滅裂。そもそも何も理解していないのでは?
ホスト名が証明書と違っても警告表示の上で続けていいとすら書いてあります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
利用しなきゃいいだけでは (スコア:0)
また、できないならできないなりに、「やばそう?」と感じたら近寄らなきゃいいし、「大丈夫だろう」と思うなら使っていればいい。
それで結果的にどうなろうと、それは選択した人間の意思なんだし。
啓蒙として「こういうのはこうなんですよ」と世間に向けて発信するのはいいけど、いちいち銀行などに指図をするのは共感できないな。
Re:利用しなきゃいいだけでは (スコア:5, すばらしい洞察)
業界ゴロではなく、正しく声を上げるという点でも評価できます。これを認証局が言えばカドが立つでしょうし。
Re:利用しなきゃいいだけでは (スコア:1)
健全な方向に発展させること」を使命とする産総研のやるべきことに入っていると思います。
Re:利用しなきゃいいだけでは (スコア:0)
まして今回の二行はともに地銀
一般的な大企業とくらべたらずっと小規模かつローカルすぎると思うけどねぇ
Re:利用しなきゃいいだけでは (スコア:4, すばらしい洞察)
東京や大阪は複数の都市銀行があるから、イヤなら他を選べばいい。
しかし、地方では「事実上、そこの地銀以外ATMが存在しない」コトが多々あるわけで。
そーなると全く選択の余地がない=完全な公共インフラとして存在しているコトになります。
その状況で「フィッシングし放題・オレオレ証明書完備」というのは、大変危険だと思いますが。
Re:利用しなきゃいいだけでは (スコア:1, 興味深い)
武銀に常駐してるCSRがりそなへ向かう。
# 本当にAC
Re:利用しなきゃいいだけでは (スコア:1, 参考になる)
新潟市に本店があるのは第四銀行で、以前は新潟中央銀行(倒産)もありました。
なので冷静に新潟県全体を見渡せば、あまり影響がなさそうな気がします。
しかし北越銀行は「ATM手数料無料!」のCM攻勢で他行を牽制しています。
また災害続きの中越地区におけるメインバンクと考えれば、本件への対応は
疎かにしてほしくないと思います。
Re:利用しなきゃいいだけでは (スコア:0)
「小規模かつローカルすぎる」から公共性が無いと? 酷い言い掛かりだな。
だとすると銀行法第一条からそぐわないので、銀行業免許を取り消すべきって話になる。
彼らを廃業に追い込むだけの(公共性の無さを示す)材料があるの?
根も葉もない中傷なら控えて欲しい。
Re:利用しなきゃいいだけでは (スコア:0)
たとえ信金や労金などでも、取り付け騒ぎなどは最悪、全金融機関に波及しかねないと聞いた覚えが。
Re:利用しなきゃいいだけでは (スコア:1)
なんてことが起こらないといいのですが。
「安全宣言」が虚しく響くこのご時世、しっかり対策を行ってほしいですね。
匠気だけでは商機なく、正気なだけでは勝機なし。
Re:利用しなきゃいいだけでは (スコア:0)
そもそも現在のPKIが社会的に信用を得ていないから無視されるわけでしょう。
無視されたからPKIが無効化されたというのは本末転倒です。
そもそも認証局の信頼性にどんな社会的担保があるんでしょう?
行政府や、強制力のある監督機関が定期的にチェックしてるんでしょうか。
man-in-the-middle の危険性を吹聴しますが、man-in-the-ca の可能性は無視していませんか?
Re:利用しなきゃいいだけでは (スコア:1, すばらしい洞察)
PKIが無意味だと思うのなら証明書を使ったSSL通信なんてしなければいい。
それをいい加減な方法で使っておいて安全を装うというのは詐欺に近い。
そもそもどんな通信方法を使っていようと、セキュリティリスクがあるにもかかわらず利用者に対して「セキュリティ上の問題はございません」と嘘をついてるのが根本的な問題なわけで。
Re:利用しなきゃいいだけでは (スコア:1, 参考になる)
WebTrust for CAという監査を受ける必要があるはずです
少し調べた限りでは監査法人がやってるようです
監査法人が社会的に信用できないというなら私はしりません
Re:利用しなきゃいいだけでは (スコア:0)
君のソリューションを見せてもらおうじゃないか。
Re:利用しなきゃいいだけでは (スコア:0)
ここ読めば分かるでしょ。
Re:利用しなきゃいいだけでは (スコア:0)
Re:利用しなきゃいいだけでは (スコア:0)
Re:利用しなきゃいいだけでは (スコア:0)
PKIを運用する社会システムを作ればよいのです。
PKI懐疑派は社会的信頼性を問題にしているのに、PKI賛美派は技術的信頼性を力説するばかりです。
PKIが技術的に達成した信頼性を現実社会で運用するにはコスト的な問題があります。
しかし幸いにも、現実社会ではセキュリティ屋の求める100%の信頼性は必要としません。
現実的なコストで大多数をカバーできる安全と、そこから漏れた犯罪を摘発し裁き損害を補填する仕組みがあればよいのです。
Re:利用しなきゃいいだけでは (スコア:0)
一定の社会的信頼性を組み込むことはすでに行われています。
技術的に利便性を向上させるEVSSLの仕組みも始まっています。
PKI技術だけで社会的信頼性が保証されることはありませんが
PKI基盤なしにインターネット上で社会的信頼性を担保することは
現実的ではありません。
# もしかしてWeb of Trustの信奉者だったりしますか?
PKIを用いない場合に発生させる損害のコストを引き受けるなら
どうぞご自由になさればよろしいですが、「オレオレ証明書」や
平文通信が安全であるかのように吹聴するようなことは
くれぐれもなさいませんように。
Re:利用しなきゃいいだけでは (スコア:0)
それを破壊する行為をしているのは一部のレベルの低い技術者達です。
誰か賛美しているのですか? 社会システムとしてのPKIの前提となる技術の部分で使用方法に明確な誤りが見られるのだから、それを是正するのは当然でしょう。PKI懐疑派であろうと賛美派であろうと、技術的誤りは純然たる誤りです。「セキュリティ上の問題はありません」と書いている銀行も、ベンダーにそう言われて書いているにすぎません。破壊しているのは一部の技術者です。
Re:利用しなきゃいいだけでは (スコア:0)
> PKI賛美派は技術的信頼性を力説するばかりです。
フフン。つまり君の言いたいことはこうかな?
「俺はPKI懐疑派だ。だから俺はオレオレ証明書を使うし、それで問題ないと説明する。」
Re:利用しなきゃいいだけでは (スコア:0)
> 行政府や、強制力のある監督機関が定期的にチェックしてるんでしょうか。
信頼性が商品なだけで、他の企業と同じ。
変な事をすれば淘汰される。顧客は同業他社が受け皿になる。
PKIは信頼性を低コストで提供するための道具だよ。
道具は間違った使い方をすれば無駄になる。
> man-in-the-middle の危険性を吹聴しますが、man-in-the-ca の可能性は無視していませんか?
man-in-the-行政府 の可能性は無視?
Re:利用しなきゃいいだけでは (スコア:0)
>man-in-the-行政府 の可能性は無視?
そういう反論をするということは、PKI は man-in-the-ca は無視していることは認めるわけですね。
さて、僕らが man-in-the-ca を指摘する時、当然 man-in-the-gov は想定します。
公開自由言論の下で社会制度決める過程では、必ずそういう懸念の指摘がされます。
技術セキュリティの議論で、色々な攻撃方法が考えられるのと同じ。
で、それに対処するために国会への報告義務とか公安機関とかマスコミによる監視とか情報公開請求とか独立権力による裁判とか、リスクへ対処する仕組みが必ず付くわけです。社会的制度設計と言った内にはそういう対処をすることを含んでいます。
Re:利用しなきゃいいだけでは (スコア:0)
個別のCAを信頼する・しないを選択する自由(と責任)はあなたにもあります。それもPKIの枠組みのうちです。
PKIを用いなければ信頼の問題を「man-in-the-gov」に局所化することもできませんよ。
Re:利用しなきゃいいだけでは (スコア:0)
PKIはあくまで技術基盤で、社会基盤はそれを土台にして構築します。技術基盤としての出来に文句言っているわけではありません。
ベースクラスと拡張クラスみたいなもんです。PKIは実社会で運用される信頼システムとイコールではありません。
man-in-the-ca を言ったのはそういうことです。PKI仕様はその保障を社会制度へ投げているわけで、自身をそれだけでは社会システムとして完璧ではないと位置づけていることを示しています。
もし常に自己認証証明書を否定するのならば、https 仕様をそうすればよいのです。
自己認証証明書を拒否すると
Re:利用しなきゃいいだけでは (スコア:0)
違いますよ。何度言えば分かるのですか?PKIは社会基盤です。下層の技術基盤と上層の社会基盤の全体をPKIと呼ぶのです。
仕様ではそうなっていますよ。
Re:利用しなきゃいいだけでは (スコア:0)
>違いますよ。何度言えば分かるのですか?PKIは社会基盤です。下層の技術基盤と上層の社会基盤の全体をPKIと呼ぶのです。
社会基盤には法律も含むわけで、世界連邦の実現していない現状では各国で異なるのは自明だと思いますが。
まぁ、PKI が a か the かは本論ではないので深追いはしません。
重要なことは、実社会の公開鍵基盤とは下層の技術部分と上層の社会部分から成る構造をとっているということです
Re:利用しなきゃいいだけでは (スコア:0)
「社会システムでの対処方法」とは何のことを言っているのですか?
今までに一度も提示されていません。ありもしないものを言われても困ります。
支離滅裂。そもそも何も理解していないのでは?
Re:利用しなきゃいいだけでは (スコア:0)
>支離滅裂。そもそも何も理解していないのでは?
RFC明記した反論の#だけ取り出して非難してないで、
「httpsクライアントは自己署名証明書を拒否するのがMUSTとなっている」
という証拠を示さないと何言ってもホラ吹きの戯言
Re:利用しなきゃいいだけでは (スコア:0)
Re:利用しなきゃいいだけでは (スコア:0)
片方のACは、「オレオレ証明書」=自己署名証明書だと勘違いしている。
もう片方のACは、「オレオレ証明書」=妥当性検証のできない状態の証明書で話してる。
Re:利用しなきゃいいだけでは (スコア:0)
Re:利用しなきゃいいだけでは (スコア:0)
>「httpsクライアントは自己署名証明書を拒否するのがMUSTとなっている」
>という証拠を示さないと何言ってもホラ吹きの戯言
仕様になっていないものを仕様だと明言する、さしずめオレオレPKIってとこでしょうか。
Re:利用しなきゃいいだけでは (スコア:0)