パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward
    証明書の正当性は重要視してないけど、とりあえず、通信は暗号化したいってサイトが「オレオレ証明書」使っちゃうんだよね?

    で、疑問なんだけど、そもそも「暗号化」の為に「証明書」は必須なの?
    「証明書を必要としない暗号化」さえあれば、それで解決なんじゃないの?
    • by Anonymous Coward on 2007年11月28日 16時27分 (#1256965)
      「暗号化」は盗聴防止の為の技術ですが、「証明書」の目的は接続先の証明ですから、それにより担保されるもの自体が異なります。
      親コメント
      • Re:そもそも (スコア:1, 参考になる)

        by Anonymous Coward on 2007年11月28日 16時32分 (#1256967)
        「暗号化」は盗聴防止の為の技術ですが、「証明書」の目的は接続先の証明ですから、それにより担保されるもの自体が異なります。

        違う違う。それが典型的な勘違いの元だっての。そんなこと言ってるから「うちのサイトに実在証明なんかいらないよね」って馬鹿が絶たないわけ。

        「暗号化」は盗聴防止の為の技術 -- それは○。
        「証明書」の目的は接続先の証明 -- ×。

        「証明書」の目的は接続先の証明と、中間者攻撃も防止した暗号化通信、の両方なの。

        親コメント
        • Re:そもそも (スコア:2, 参考になる)

          by Anonymous Coward on 2007年11月28日 20時37分 (#1257091)
          「そもそも」なので

          > 「暗号化」は盗聴防止の為の技術 -- それは○。
          > 「証明書」の目的は接続先の証明 -- ×。
          > 「証明書」の目的は接続先の証明と、中間者攻撃も防止した暗号化通信、の両方なの。

          勝手に補足すると

          ・大きな目的は「盗聴を防止したい」
          ・盗聴を防止するためには 「相手が正しくて(間に誰も入っていなくて)」『かつ』「途中で覗かれない」ことが必要
          ・つまり盗聴を防止するために 前者には証明書が必要で かつ 後者には暗号が必要 (他にも手段はあるけどSSLではこの2つを使っている)



          オレオレ証明書でも暗号化はされてるんでしょ → 暗号化はされていますが 前者が保証されていないので 『盗聴防止になりません』

          という回答で十分なはずなんだけど…暗号化されていれば盗聴されないにちがいないというイメージがまかり通っている
          結局「暗号化」という言葉がすごく強い(そして間違った)意味でとらえられてしまっているのが問題ではないだろうか
          親コメント
          • by Anonymous Coward
            世間一般でいう「暗号」という概念そのものが古典的過ぎるんだよ。
            それは「自分と相手以外には読めない」といった程度の認識でしかなくて、
            暗黙の了解として「その相手が自分の意図した相手に間違いない」ってことまでもが
            その言葉の中に含まれちまってるんだよ。

            古典的には「面倒な約束事」で変換しないと作ることも読むこともできないのが暗号。
            その「約束事」を自分達以外に知られさえしなければ、
            解読できる相手が自分の意図した相手に間違いないことも自明、その程度の認識。
        • by nim (10479) on 2007年11月29日 10時14分 (#1257271)
          >「暗号化」は盗聴防止の為の技術 -- それは○。
          >「証明書」の目的は接続先の証明 -- ×。

          >「証明書」の目的は接続先の証明と、中間者攻撃も防止した暗号化通信、の両方なの。

          日本語の使い方にあれこれいうのもなんですが、
          中間者攻撃の防止には接続先の証明が必要なのですから、
          「接続先の証明」には「中間者攻撃の防止」が包含されているでしょう。
          ですから、

          >「証明書」の目的は接続先の証明 -- ×。

          は間違いで、「『証明書』の目的は接続先の証明」は正しい言辞だと思いますが。
          なぜ「接続先の証明」と「中間者攻撃も防止した暗号化通信」が別のものだと思うのですか?
          親コメント
          • by Anonymous Coward
            なぜ「接続先の証明」と「中間者攻撃も防止した暗号化通信」が別のものだと思うのですか?

            (警告が出ても問題ないとするような)PKIを誤解している世間の人たちの思考過程において、「接続先の証明」と「中間者攻撃も防止した暗号化通信」が別のものだと思っているだろうから、だよ。

人生unstable -- あるハッカー

処理中...