パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • こういうのが理解できるなら。

    また、できないならできないなりに、「やばそう?」と感じたら近寄らなきゃいいし、「大丈夫だろう」と思うなら使っていればいい。
    それで結果的にどうなろうと、それは選択した人間の意思なんだし。

    啓蒙として「こういうのはこうなんですよ」と世間に向けて発信するのはいいけど、いちいち銀行などに指図をするのは共感できないな。
    • by Anonymous Coward
      銀行などは公共性が高いわけですし、そういった分野であやまった解釈がまかりとおってしまい、SSLの基盤が社会的に無効化されてしまうことに危惧をもつのは、技術者としては普通だと思います。

      業界ゴロではなく、正しく声を上げるという点でも評価できます。これを認証局が言えばカドが立つでしょうし。
      • >SSLの基盤が社会的に無効化されてしまうことに危惧をもつのは
        そもそも現在のPKIが社会的に信用を得ていないから無視されるわけでしょう。
        無視されたからPKIが無効化されたというのは本末転倒です。

        そもそも認証局の信頼性にどんな社会的担保があるんでしょう?
        行政府や、強制力のある監督機関が定期的にチェックしてるんでしょうか。
        man-in-the-middle の危険性を吹聴しますが、man-in-the-ca の可能性は無視していませんか?
        • じゃあ、どうしろというのかね?
          君のソリューションを見せてもらおうじゃないか。
          • PKIは技術的に設計されたもので、社会的システムとして設計されていません。
            PKIを運用する社会システムを作ればよいのです。
            PKI懐疑派は社会的信頼性を問題にしているのに、PKI賛美派は技術的信頼性を力説するばかりです。

            PKIが技術的に達成した信頼性を現実社会で運用するにはコスト的な問題があります。
            しかし幸いにも、現実社会ではセキュリティ屋の求める100%の信頼性は必要としません。
            現実的なコストで大多数をカバーできる安全と、そこから漏れた犯罪を摘発し裁き損害を補填する仕組みがあればよいのです。

            • by Anonymous Coward on 2007年11月29日 14時22分 (#1257380)
              CPSを読みましょう。証明書の発行プロセスに実在確認など
              一定の社会的信頼性を組み込むことはすでに行われています。
              技術的に利便性を向上させるEVSSLの仕組みも始まっています。

              PKI技術だけで社会的信頼性が保証されることはありませんが
              PKI基盤なしにインターネット上で社会的信頼性を担保することは
              現実的ではありません。
              # もしかしてWeb of Trustの信奉者だったりしますか?

              PKIを用いない場合に発生させる損害のコストを引き受けるなら
              どうぞご自由になさればよろしいですが、「オレオレ証明書」や
              平文通信が安全であるかのように吹聴するようなことは
              くれぐれもなさいませんように。
              親コメント

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...