パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

法務省と複数の県の電子申請用ソフトに脆弱性」記事へのコメント

  • 大分県のサイトに飛ぶと自己証明書でSSLを要求してくるんだが・・・
    CAがwww.egov-oita.pref.oita.lg.jpになっとりますが…
    これはこれで問題じゃないのか?
    • 高木さんのblog [takagi-hiromitsu.jp]でも話題になっていますが、自治体の"オレオレ証明書"ですね。

      # ここらへんが酷いので、銀行がとばっちりを受けると

      どこぞのWebページ [srad.jp]は論外としても、ちょっとくらい維持費があがってもいいから、ちゃんと証明書くらい買ってほしいですね(;;
      --
      M-FalconSky (暑いか寒い)
      親コメント
      • 大分県はオレオレ証明書じゃなくてLGPKI発行の証明書ですよ。 # 適当に言う前に確認してみたら?
        • 現状では、普通のユーザがLGPKI発行の証明書とオレオレ証明書を安全に区別するのは難しい。
          ということで、LGPKI発行の証明書もオレオレ証明書扱いしても良いのじゃないかな。
          親コメント
        • >LGPKI発行の証明書ですよ。

          どうすれば「本物のLGPKI発行の証明書」だと確認できますか?
          • LGPKI認証局のフィンガープリントを官報に載せるなりして、
            複数の信頼性の高い手段で確認できるようにしておくのが正解かな。

            Webで公開されているLGPKIのフィンガープリント [google.co.jp]もたくさんあるから、
            これらを複数確認する、というのも手かもしれない。

            この場合、インターネットへの出口で小細工されちゃうとだまされる可能性もあるけど、
            そこまでするクラッカーはいないんじゃないかなぁ。
            親コメント
            • >この場合、インターネットへの出口で小細工されちゃうとだまされる可能性もあるけど、
              >そこまでするクラッカーはいないんじゃないかなぁ。

              そうなんだったら、SSL はそもそも要らないわけで。
              • ネット上で公開されているLGPKIのフィンガープリントのほとんどすべてを偽造しまくる
                トランスペアレントキャッシュみたいなものを置かなければならない、と考えると、わりと面倒です。
                そう言ったトランスペアレントキャッシュを構築できたとしても、
                それをインターネットの出口近くに置くことができるか、という問題もあります。

                十分に多い数確認すれば、それなりの(あくまでも、「それなりの」ですが)信頼性は得られます。

                いつも完璧な信頼性を求める、という条件であれば話は別です。
                そうなってくると、
                    - ブラウザ組み込みの証明書はどうして信用できるのか、とか、
                    - ブラウザ自体はどうして信用できるのか、とか、
                    - プリインストールのOSが汚染されていないことはどうやって保証するのか、とか
                    - 非プリインストールのOSのメディアは汚染されていないのか、とか、
                他にもいろいろ考えるべきことはありますね。
                親コメント
              • > と考えると、わりと面倒です。

                いやいや、全然簡単ですよ。

                線抜いて、間にマシンを挟んで、特定のバイト列を置換するフィルタしながら中継するルータみたいなものを動かすだけですね。

                無線LANだとまたいろいろできそうだし。
              • > いやいや、全然簡単ですよ。

                おお、言われてみれば、確かに簡単そうですね。
                でも、設置するのはそんなに簡単じゃないと思います。

                > ユーザに落ち度がある場合を、ない場合と一緒くたにするのはやめてくれませんか。

                どれがユーザに落ち度があるケースで、どのケースがユーザに落ち度がないケースですか?
                ヘンなブラウザを拾ってくるのは、ヘンなフィンガープリントを拾ってくるのと大差ないと思います。
                へんなOSを納入されてしまうのと、ヘンなプロキシを回線に挟まれてしまうので、どういう差があるんでしょう?
                親コメント
              • > でも、設置するのはそんなに簡単じゃないと思います。

                簡単な場合もありますよ。自分で考えてみたらどうですか。
                「おお、言われてみれば、確かに簡単そうですね」とまた繰り返しますか?

                > へんなOSを納入されてしまうのと、ヘンなプロキシを回線に挟まれ
                > て
              • > 簡単な場合もありますよ。

                もちろん、そういう場合もありますね。

                ところで、フィンガープリントを画像で表示されたりすると、結構厄介なことになりますね。
                ユーザ名・パスワードの入力時に、人間の手を介させるために、画像表示された文字列を入れるやつ、ありますよね。
                ああ言う風に毎回ノイズを混ぜて表示させると、なおのこと厄介になりますね。

                > 全然違うでしょう。

                どの点を指して言っていますか?私は「ユーザの落ち度」について議論しているつもりです。
                    - ヘンなOS(もしくはブラウザ)を納入されること
                    - ヘンなトランスペアレントプロキシを挟まれること
                のどちらがユーザの落ち度がある場合で、どちらがそうでない場合ですか?
                どっちもどっちだと思うけどなあ。
                親コメント
              • 今回のRyo.Fファンはキレが無いですね。  つってもキレがあった事が有るのか知りませんが…

                ※注:Ryo.Fファン…Ryo.Fを見るととりあえずちょっかいを出してしまうアル中のオッサンのような人。今回のように言葉を小出しにするのが特徴だが、長くかまってもらう為か、はたまたRyo.Fの論調を真似ているのかは不明。どちらにせよただならぬ好意を寄せている事は確か。
              • お前が一番の Ryo.F ファンに見えるが。
            • オレオレ官報が出回ったりして。
          • ここ [lgpki.jp]のアプリケーションCAの証明書をブラウザに一時的に組み込んでアクセスして、なにも出なければ一応正しい。念のためにここ [takagi-hiromitsu.jp]のLGPKI使用サイトすべてアクセスして出ないことを確認すれば、もうちょっとだけ信頼できるかもしれない。
            • それだと、そのマシンが DNSスプーフィング攻撃されてても気付けませんよ。
              • > それだと、そのマシンが DNSスプーフィング攻撃されてても気付けませんよ。

                そりゃそうですね。そうなると証明書はダウンロードではなく、輸送や役所に行って自分で受け取るなど信頼できそうな手段でとるしかないですね。それでも確認するブラウザやOSやPCがクラック済みでそこでだまされるとだめなわけですけど。
              • > ブラウザやOSやPCがクラック済みでそこでだまされるとだめなわけですけど。

                それは気をつけてればなんとかなる場合であっても、
                DNS spoofing は自分だけ気をつけてもなんともならないこともあるからなあ。
                隣の席の奴がトロイを踏んでるときとか。
              • > DNS spoofing は自分だけ気をつけてもなんともならないこともあるからなあ。
                > 隣の席の奴がトロイを踏んでるときとか。

                じゃあどうすれば「本物のLGPKI発行の証明書」を確認できるんですか?
              • > じゃあどうすれば「本物のLGPKI発行の証明書」を確認できるんですか?

                できません。
              • 証明書入りメディアを手渡しで受け取ればいいじゃん。
              • > 証明書入りメディアを手渡しで受け取ればいいじゃん。

                その証明書が本物かどうかは確認できるんですか?
                渡した人が間違えたりうそついてたりしても確認できるんですか?
              • by akudaikan (26016) on 2005年04月22日 0時07分 (#726273)
                全国の役場には地方自治情報センターからフィンガープリントが安全な方法で
                郵送されているはずなので、それの原本の閲覧を請求すればよい。
                親コメント
              • by Anonymous Coward on 2005年04月22日 0時25分 (#726282)
                >> 証明書入りメディアを手渡しで受け取ればいいじゃん。
                >
                >その証明書が本物かどうかは確認できるんですか?
                >渡した人が間違えたりうそついてたりしても確認できるんですか?

                #726070 [srad.jp]の質問自体がナンセンスというか、無理ということですね。

                つまりSSLというのは、つまり「証明書」(A)が正しいなら「それを使った通信路はすり返されていない」(B)ことを証明する(A→B)技術ということで、証明書自体も、認証元(C)が正しければその証明書も正しい(D)ということを証明できる(C→D)技術でしかないということでしょうか。

                この場合、(((「LGPKI」→「LGPKI」)→「大分県」)→「大分県との通信」)ということで、LGPKIがそこで閉じている以上、論理(プログラミングOnly)?ではLGPKIを正しいことを定義することはできないということになるのかな。
                親コメント
              • > この場合、(((「LGPKI」→「LGPKI」)→「大分県」)→「大分県との通信」)ということで、LGPKIがそこで閉じている以上、論理(プログラミングOnly)?ではLGPKIを正しいことを定義することはできないということになるのかな。

                この場合、まさにLGPKIは正しいと定義はしています。
                けど、定義なのでそれを証明する手段はないということでしょう。
                親コメント
              • LGPKI証明書をベリサインかなんかの証明書が効いているSSL通信下で、
                lgwan.jpなどの信頼が置けるドメイン配下のサーバで配布したらとりあえずOK?

                ところで、普通は(A)の正しさを「プリインストールされているブラウザについて来たから」で判断するわけで、
                MicorosoftやAppleが信用できない人は何も信用できないことになるのかな。
                だから、最終的にはOSなり証明書そのものなりのメディアを配布している組織が信用できるかどうかなので、
                >その証明書が本物かどうかは確認できるんですか?
                >渡した人が間違えたりうそついてたりしても確認できるんですか?
                ここまで疑うのならその証明書を使うサービスも信頼できないだろうし、使うのをやめなよと思う。
                親コメント

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...