パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

法務省と複数の県の電子申請用ソフトに脆弱性」記事へのコメント

  • 大分県のサイトに飛ぶと自己証明書でSSLを要求してくるんだが・・・
    CAがwww.egov-oita.pref.oita.lg.jpになっとりますが…
    これはこれで問題じゃないのか?
    • 高木さんのblog [takagi-hiromitsu.jp]でも話題になっていますが、自治体の"オレオレ証明書"ですね。

      # ここらへんが酷いので、銀行がとばっちりを受けると

      どこぞの
      --
      M-FalconSky (暑いか寒い)
      • 大分県はオレオレ証明書じゃなくてLGPKI発行の証明書ですよ。 # 適当に言う前に確認してみたら?
        • >LGPKI発行の証明書ですよ。

          どうすれば「本物のLGPKI発行の証明書」だと確認できますか?
          • ここ [lgpki.jp]のアプリケーションCAの証明書をブラウザに一時的に組み込んでアクセスして、なにも出なければ一応正しい。念のためにここ [takagi-hiromitsu.jp]のLGPKI使用サイトすべてアクセスして出ないことを確認すれば、もうちょっとだけ信頼できるかもしれない。
            • それだと、そのマシンが DNSスプーフィング攻撃されてても気付けませんよ。
              • by Anonymous Coward on 2005年04月21日 16時38分 (#726103)
                > それだと、そのマシンが DNSスプーフィング攻撃されてても気付けませんよ。

                そりゃそうですね。そうなると証明書はダウンロードではなく、輸送や役所に行って自分で受け取るなど信頼できそうな手段でとるしかないですね。それでも確認するブラウザやOSやPCがクラック済みでそこでだまされるとだめなわけですけど。
                親コメント
              • > ブラウザやOSやPCがクラック済みでそこでだまされるとだめなわけですけど。

                それは気をつけてればなんとかなる場合であっても、
                DNS spoofing は自分だけ気をつけてもなんともならないこともあるからなあ。
                隣の席の奴がトロイを踏んでるときとか。
              • > DNS spoofing は自分だけ気をつけてもなんともならないこともあるからなあ。
                > 隣の席の奴がトロイを踏んでるときとか。

                じゃあどうすれば「本物のLGPKI発行の証明書」を確認できるんですか?
              • > じゃあどうすれば「本物のLGPKI発行の証明書」を確認できるんですか?

                できません。
              • 証明書入りメディアを手渡しで受け取ればいいじゃん。
              • > 証明書入りメディアを手渡しで受け取ればいいじゃん。

                その証明書が本物かどうかは確認できるんですか?
                渡した人が間違えたりうそついてたりしても確認できるんですか?
              • by akudaikan (26016) on 2005年04月22日 0時07分 (#726273)
                全国の役場には地方自治情報センターからフィンガープリントが安全な方法で
                郵送されているはずなので、それの原本の閲覧を請求すればよい。
                親コメント
              • by Anonymous Coward on 2005年04月22日 0時25分 (#726282)
                >> 証明書入りメディアを手渡しで受け取ればいいじゃん。
                >
                >その証明書が本物かどうかは確認できるんですか?
                >渡した人が間違えたりうそついてたりしても確認できるんですか?

                #726070 [srad.jp]の質問自体がナンセンスというか、無理ということですね。

                つまりSSLというのは、つまり「証明書」(A)が正しいなら「それを使った通信路はすり返されていない」(B)ことを証明する(A→B)技術ということで、証明書自体も、認証元(C)が正しければその証明書も正しい(D)ということを証明できる(C→D)技術でしかないということでしょうか。

                この場合、(((「LGPKI」→「LGPKI」)→「大分県」)→「大分県との通信」)ということで、LGPKIがそこで閉じている以上、論理(プログラミングOnly)?ではLGPKIを正しいことを定義することはできないということになるのかな。
                親コメント
              • > この場合、(((「LGPKI」→「LGPKI」)→「大分県」)→「大分県との通信」)ということで、LGPKIがそこで閉じている以上、論理(プログラミングOnly)?ではLGPKIを正しいことを定義することはできないということになるのかな。

                この場合、まさにLGPKIは正しいと定義はしています。
                けど、定義なのでそれを証明する手段はないということでしょう。
                親コメント
              • LGPKI証明書をベリサインかなんかの証明書が効いているSSL通信下で、
                lgwan.jpなどの信頼が置けるドメイン配下のサーバで配布したらとりあえずOK?

                ところで、普通は(A)の正しさを「プリインストールされているブラウザについて来たから」で判断するわけで、
                MicorosoftやAppleが信用できない人は何も信用できないことになるのかな。
                だから、最終的にはOSなり証明書そのものなりのメディアを配布している組織が信用できるかどうかなので、
                >その証明書が本物かどうかは確認できるんですか?
                >渡した人が間違えたりうそついてたりしても確認できるんですか?
                ここまで疑うのならその証明書を使うサービスも信頼できないだろうし、使うのをやめなよと思う。
                親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...