アカウント名:
パスワード:
> 何かと面倒くさい PGPの鍵管理がうまく一元化できるとイイナ!結局、PGPの特徴でもある鍵管理がネックになってるような気がするんですよね。どっかが責任持って鍵を扱ってくれればもっと使いやすくなるのに、とか思います。
PGPそのものじゃないけど、GPGなどで秘密鍵を安全に持ち運びたいということで、暗号化した外部メモリに入れて複数のPCで使う場合、鍵の在り処を設定するのがとても面倒。gpg.confなどを弄ることになるけど、一般人に出来るかどうか?「どうしたらいいの?」と問い合わせが絶えないとか、結局使わなくなったりする。結局、SSLベースのwebメールで妥協してしまったり。認証手段としては不十分なんだよな。
なんとか設定できても、自分で試した限りでは、Linuxデスクトップで、FATフォーマットのメディア上での鍵のインポートがうまく動かなかった。今は改善されてるかな?
> SSLベースのwebメールで妥協してしまったりいやそれ暗号化してないし。サーバ間では素のまま飛んでるでしょ?
何が問題って結局、暗号化したい、相手の鍵は? 署名を確認したい、相手の鍵は? ということなんだよね。
完全に閉じたメールシステムを想定してるんですよ。もちろん外部メールサーバとやりとりすると意味ないですよね。
ネットワークとかサーバが信用できない所を経由する場合の次善策として、PGPがもうちょっと使いやすければいいんですけど。
> 完全に閉じたメールシステムで誰の盗聴から保護したいの? 興味本位のシステム管理者?
ITは専門外の私ですが、そういう問題じゃないと思いますよ。
>いやそれ暗号化してないし。サーバ間では素のまま飛んでるでしょ?双方のメールゲートウェイのMTAがTLSに対応していればインターネット間の通信も暗号化されますよ。問題はそういう実装になっているサイトはほとんど無いということ。
>結局、SSLベースのwebメールで妥協してしまったり。
その妥協はまったく方向違いでは?メールを送信するまでを暗号化してるだけで、送信後は今までどおりな気がする。
誰でも簡単に完全自動で秘密鍵の場所を設定できるようにしたら完全自動でGumblarに秘密鍵を盗まれたでござるの巻
単なる茶々いれだろうけど、自動化されてもされていなくても、鍵が生で置いてあったらスパイウェアにやられる可能性は変わらないからね。GPGがメジャーな存在なら、まっさきにgpg.confとか環境変数を読めばお宝の在り処はまるわかりだし。
先にあげた問題は、UIの実装が無いことと、いろんな使い方を想定したテストが不十分ってだけで、それだけ一般人を相手にしてない、フリーソフト配布の署名くらいでしか使われていないのかも。
> 先にあげた問題は、UIの実装が無いこと
つか、
>> PGPそのものじゃないけど、GPGなどで
わざわざUI実装のない|充実していないGPGを出してきてそれを問題視するのはどうかと。
少なくとも、今回のタレコミのPGP corporationのソリューションとかではそれなりに便利なUIだと思いますが。# key ringの管理とか。
意図的にマッチポンプを狙ってるのか、天然な(情弱な?)人なのかはわかりませんが。
>少なくとも、今回のタレコミのPGP corporationのソリューションとかでは>それなりに便利なUIだと思いますが。
お金を投入すればすぐ解決。それは承知してます…先立つものが。
つ Verisignつ GPKI
なんでもあるじゃん。ただ高いとか使い方知らないだけで。
> これを機にキーサーバをゼロから再構築
このキーサーバってのは、これ [nic.ad.jp] とか これ [mit.edu] とかのことかな?もし、そうだったら、これらは PGP Corporation [pgp.com] とは関係ないんじゃないかな。
キーサーバからメールアドレス取られて spam が来てウザいとかいう話だったら、単純にメールアドレス変えればいいっていうか、それしかないんじゃないかな。
#あ、若気の至りが恥ずかしいとかそういうこと? fj に残った足跡よりはましだろ。
秘密鍵とパスフレーズがあれば消せますよ(確かそんなコマンド合ったはず)。両方無くした俺の公開鍵共は永遠に残るのだorzちなみに、ver9ぐらいから、エンタープライズ用にも出来ていて、組織内でキーサーバー持ってメールサーバーと連携させるようなソリューションは出来てます。反体制的だったPGPがなんで組織で使われるねん、とか思うてますが。いや実際、verisignをまるっとは信じていないので(w、class1とかclass2の証明書買うてみたけど不信感はまだ有ります。その点PGPはZimmermannと、信じている人だけお互いに承認すればいいので好きですね。秘密鍵は、今的にはic tokenでしょう。IE(OE)もfirefox(TB)も証明書ストアとtokenの連携はしっかりしているのですが、普及してない。open pgp cardとか有るのに、日本で売られているtokenのほとんどが、ユーザーパスワードのほかにマスターパスワードが入っているのだ、信用出来ん。さらに日本は先にfelicaが普及したのでどうしたものか、住基カードとは絶対に一緒にしたくないしな。viegaさんに聞いてみよー
>住基カードとは絶対に一緒にしたくないしな。
なんか、根本的に誤解しているような。
一時期騒がれた住基ネットと住基カードのGPKI利用はなんも関係ないよ。カードの中のSSL証明書に署名した認証局(各都道府県知事という名前の認証局)をインターネットから使えるようにしたのがGPKIのブリッジ認証局。
単に署名の検証ができるだけで、住基ネットに入れるわけでもなんでもないです。
証明書は発行番号がcnになっているので、署名からは本人の名前さえわかりません。
これで3年で500円。わざわざ鍵を自前で管理して、なくしただのなんだのの対応をするくらいなら500円払っとけばいいと私はおもうけどね。
よく分ってないんだ、PGPマンセーなだけなんだ。一部のic tokenは複数の鍵が導入できるので、住基カード解放 -> 野良鍵と同居 -> セキュリティが破られる -> 住基の鍵も一緒に流出 -> エェェェェェーとか、心配性なの、銀行のカードも嫌。
補足:felicaはPKCS#11基準を満たしていないと勘違いしていました、使えるじゃん。http://www.dnp.co.jp/news/1189115_2482.html [dnp.co.jp]
それは鍵が共存してるか、じゃなくてカードの暗号化システムがクラックされた時の話しじゃ?
だとしたら、単体でも同じだと思うが...
JPNICの奴の何が問題って、
[Q4] 誰かが偽って私のふりをして鍵サーバに登録しました。削除してください。[A] 秘密鍵を紛失したことと同様に秘密鍵を保持していない以上、鍵所有者である証明が不可能なので削除を行いません。
ってとこだよね。登録に何の証明も要らないのに、「鍵所有者である証明が不可能なので削除を行いません」って酷すぎない? 論外だよね。俺は、別に使う予定なかったけど、予防的に登録したよ。
俺は、別に使う予定なかったけど、予防的に登録したよ。
公開鍵サーバーには同じメールアドレスで何個でも公開鍵を登録することができます。「予防的に登録した」というのは、何か勘違いをなさっているのでは。
同一メールアドレスで複数あったら、使う方もどれなのか迷ってくれるよねってこと。一つしかなかったら、それで正解だと思われちゃうでしょ。
同一メールアドレスで複数あったら、使う方もどれなのか迷ってくれるよねってこと。 一つしかなかったら、それで正解だと思われちゃうでしょ。
なるほど。でも、公開鍵サーバーを見て公開鍵が一つしかなかったらそれが本物だと信じてしまうような、わかってない人が、世の中で全然普及していない PGP 暗号化メールなんか使うかなあ……。
わかってない人が、
そこんとこは予想がいい方に外れたかな。ここまでまるっきり普及しないとは思わなかった。まあ、見識不足だったんだね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
暗号化メール使いたいのに (スコア:0)
> 何かと面倒くさい PGPの鍵管理がうまく一元化できるとイイナ!
結局、PGPの特徴でもある鍵管理がネックになってるような気がするんですよね。
どっかが責任持って鍵を扱ってくれればもっと使いやすくなるのに、とか思います。
Re:暗号化メール使いたいのに (スコア:1)
PGPそのものじゃないけど、GPGなどで秘密鍵を安全に持ち運びたいということで、暗号化した外部メモリに入れて複数のPCで使う場合、鍵の在り処を設定するのがとても面倒。gpg.confなどを弄ることになるけど、一般人に出来るかどうか?「どうしたらいいの?」と問い合わせが絶えないとか、結局使わなくなったりする。結局、SSLベースのwebメールで妥協してしまったり。認証手段としては不十分なんだよな。
なんとか設定できても、自分で試した限りでは、Linuxデスクトップで、FATフォーマットのメディア上での鍵のインポートがうまく動かなかった。今は改善されてるかな?
Re:暗号化メール使いたいのに (スコア:1, すばらしい洞察)
> SSLベースのwebメールで妥協してしまったり
いやそれ暗号化してないし。サーバ間では素のまま飛んでるでしょ?
何が問題って結局、暗号化したい、相手の鍵は? 署名を確認したい、相手の鍵は? ということなんだよね。
Re:暗号化メール使いたいのに (スコア:1)
完全に閉じたメールシステムを想定してるんですよ。
もちろん外部メールサーバとやりとりすると意味ないですよね。
ネットワークとかサーバが信用できない所を経由する場合の次善策として、PGPがもうちょっと使いやすければいいんですけど。
Re: (スコア:0)
> 完全に閉じたメールシステム
で誰の盗聴から保護したいの? 興味本位のシステム管理者?
Re: (スコア:0)
ITは専門外の私ですが、そういう問題じゃないと思いますよ。
Re: (スコア:0)
>いやそれ暗号化してないし。サーバ間では素のまま飛んでるでしょ?
双方のメールゲートウェイのMTAがTLSに対応していればインターネット間の通信も暗号化されますよ。
問題はそういう実装になっているサイトはほとんど無いということ。
Re:暗号化メール使いたいのに (スコア:1)
>結局、SSLベースのwebメールで妥協してしまったり。
その妥協はまったく方向違いでは?
メールを送信するまでを暗号化してるだけで、送信後は今までどおりな気がする。
Re: (スコア:0)
誰でも簡単に完全自動で秘密鍵の場所を設定できるようにしたら完全自動でGumblarに秘密鍵を盗まれたでござるの巻
Re:暗号化メール使いたいのに (スコア:1)
誰でも簡単に完全自動で秘密鍵の場所を設定できるようにしたら完全自動でGumblarに秘密鍵を盗まれたでござるの巻
単なる茶々いれだろうけど、自動化されてもされていなくても、鍵が生で置いてあったらスパイウェアにやられる可能性は変わらないからね。
GPGがメジャーな存在なら、まっさきにgpg.confとか環境変数を読めばお宝の在り処はまるわかりだし。
先にあげた問題は、UIの実装が無いことと、いろんな使い方を想定したテストが不十分ってだけで、それだけ一般人を相手にしてない、フリーソフト配布の署名くらいでしか使われていないのかも。
Re: (スコア:0)
> 先にあげた問題は、UIの実装が無いこと
つか、
>> PGPそのものじゃないけど、GPGなどで
わざわざUI実装のない|充実していないGPGを出してきてそれを問題視するのはどうかと。
少なくとも、今回のタレコミのPGP corporationのソリューションとかでは
それなりに便利なUIだと思いますが。
# key ringの管理とか。
意図的にマッチポンプを狙ってるのか、天然な(情弱な?)人なのかはわかりませんが。
Re: (スコア:0)
>少なくとも、今回のタレコミのPGP corporationのソリューションとかでは
>それなりに便利なUIだと思いますが。
お金を投入すればすぐ解決。それは承知してます…先立つものが。
Re: (スコア:0)
Re: (スコア:0)
つ Verisign
つ GPKI
なんでもあるじゃん。ただ高いとか使い方知らないだけで。
Re: (スコア:0)
あの当時は一度登録したら消せないなんて知らなかったんだよう
Re:暗号化メール使いたいのに (スコア:2)
> これを機にキーサーバをゼロから再構築
このキーサーバってのは、これ [nic.ad.jp] とか これ [mit.edu] とかのことかな?
もし、そうだったら、これらは PGP Corporation [pgp.com] とは関係ないんじゃないかな。
キーサーバからメールアドレス取られて spam が来てウザいとかいう話だったら、単純にメールアドレス変えればいいっていうか、それしかないんじゃないかな。
#あ、若気の至りが恥ずかしいとかそういうこと? fj に残った足跡よりはましだろ。
Re:暗号化メール使いたいのに (スコア:1)
秘密鍵とパスフレーズがあれば消せますよ(確かそんなコマンド合ったはず)。両方無くした俺の公開鍵共は永遠に残るのだorz
ちなみに、ver9ぐらいから、エンタープライズ用にも出来ていて、組織内でキーサーバー持ってメールサーバーと連携させるようなソリューションは出来てます。反体制的だったPGPがなんで組織で使われるねん、とか思うてますが。
いや実際、verisignをまるっとは信じていないので(w、class1とかclass2の証明書買うてみたけど不信感はまだ有ります。その点PGPはZimmermannと、信じている人だけお互いに承認すればいいので好きですね。
秘密鍵は、今的にはic tokenでしょう。IE(OE)もfirefox(TB)も証明書ストアとtokenの連携はしっかりしているのですが、普及してない。open pgp cardとか有るのに、日本で売られているtokenのほとんどが、ユーザーパスワードのほかにマスターパスワードが入っているのだ、信用出来ん。さらに日本は先にfelicaが普及したのでどうしたものか、住基カードとは絶対に一緒にしたくないしな。viegaさんに聞いてみよー
Re: (スコア:0)
>住基カードとは絶対に一緒にしたくないしな。
なんか、根本的に誤解しているような。
一時期騒がれた住基ネットと住基カードのGPKI利用はなんも関係ないよ。
カードの中のSSL証明書に署名した認証局(各都道府県知事という名前の認証局)を
インターネットから使えるようにしたのがGPKIのブリッジ認証局。
単に署名の検証ができるだけで、住基ネットに入れるわけでもなんでもないです。
証明書は発行番号がcnになっているので、署名からは本人の名前さえわかりません。
これで3年で500円。わざわざ鍵を自前で管理して、なくしただのなんだのの対応を
するくらいなら500円払っとけばいいと私はおもうけどね。
Re:暗号化メール使いたいのに (スコア:1)
よく分ってないんだ、PGPマンセーなだけなんだ。一部のic tokenは複数の鍵が導入できるので、
住基カード解放 -> 野良鍵と同居 -> セキュリティが破られる -> 住基の鍵も一緒に流出 -> エェェェェェー
とか、心配性なの、銀行のカードも嫌。
補足:felicaはPKCS#11基準を満たしていないと勘違いしていました、使えるじゃん。
http://www.dnp.co.jp/news/1189115_2482.html [dnp.co.jp]
Re:暗号化メール使いたいのに (スコア:1)
それは鍵が共存してるか、じゃなくてカードの暗号化システムがクラックされた時の話しじゃ?
だとしたら、単体でも同じだと思うが...
M-FalconSky (暑いか寒い)
Re:暗号化メール使いたいのに (スコア:1, 参考になる)
JPNICの奴の何が問題って、
ってとこだよね。登録に何の証明も要らないのに、「鍵所有者である証明が不可能なので削除を行いません」って酷すぎない? 論外だよね。
俺は、別に使う予定なかったけど、予防的に登録したよ。
Re:暗号化メール使いたいのに (スコア:2)
公開鍵サーバーには同じメールアドレスで何個でも公開鍵を登録することができます。「予防的に登録した」というのは、何か勘違いをなさっているのでは。
Re: (スコア:0)
同一メールアドレスで複数あったら、使う方もどれなのか迷ってくれるよねってこと。
一つしかなかったら、それで正解だと思われちゃうでしょ。
Re:暗号化メール使いたいのに (スコア:2)
なるほど。でも、公開鍵サーバーを見て公開鍵が一つしかなかったらそれが本物だと信じてしまうような、わかってない人が、世の中で全然普及していない PGP 暗号化メールなんか使うかなあ……。
Re: (スコア:0)
そこんとこは予想がいい方に外れたかな。
ここまでまるっきり普及しないとは思わなかった。まあ、見識不足だったんだね。