パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

公的個人認証サービス開始、ただしWindows専用」記事へのコメント

  • by Anonymous Coward on 2004年01月30日 10時12分 (#484213)
    Netscape 7で公的個人認証サービスポータルサイト トップページ [jpki.go.jp]から、「・オンライン窓口 [jpki.go.jp]」というリンクをクリックすると、こんな警告が出ました。
    不明な認証局によって証明書が発行されたWebサイト
    online.jpki.go.jp の識別情報を信頼済みサイトとして検証することができません。
    このエラーの考えられる理由:
    -お使いのブラウザが、このサイトの証明書を発行した認証局を認識しない。
    -不正なサーバ設定が原因で、このサイトの証明書が不完全である。
    -あなたは online.jpki.go.jp の偽装サイトに接続しています。このサイトは、あなたの個人情報を取得しようとしている可能性があります。
    サイトの管理者にこの問題を報告してください。
    • まぁ、そういうことを言う前に、まずマニュアルを読みなさい。特に最初の節と、2.6.1を。従うかどうかは、お任せしますが。
      • 証明書を発行する窓口自体が信頼できない証明書を使用しているのってあり?ってことでは?
        いえ、私が BridgeCA ってのを知らないだけで、賢いブラウザさんなら知っているのかも知れませんが。
        なんか、オンラインで手続きするためには一度お役所 [jpki.go.jp]まで足を運ばないといけなそうですね。
        • > いえ、私が BridgeCA ってのを知らないだけで、賢いブラウザさんなら知っているのかも知れませんが

          知らないのが普通でしょう。ただ、使う場合には知る(つまり、当該CAの証明書をインストールする)ことが必要です。

          > オンラインで手続きするためには一度お役所 [jpki.go.jp]まで足を運ばないといけなそうですね。

          当然でしょう。オンラインの手順だけで法的に有効な本人認証ができるのなら、その時点ではすでに公的個人認証は必要ないことになりますね。
          通常、ある程度以上マジメに証明書を発行しようとすれば、out-of-bandに個人を認証する必要があり、多くの場合は対面で写真入の公的な身分証明書を確認します。公的個人認証の証明書発行も、同じように行うわけです。
          納得できないのであれば、オンラインだけでその人がその人であることを確認する、というパズルを解いてみてください。かなり難しいと思いますよ。
          親コメント
          • > 知らないのが普通でしょう。ただ、使う場合には知る(つまり、当該CAの証明書をインストールする)ことが必要です。

            証明書が事前にストアされていないとあの警告が出るので、よくわからない利用者は不安に思うだろうなあ。

            とはいえ、各国の GPKI の Root CA の証明書を事前にストアするのは大変そうだ。
            この際、国連PKI を作って、それを Root にしちゃって、GPKI は中間CAになればいいのに、なんて思った。ダメかな?
            親コメント
            • > 証明書が事前にストアされていないとあの警告が出るので、よくわからない利用者は不安に思うだろうなあ。

              まぁ、それはそうですね。

              ただ、CA の位置づけとその意味からすれば今回は自身が root CA である方が正しいっちゃ正しいのですが。。。

              > とはいえ、各国の GPKI の Root CA の証明書を事前にストアするのは大変そうだ。
              > この際、国連PKI を作って、それを Root にしちゃって、GPKI は中間CAになればいいのに、なんて思った。ダメかな?

              たしかそういう動きもなくはないはず。
              ただ、認証ポリシーが違うものをどう認証すべきかという問題が発生してしまうので、原理的に考えれば考えるほど実現しにくいのかも。(じゃぁ、民間企業からたぐれても同じじゃんになっちゃうし)

              でも、それよりも「なにを認証しているのか」という時に『ブリッジCA』の存在自体の方が問題。
              親コメント
              • > ただ、CA の位置づけとその意味からすれば今回は自身が root CA
                > である方が正しいっちゃ正しいのですが。。。

                それは違います、この場合は。

                HTTPSのPKIモデルでは、どれかひとつのルート認証局からの認証パスが辿れればそれで本物サイトと自動
              • >そのため、「自身がroot CAである」ことは何の効力も持たないのです。

                他者に依存しないという意味があります。

                # それを意識してのこのスレッドの始まりだと思いますのでID
                --
                Copyright (c) 2001-2014 Parsley, All rights reserved.
                親コメント
              • >>そのため、「自身がroot CAである」ことは何の効力も持たないのです。
                >
                >他者に依存しないという意味があります。

                他者の認証局への依存が心配というのなら、複数の認証局からのサーバ証明書を事前に用意しておいて、どこかの認証局で不都合が起きた時点で別のところの証明書に切り替えるようにすればよい。
              • >どこかの認証局で不都合が起きた時点で別のところの証明書に切り替えるようにすればよい。

                そう考えて、それがよしという判断をする組織であれば(仮定)、既にしているのでは?
                --
                Copyright (c) 2001-2014 Parsley, All rights reserved.
                親コメント
              • さっきの書き方が舌足らず(指足らず?)だったみたいですみません。

                > 他者の認証局への依存が心配というのなら、複数の認証局からのサーバ証明書を事前に用意しておいて、どこかの認証局で不都合が起きた時点で別のところの証明書に切り替えるようにすればよい。

                https の「確認パス」というテクニカルな面からいえばその通りなのですが、手続き的に言えば(というか、実際にベリサインのクラス3認証を取ろうとするとかすると)『その認証局が何を認証するか』ということが大事に、というより実際の手続きで必須になるんですけど、この場合日本国の事業としてやっている認証局のサーバをどこかの会社に認証してもらうというのはおかしな話になっちゃうよねぇ、ってことだったのでした。
                (例えばベリサインが日本という国の事業を調査して『大丈夫』とか言うの?って話)

                サーバの出す情報と今回の個人認証は切り離されている、という理解の仕方もあるかもしれませんが、信用のリンクと言う意味ではつながっていると理解した方がより自然なんじゃないかと思ったりしています。
                親コメント
              • > (例えばベリサインが日本という国の事業を調査して『大丈夫』とか言うの?って話)

                それ、そんなにヘンなことじゃないです。例えば、ムーディーズは日本道路公団なんかの格付けを発表していますね。国家や政府機関・地方自治体に対して格付けという認証を行っているわけです。
                # 頼まれもしないのに勝手にやってくれるわけですが(笑)。

                ただ、その会社に問題が起こったときにどうするか、というリスクと、自前で認証局を運用するコストを比較したときに、どう判断するかはまた別問題です。
                親コメント
              • 確認なんだけど、root CAってどういう意味で使ってますか?
                自己認証局の意味で使う場合と、信頼の基点という意味で使う場合があり、往々にして混乱の元になります。信頼の基点は、検証者が独自の判断で決めればよく、自己認証局である必要はありません。ここはよく知ってるから中間認証局だけど信頼する、でも、その上位の認証局は信用しない、という判断もありえます。
                親コメント
              • > それ、そんなにヘンなことじゃないです。例えば、ムーディーズは日本道路公団なんかの格付けを発表していますね。国家や政府機関・地方自治体に対して格付けという認証を行っているわけです。

                うーん。それは比較としてまずいでしょう。
                格付機関の格付は知らない会社に対しての認証として使うことはできますが、(でもそれを認証として知らない会社に投資する人はバカだと思う)目的は『評価』です。

                認証局による認証は CPS に基づいて、その対象が認証基準を満たすことを証明するもので、(あるドメインにおいて)信頼のチェーンを構築する訳ですから本質的に意味が異なります。

                例えばベリサインのクラス3認証の場合は、「その会社(サイトの運営母体)がちゃんと存在」して、その他「ベリサイン社のCPSに照らして」証明書を発行して、『ベリサインを信じている人は、ベリサインが CPS に基づいて認証したことを信じていいよ』って言ってるってことにるので、結果として似てたとしても意味が違っています。
                親コメント
              • (例えばベリサインが日本という国の事業を調査して『大丈夫』とか言うの?って話)
                民間会社がべりサインの証明書を買うと、べりサインがその民間会社の事業を「大丈夫」と審査認証しているとでも思ってるの? 困った誤解だねこりゃ。
              • > 結果として似てたとしても意味が違っています。

                私は、本質的には同じだと思います。これは考え方の違いに由来しますが。信頼をどのように評価するか、という点ではどちらも変わりはありません。私は、その点を本質と考えています。

                ところで、日本の政府機関に対して、ベリサインが「その機関がちゃんと存在」して、その他「ベリサイン社のCPSに照らして」証明書を発行して、『ベリサインを信じている人は、ベリサインが CPS に基づいて認証したことを信じていいよ』って言ってても、全然構わないですよね。
                親コメント
              • 自己認証局である必要はありません。ここはよく知ってるから中間認証局だけど信頼する、でも、その上位の認証局は信用しない、という判断もありえます。

                PKIモデル一般にはありえても、こ

              • > PKIモデル一般にはありえても、ここではHTTPSの話をしているのだから、
                > 現実にそのようなことが可能なWebブラウザが存在しないのではないかと。

                いえ、そんなことはありませんよ。IEでも、パス検証とは別に、中間証明機関(認証局)ごとに、どういう目的で受け入れるかを編集できます。

                > で、ここの議論ではどっちの言葉を使うべきなの?

                どちらも必要でしょう。大切なのは、両者を区別すること。
                親コメント
              • CPS でぐぐって勉強しといで。

                でもって verisign の CPS 読んでから出直してこい。
              • CPSについては、ある程度は勉強してますよ。

                で、何が問題だと言っているのですか?
                親コメント
            • > 証明書が事前にストアされていないとあの警告が出るので、よくわからない利用者は不安に思うだろうなあ。

              そのために利用者手引きとか、いろいろ用意してあるんだから、許してあげましょうよ。

              > この際、国連PKI を作って、それを Root にしちゃって、GPKI は中間CAになればいいのに、なんて思った。ダメかな?

              難しいんじゃないかな。ポリシマッピングの問題等、いろいろあるだろうし。

              それより、国内で発売するブラウザに、GPKIのCA証明書をインストールすることを義務付ける法律でも作った方が良いんじゃない?
              もっとも、それではIEユーザは救えるかもしれないけど、それ以外は...
              親コメント
            • >この際、国連PKI を作って、それを Root にしちゃって、GPKI は中間CAになればいいのに、なんて思った。ダメかな?

              国連が上位ではなく、各国の協力の下(もと)に国連が存在するのだ。とか言い出す国がありそう。
              --
              Copyright (c) 2001-2014 Parsley, All rights reserved.
              親コメント
        • by Anonymous Coward on 2004年01月30日 11時00分 (#484262)
          いや、違う。「おれさまがroot CAなのだ。登録せよ。利用するならそれが当たり前だ。登録したくないなら、帰れ。」と言っているだけです。
          親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...