パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward
    通信路が暗号化されている、くらいの認識しかないってことだね。
    発行元が証明されているとか、中身が改竄されてないことを証明するってところは
    あまり知られてないということ。

    あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
    それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
    • by Anonymous Coward
      「一般人における」って、まるで自分はわかっているかのようなことをおっしゃいますが、あなた自身も理解していないようですよ?

      > 通信路が暗号化されている、くらいの認識しかないってことだね。

      通信路も正しく暗号化されていないというのが正しい理解です。

      > 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
      > あまり知られてないということ。

      そういう話ではありません。
      • 別ACですが、自宅鯖にオレオレ証明書で立てたSSLサイトがあったとして、DNSの詐称とかされてなくて、外部からちゃんと正しく自宅鯖に到達できているとして、その自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書が正しくないというメッセージを無視してアクセスしたら、その後アクセス中に通信経路に流れているパケットは他の人が傍受しても暗号化されているので(コストに見合った時間内に)解読されることはない、という理解で正しいでしょうか?
        • > 外部からちゃんと正しく自宅鯖に到達できているとして
          それが本当に確認できて

          > 自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書
          が自分と自宅の間にいる他の誰かがすりかえた証明書ではないことまで証明できればそのとおりです。
          • つまりダムハブを経路に入れるなどしてパケットを単に盗聴して情報を見られる事に対してだけならオレオレ証明書は役に立つわけですね。
            到達できているかあるいは証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなにと言う運用はアリだと。

            #証明書についての正しい認識が広まってくれると、オレオレ証明書の自宅鯖SSLサイトを
            #訪れた人は門前で引き返してくれるから期せずして来る人が少なくなってうれしいかも。
            • 証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなに
              ではなくて、内容とフィンガープリントで確認せよ。
              • >ではなくて、内容とフィンガープリントで確認せよ。

                無論ですがフィンガープリントはネットで公開されていないことが条件です
                フィンガープリントまで詐称されたら意味が無い
                あと文書等でこれらを配布した場合、たしかに発行者が出したものと証明できないと
                意味がありません
                配布経路等も気にする必要があるでしょう、フィンガープリントとURLを記載した
                偽物の文書が出回ったら意味が無いわけです

                自己証明書は「自分で使うか」「証明書発行者本人の発行物であると言う証明と
                信頼の置ける流通経路を使って配布した場合場合」にしか使えないと考えています
                各種証明書発行機関は証明書が確かに本人の物であると言う確認行為を代行しているに
                過ぎないわけですから自らそれを行えるのなら自己証明書も有効って事になります

                この銀行の件は明らかにそれを無視して居るのは言うまでもありません
                銀行の窓口で自己証明書の入ったCDでも手渡ししてるなら使えるとは思いますが...
              • by Anonymous Coward on 2007年11月29日 19時57分 (#1257575)
                > 無論ですがフィンガープリントはネットで公開されていないことが条件です
                > フィンガープリントまで詐称されたら意味が無い

                証明書のフィンガープリントが詐称されるようなことがあるならなおさらオレオレ証明書なんか使えませんがな:)

                可能性としては
                  - フィンガープリント一致するようなオレオレ証明書をモノスゴイ計算パワーででっちあげる
                  - フィンガープリント表示部をのっとる
                ぐらいかな
                前者は時間的な制約で難しそうだし
                後者の場合にはフィンガープリントがどうのこうの以前にシステム自体が悪さをしないか疑った方がいいかも

                詐称というのが計算されたフィンガープリントではなく別経路で入手したものであるとして

                > あと文書等でこれらを配布した場合、たしかに発行者が出したものと証明できないと意味がありません
                > 配布経路等も気にする必要があるでしょう、フィンガープリントとURLを記載した偽物の文書が出回ったら意味が無いわけです

                正しいフィンガープリントを多数ばらまいておけば多少の偽物があっても負けない という考えからか
                PGPやらのフィンガープリントをメールのシグネチャに入れている人を何人もみてきました

                これが「ネットで公開されていないことが条件です」の反証になりませんかね
                親コメント
              • ×:フィンガープリントはネットで公開されていないことが条件
                ○:フィンガープリントは(もちろんネット以外の)信用できる手段で公開されていることが条件

                公開が必須となるのは利用者全員が正しいフィンガープリントを知る必要があるから。
                不特定多数に向けたサービスでなければ、別に公開する必要なんかない。

                ちなみに偽証されてないことが信用できるならネット経由でも構わないんだけど、
                ネットの通信が信用できるならそもそも証明書なんか必要ない(w
              • もっとも簡単なのが抜けてますって

                「サイトごと詐称して、フィンガープリントと証明書をおいておく」

                偽装サイト防止もSSL証明書の機能の1つですよ
                まぁ日本の場合co.jpは会社の登記簿謄本が必要になるので
                DNSをクラックしないとドメイン事態は奪えないでしょうが、ほかのドメインなら....

                だから自己証明書の場合はネット以外の信頼できる方法で配布することが必要になるのです
                親コメント
              • >DNSをクラックしないとドメイン事態は奪えないでしょうが、ほかのドメインなら....

                他のドメインならDNSクラック以外にco.jpと違う事情で詐称しやすいのですか?
              • 会社名.com/ターゲットの会社名と1文字違う.co.jp等
                入力ミス等や似たようなドメインを使うのがこの手のアタックの常套手段ではないでしょうか?

                たとえば...まぁこれはフィッシングではありませんが
                九十九電気 [tsukumo.co.jp]と九十九商会 [tukumo.co.jp]みたいに似たようなドメインは存在します

                親コメント

日々是ハック也 -- あるハードコアバイナリアン

処理中...