アカウント名:
パスワード:
SSLの利用には、民間認証機関が発行するサーバー証明書が必要で、認証の根底に、政府認証基盤ではなく、民間認証機関を置くことになり問題だ
と堂々と言ってのける総務省官房企画課だね。 自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう?
あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。 ブラウザにまだインストールされてないルート証明
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう? あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
引用コメントが完全な解決にはならないのは確かで
高木氏の~というのは元記事をちゃんと読んでないのでは?
VeriSignなど、既に多くのブラウザにルート証明が存在するSSLで独自のルート証明書を配るようにしても、偽サーバでhttpで偽ルート証明書を配られる事を阻止できないという事は既出なので書かなかっただけですが 高木氏の「安全のため=SSL使え」「SSL使ってない=安全でない」という固定観念から抜け出せない様を「SSL安全神話・SSL至上主義」と書いたのです。 で、それに洗脳されちゃってるから「SSL使ってないから安全じゃない」→「た
じゃあhttp://www.shinsei.soumu.go.jp/first_ie.htmlもSSLにして偽装ができないようにすればいい?
そのとうりですね。ユーザがここで https になっていることを目で確認するわけです。
でもその前のhttp://www.shinsei.soumu.go.jp/useconsent_ie.htmlはhttpなのでここを偽装されて
その話って 前にも言ってませんでした [srad.jp] ? そのときも
A→B→C→D
というリンクがあるとします。ここでDはルート証明書とします。ルート証明書をSSLで配布するために、ルート証明書のDとその前のページCをSSLにします(SSLのページは小文字でd, cと書きます)
A→B→c→d
でもBのページは相変わらずhttpなので、これを偽造されて
A→B'→
A→B'→C'→D' ×→c→d とされてしまう可能性はあります。(' 付きは偽装されたページ) こうなってしまったら、ここへアクセスするユーザにはSSLのページ の存在は全く隠されてしまうのでcのページの存在すらわかりません。 ですから「httpsになっていることを目で確認する」事もできません。
C’の画面を見て、https になっていないこと
C’の画面を見て、https になっていないことをユーザは目で確認できるのでは?
それで「おかしい」と気付くためには「cがSSLで提供されているはず」という予備知識が必要ですが、そんなものはありません 「cのページはSSLで提供されています」という事を周知する労力をかけるぐらいなら、本来の確認手段であるフィンガープリントを周知する方に力をいれるべきでしょう。 もちろんトップページに「SSLだよ」なんて書いても無意味です
この議論では http じゃ危険だという予備知識があるということは前提なんでしょ?
勝手な前提を作らないで下さい。 いやhttpが危険だという事は予備知識として期待しても良いかもしれませんが、その危険を回避するために「SSLを使う」というのは前提にはできません。 ルート証明書配布で、その危険を回避するための仕組みとして用意されているのは「フィンガープリント」であり、「SSLを使うべき」などという「前提」も「常識」も存在しません。
# あなたや高木氏の脳内には存在するかもしれませんが
実際、俺様認証局(高木氏の言ですが面白いので使ってみよう)の多くは
その上で、「フィンガープリントが(どこか他の場所に)公開されてるはずだから」とか「フィンガープリントを照合する必要がある」という予備知識を周知するのと、「SSL で提供されるはずだから https:// になってるか確認する」という予備知識を周知するのはどっちが現実的ですか?
ダウンロードしたコンテンツがオリジナルかを確かめるにはハッシュをチェックするというのは我々レベルでは確かに常識だし、ルート証明書のような情報を特定の相手に間違いなく届けるという目的であればそうすべきと思います。 し
ダウンロードしたコンテンツがオリジナルかを確かめるにはハッシュをチェックするというのは我々レベルでは確かに常識だし、ルート証明書のような情報を特定の相手に間違いなく届けるという目的であればそうすべきと思います。
「そうすべき」というのであれば、そうすべきなのでは? それができないのであれば、そもそもルート証明書の配布なんてすべきではないですね
しかし、今回のものは不特定多数の非技術者ユーザに配布する、というものですよね。そういう前提で出た「現実的な対策」案であるということを忘れていませんか?
「URLがhttps
確かに「何故フィンガープリントを照合しなくちゃいけないか」という理由まで理解しようとすれば非技術者ユーザには荷が重いかもしれませんが、どこをどのように確認すれば良いかだけがわかっていればいい事ですし、SSLにしても「何故URLがhttps://www.hogehoge...であれば正しい相手先に繋がっているのか」という理由までわかって使ってる訳じゃないでしょ?
「SSL 利用者の常識」とまで言う理由は既にいろんなところで言われてると思うんですけど…。もっとも身近なところで
フィンガープリント照合の必要性の周知よりずっと深刻ですよ。SSL の常識が周知されてないことは。
「SSLの常識」というのを(今回の件とは独立に)周知しておいた方が良いというのには別に異論はありません。 ですが、今回の件に限れば、「SSLでないからダメだ」「SSLにすべきだ」という根拠は何? ルート証明書の配布において、最低限しなくてはいけない事は、「安全にフィンガープリントを配布する事」です。 それに+αで何をするかというのは、その配布対象や重要度によって変わって来る事で、場合によっては「各自の自宅/会社に人が出向いてルート証明書をインス
仮に現時点で「SSLの常識」が周知されていると仮定しても、現時点では「ルート証明書はSSLで配布するのが常識」という状況ではないのですから、「該当ページはSSLでのみ提供されている」という事を周知する必要があります。
あのー、「フィンガープリントと照合するのが常識」という状況でもないということは御自身認められてますよね? 周知されている(と期待せざるを得ない)のは、「HTTP では危ない」という点のみであるというのも良いですよね? # 私はその上「SSL はある種の安全を提供できる」というのも周知されていると思いますが。 # それが過剰で「SSL の常識」を理
あのー、「フィンガープリントと照合するのが常識」という状況でもないということは御自身認められてますよね? 周知されている(と期待せざるを得ない)のは、「HTTP では危ない」という点のみであるというのも良いですよね?
その2点は認めます。 それではこちらからも確認しますが、「ルート証明書はSSLだけで配布されてるはずだ」という「常識」も(現時点では)存在しないし、その事を周知する手間は必要だという事は認めてもらえますか?
# 「SSLの常識」とあなたのおっしゃる知識と、該当
# 何かコメントが2個に枝分かれしちゃってますが、面倒なのでこちらにまとめちゃいますゴメン
いえいえ、最初のコメントのほうは最後までちゃんと読まずに書いちゃってたんです_o_。
それではこちらからも確認しますが、「ルート証明書はSSLだけで配布されてるはずだ」という「常識」も(現時点では)存在しないし、その事を周知する手間は必要だという事は認めてもらえますか?
そういう常識は存在しませんが、「http は危険」->「(ごく一般的な意味で)https になってないと危険」レベルの常識はあるでしょうね。なぜなら SSL(TLS)以外でそこまで浸透している代替手段がないのですから。
さて、現在(だって叩きどころころころ変わるんだもん^^;)あなたが問題としているのは、
ころころ変わるというより、あるかないかわからないし、一般的にはどの程度まで浸透してるかわからない「常識」を持ち出して来て、そういうあやふやなものに立脚した「安全」を主張されるから、「攻撃する方法は色々あるよ」って話をしてるだけですが。
たとえば、玄関の鍵をピッキングで開けて侵入するピッキング盗が流行ってるから対策として鍵を変えましょう。いっそ変えるんだから電磁ロックで指紋認証にして防犯カメラも付けましょう。これでより「安全」になりました
で、一つ一つつぶしてきたわけですが。
では、そろそろあなたから現実的な代替手段を提案していただけますでしょうか? そうすればこちらが叩く側に回らせていただきますので。:Pせっかく叩いてやろうと手薬煉引いて待っている所にこういう答えで申し訳ないのですが:-)、私は「現時点で安全に全国民にルート証明書をダウンロー
では、そろそろあなたから現実的な代替手段を提案していただけますでしょうか? そうすればこちらが叩く側に回らせていただきますので。:P
せっかく叩いてやろうと手薬煉引いて待っている所にこういう答えで申し訳ないのですが:-)、私は「現時点で安全に全国民にルート証明書をダウンロー
ソーシャルな問題まで考えたら不可能なのは当たり前で、そんなことは(ここにいる人については)言われるまでもなく誰でも知っていることでしょう。
「人を騙す」ってのはソーシャルな問題なんですよ。 それなのに、そのソーシャルな問題には目を瞑って技術論に持ち込んでも意味無いでしょ。 ソーシャルな大きな問題に、僅かな技術的解決が追加されただけで、いきなり「現実的な解決策」ですか。 「技術的にはここまでしかできない」というのと「十分な対策をした」というのを混同してませんか? 技術的にできる限りの事をやっても解決できない問題であれば、それは全然「現実的な解決策」ではありません。
ソーシャルな問題まで考えたら不可能なのは当たり前で、そんなことは(ここにいる人については)言われるまでもなく誰でも知っていることでしょう。 「人を騙す」ってのはソーシャルな問題なんですよ。 それなのに、そのソーシャルな問題には目を瞑って技術論に持ち込んでも意味無いでしょ。 ソーシャルな大きな問題に、僅かな技術的解決が追加されただけで、いきなり「現実的な解決策」ですか。
「人を騙す」ってのはソーシャルな問題なんですよ。 それなのに、そのソーシャルな問題には目を瞑って技術論に持ち込んでも意味無いでしょ。 ソーシャルな大きな問題に、僅かな技術的解決が追加されただけで、いきなり「現実的な解決策」ですか。
僅かなではありません。大きなソーシャルの問題を大幅に軽減する現実的な解決策でしょう。それでもまったく何も知らない人なら騙せるという意味で、ソーシャルな攻撃方法を突き詰めていけば必ず攻撃手段が残るでしょ
僅かなではありません。大きなソーシャルの問題を大幅に軽減する現実的な解決策でしょう。
結局話がかみ合わないのは、この辺の「危険性の認識の差」だと思いますが、私がちょっと「思考実験」として考えついただけだも、いくつもソーシャルな「騙し方」が残っているのに「大幅に軽減」されてるとおっしゃる? 前に書いたピッキングの喩えで言えば、確かに玄関から侵入されるという「危険性」は「大幅に軽減」されていますが、裏口とか窓とか別の侵入経路が解決されない以上、家全体のセキュリティから見れば、ほんの僅かな安全性向上でしかありません。
だからどうすれば
僅かなではありません。大きなソーシャルの問題を大幅に軽減する現実的な解決策でしょう。 結局話がかみ合わないのは、この辺の「危険性の認識の差」だと思いますが、私がちょっと「思考実験」として考えついただけだも、いくつもソーシャルな「騙し方」が残っているのに「大幅に軽減」されてるとおっしゃる? 前に書いたピッキングの喩えで言えば、確かに玄関から侵入されるという「危険性」は「大幅に軽減」されていますが、裏口とか窓とか別の侵入経路が解決されない以上、家全体のセキュリティから見れば、ほんの僅かな安全性向上でしかありません。
フィンガープリントの配布に比べれば大幅ですけど。
さて、ブラウザに初期導入されるまでやめろといわれてもやめなかった相手にどうすればいいんでしょう?
SSLにしろという話も3月頃から出ている話で、それもやらなかった相手なんですが。 言っても聞かない相手なら言っても無駄というのであれば、「ブラウザに初期導入されるまでやめろ」と言うのも「SSLにしろ」というのもどちらも無駄という事になっちゃいますね。
「それじゃバイパスされる」などといういかにもわかっていないと思しき指摘をする人がいたからなの
「SSLの常識」には「ルート証明書はSSLで配布されるはず」というのは含まれないので「ルート証明書がhttpで配られているので偽物に違いないと気付いてもらえるとは期待できない」
自分で「HTTP じゃ危ない」ことが常識であることを認めておいてなに言ってんの? その常識すら知らない人を守るすべはないって、何回言われたら気が済むの? 「SS
だからさ、「httpじゃ危ない」という場合にその「危険」の回避方法は「フィンガープリントを確認する」という「常識」がある訳さ。 もちろん一般的な非技術系ユーザにまで浸透した「常識」じゃないけど、「ルート証明書を安全に取得する」事に長けた人にとっては「通信路が安全でない」→「通信路を安全にする」ではなくて「通信路が安全でない」→「目的のものが正しく取得できたか確認する」という手法で「危険性の回避」をする「常識」があるのよ。
また最初の話に逆戻りですか。はー。そんなことは解ってるってばさー(あなたの言いたいことは全部把握し
総務省のサイトからルート証明を取って来ようとする人をグループ分けすると
総務省のサイトからルート証明を取って来ようとする人をグループ分けすると (1)httpが危険だとわかっている (1A)フィンガープリントを確認すれば検証できると知っている (1Aa)別経路でフィンガープリントを入手し、検証できる (1Ab)別経路でフィンガープリントを入手できなかったのでインストールをしない (1Ac)別経路からフィンガープリントを入手しないと安全ではないという事までは知らなかったのでhttpにあるフィンガープリントを信じてインストールしてしまう (1B)フィンガープリントで検証できる事を知らない (1Ba)危なそうなのでイ
まず、重要なのは、na (HA) が安心してインストールの実施が出来るようになることです。あなたはこのことの意義を理解しようとしてくださらないようですが。
あなたは何のために話に割り込んできたのですか? (割り込んでくるのが悪いという意味ではないです。念為)
元々、高木氏が論文で「SSLではないので、改竄されたルート証明書をインストールしてしまう可能性がある」「その危険を回避するために(軽減するために)SSLにすべきだ」という発表をしたから、それを受けて「SSLではそういう被害は防げない」という話を私はしてるんですよ。 「SSLでなくても被害
「意義を理解していない」のではなく、その「意義」を認めても認めなくても、高木氏の論文の問題点が解消する訳ではないので脇に置いてるだけです。
了解です。どうも失礼しました_o_。
また、na (LA) の多くを救うことが出来ます。特にフィンガープリントを http 以外の別経路から入手する手段がわからん or 面倒と考える Aa (LA) にとって、Aa (HA) になってもらえる可能性が高いでしょう。 何でSSLで本物を提供した途端LAの人がHAになるの? 改竄されたサイトからはSSLなページへのリンクが一切無くなって、今のhttpのみのサイト構成と同じになった
また、na (LA) の多くを救うことが出来ます。特にフィンガープリントを http 以外の別経路から入手する手段がわからん or 面倒と考える Aa (LA) にとって、Aa (HA) になってもらえる可能性が高いでしょう。
何でSSLで本物を提供した途端LAの人がHAになるの? 改竄されたサイトからはSSLなページへのリンクが一切無くなって、今のhttpのみのサイト構成と同じになった
要するに、あなたもおっしゃってましたが、「http は危ない」&「SSL の知識がある」→「SSL で提供されていることを期待する」と考えているからです。 私はそれは妥当と思いますが、あなたは妥当と思わない、ということでしょう。
もう一歩踏み込んで考えてみてください。 そこで「SSLのページを期待」して見つかれば良いのですが、見つからなければ「危なそうなので止めとく」か「危なそうだけどインストールしてしまう」かのどちらかですね? 前者(止めとく)という人はあなたの分類ではHAですのでhttpでも危険はありません。 後者の場合はLAで
また、あなたは「SSL では URL を "https" にしてみることで確認できます。」とおっしゃいますが、DNSスプーフィングされていれば、httpsに変えてコネクトしようとする先は偽サーバですから、本物のSSLのサーバには到達できません。
おぉ、確かに^^;; DNS スプーフィングの場合はだめですね。MITM でもそうか…。
本物のSSLのサーバがhttpのサーバと別のサーバであり、そのアドレスはDNSスプーフィングされていないとしても、どのリンクを辿っても本物のSSLのサーバには到達できないのですから、あらかじめSSLで提供されている事を知っていて、そのURLを知っている場合
「危ないと思った時に危なくない手段を探したが見つからなかったので仕方なく」な人に対して、提供側が「期待された手段を提供している」という状態を保つことにより、LA な人が「仕方なく実行してしまう」事態を軽減できる、と考えています。
いやだから、提供側がSSLで提供していても「探してもみつからない」んですよ。 「探す」場合にはリンクを辿って回る事になりますが、どこにもリンクが無ければみつかりません。 まあ改竄サイト作った人がhttpsのリンクを残してしまうようなマヌケなら別ですが :-)
それでも http でフィンガープリントの配布はだめでしょう
「危ないと思った時に危なくない手段を探したが見つからなかったので仕方なく」な人に対して、提供側が「期待された手段を提供している」という状態を保つことにより、LA な人が「仕方なく実行してしまう」事態を軽減できる、と考えています。 いやだから、提供側がSSLで提供していても「探してもみつからない」んですよ。
いやだから、提供側がSSLで提供していても「探してもみつからない」んですよ。
なので、「状態を保つことにより」です。要するに、SSL が使われていることが当たり前になることにより、SSL でないことを「おかしい」と思えよ、ということです。先に述べた「啓蒙によって LA が HA に変わる」が実現するための前提です。
ただ、高木
それが「誤った認識」からのものであるかどうかは私には判断しかねます。上記の主張(の元?)と思われる記事を見つけたんですが、ここにはこのように書かれています。# 3月だよ^^;
正しく認識しながら誤った表現でしか論文が書けないのであればSSLの勉強以前に日本語の勉強をすべきですね。 それとも、たとえ嘘があっても結果オーライ? 情報処理学会って原因や解決法が嘘でも結果オーライが罷り通るようないいかげんな学会なんですか? 一般の(非技術系の)人に多少嘘(というか不正確)な表現を取りながら啓蒙するというのは許される場合もあるかもしれませんが、研究者の
それが「誤った認識」からのものであるかどうかは私には判断しかねます。上記の主張(の元?)と思われる記事を見つけたんですが、ここにはこのように書かれています。# 3月だよ^^; 正しく認識しながら誤った表現でしか論文が書けないのであればSSLの勉強以前に日本語の勉強をすべきですね。 それとも、たとえ嘘があっても結果オーライ?
正しく認識しながら誤った表現でしか論文が書けないのであればSSLの勉強以前に日本語の勉強をすべきですね。 それとも、たとえ嘘があっても結果オーライ?
えー、論文が「公開側がSSLにするだけで今まで騙されていた人が騙されなくなる」と書かれているなら嘘でしょうけれど、そんな意図ではない(であろう)ことはもう理解いただいたのではないでしょうか? そういう観点で読んでも明確にそう
論文が「公開側がSSLにするだけで今まで騙されていた人が騙されなくなる」と書かれているなら嘘でしょうけれど
「問題点」として「このURLはhttps:でなくhttp:であるから,この証明書は信頼できない通信路を経由してダウンロードされることになる.すなわち,通信路中で偽の証明書にすり替えられる可能性がある」と指摘しておいて「解決策」として「それができない場合の解決策は,主要民間認証局発行のサーバ証明書を使用したhttps:ページで府省運用支援認証局のルート証明書を配布することである」と書かれているのですが、これを「SSLにしても、これまで騙される可能性のあった人
論文が「公開側がSSLにするだけで今まで騙されていた人が騙されなくなる」と書かれているなら嘘でしょうけれど 「問題点」として「このURLはhttps:でなくhttp:であるから,この証明書は信頼できない通信路を経由してダウンロードされることになる.すなわち,通信路中で偽の証明書にすり替えられる可能性がある」と指摘しておいて「解決策」として「それができない場合の解決策は,主要民間認証局発行のサーバ証明書を使用したhttps:ページで府省運用支援認証局のルート証明書を配布することである」と書かれているのですが、これを「SSLにしても、これまで
「問題点」として「このURLはhttps:でなくhttp:であるから,この証明書は信頼できない通信路を経由してダウンロードされることになる.すなわち,通信路中で偽の証明書にすり替えられる可能性がある」と指摘しておいて「解決策」として「それができない場合の解決策は,主要民間認証局発行のサーバ証明書を使用したhttps:ページで府省運用支援認証局のルート証明書を配布することである」と書かれているのですが、これを「SSLにしても、これまで
お互い主観ベースなので、そろそろ平行線だろうと思いますので、もうちょっと続くかもしれませんがぼちぼち手打ちかなぁ、という感想です。
「フィンガープリントの配布が正しく SSL は間違い」という主張が出てきていますが、
SSLに付いては、高木氏の論文をあなたのような思い込み無く読めば自然に読めてしまう「httpだから危険だがSSLなら安全」という意味で使うのは間違いだと思いますが、「正しく読めた場合に、本当に正しい物だと確認する手段」としては有効だと思います。 ただ、今そこにあるhttpで配布されているルート証明書が本物か偽物かというのを判断するためには、本物がSSLで配布されているだけでは十分でなく、「ルート証明書はSSLで配布すべきだ」という配布者側の「常識」と、「ルート証明書はSSLで配布されているはずだ」という受取側の「常識」が必要ですが、そういう「常識」は現時点で配布者側にも受取側にも無いので、これからそういう「常識」を作っていかなくてはいけない。 新しい「常識」を広く一般にまで定着させるというのは、そう簡単な事じゃないんですよ。 その上、配布者側にそういう「常識」を必要とする動機付けが無いし、受取側にはルート証明をインストールするという機会がほとんど無いので体験による常識化は望めませんから、啓蒙だけで常識を形成する必要があります。 これはとてつもなく難しい事なんですよ。 確かにそういう常識があったら安全にはなるでしょうが、現実の脅威に対する解決策を「たら」に頼る訳には行かないでしょ? 「年末ジャンボで一等が当たったらお金持ちになれるのになぁ」と思って年末ジャンボを10枚買ってもお金持ちになるとは限らないのと一緒で「SSLを入れてみんなに常識があったら安全になるのになぁ」と思ってSSLを入れても、常識が形成されるまでは安全にはなりません。
ですから、私は「SSLによって安全を確保する」というのは現実的でない程の労力が必要だと主観的に:-)思っていますし、それだけの労力をかけるぐらいなら、まだ十分でないフィンガープリントの安全な配布とか、フィンガープリントによって正しくルート証明書を確認する手段の告知とかに力を割いた方がまだマシだと思っています。 決して「SSLで配布する事自体が間違い」とは思いませんが、あなたが簡単に「たら」で括ってしまった所に、非現実的な程の労力が必要だと考えているのです。
あと思い付いたので書いておきますが、あなたは「そのサイトの SSL ページを探す/URL を確認する」と簡単に書いていますが、これが難しいですよ。 DNSスプーフィングされていると事前の知識無くSSLのページを探すのは難しいというのは前に書きましたが、URLを確認するというのも簡単なようで難しいです。 今回の総務省のように.go.jpドメインとかで「政府機関である」とわかるようなサイトであればまだ良いですが(それにしても.go.jpは政府機関だという知識は必要ですが)、民間の場合URLだけでその会社かどうかというのを確認するというのは難しい場合もあります。 有名な所ではmelco.co.jpは周辺機器メーカのメルコではなく三菱電機だとか、goo.co.jpはgoo.ne.jpのNTT-Xではない(なかった)とか、そういう例も多くありますので、URLを見ただけではなく、他の予備知識も必要になってきます。 また、最近セキュリティmemo MLで話題になっているNTT西日本のBフレッツ申込みページにようにSSLサーバをアウトソースしている場合もあります。(JavaScriptでURL見えないようにしているというようなアホな話は別にして) アウトソース自体はセキュリティ向上のために役立つ場合もあるので悪いとは思いませんが、このような場合にURLだけを見て本当に目的の所に繋がっているのかどうかという判断をするのは難しいですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
政府関係者の無知にはあきれるかも (スコア:2, すばらしい洞察)
と堂々と言ってのける総務省官房企画課だね。
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという
Re:政府関係者の無知にはあきれるかも (スコア:0)
あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
ブラウザにまだインストールされてないルート証明
Re:政府関係者の無知にはあきれるかも (スコア:1)
引用コメントが完全な解決にはならないのは確かで
Re:政府関係者の無知にはあきれるかも (スコア:0)
VeriSignなど、既に多くのブラウザにルート証明が存在するSSLで独自のルート証明書を配るようにしても、偽サーバでhttpで偽ルート証明書を配られる事を阻止できないという事は既出なので書かなかっただけですが
高木氏の「安全のため=SSL使え」「SSL使ってない=安全でない」という固定観念から抜け出せない様を「SSL安全神話・SSL至上主義」と書いたのです。
で、それに洗脳されちゃってるから「SSL使ってないから安全じゃない」→「た
Re:政府関係者の無知にはあきれるかも (スコア:0)
偽サーバで…以降の意味がわかりません。
- SSLなのに「httpで」とは?
Re:政府関係者の無知にはあきれるかも (スコア:-1, 余計なもの)
これをSSLにしましょう。https://www.shinsei.soumu.go.jp/download/soumuca.cer
でもここへのリンクが貼ってあるhttp://www.shinsei.soumu.go.jp/first_ie.htmlはhttpなので偽装可能ですから、https://www.shinsei.soumu.go.jp/download/soumuca.cerではなくhttp://www.shinsei.soumu.go.jp/download/soumuca.cerへと書き換えられてhttpでルート証明書を配られる可能性があります。
じゃあhttp://www.shinsei.soumu.go.jp/first_ie.htmlもSSLにして偽装ができないように
Re:政府関係者の無知にはあきれるかも (スコア:1, 参考になる)
そのとうりですね。ユーザがここで https になっていることを目で確認するわけです。
その話って 前にも言ってませんでした [srad.jp] ?
そのときも
Re:政府関係者の無知にはあきれるかも (スコア:0)
前のコメントはURLをベタベタ書いたせいか「余計なもの」にされちゃったので、もう少し簡略化して書きますね。
たとえば、
A→B→C→D
というリンクがあるとします。ここでDはルート証明書とします。ルート証明書をSSLで配布するために、ルート証明書のDとその前のページCをSSLにします(SSLのページは小文字でd, cと書きます)
A→B→c→d
でもBのページは相変わらずhttpなので、これを偽造されて
A→B'→
Re:政府関係者の無知にはあきれるかも (スコア:0)
C’の画面を見て、https になっていないこと
Re:政府関係者の無知にはあきれるかも (スコア:0)
それで「おかしい」と気付くためには「cがSSLで提供されているはず」という予備知識が必要ですが、そんなものはありません
「cのページはSSLで提供されています」という事を周知する労力をかけるぐらいなら、本来の確認手段であるフィンガープリントを周知する方に力をいれるべきでしょう。
もちろんトップページに「SSLだよ」なんて書いても無意味です
Re:政府関係者の無知にはあきれるかも (スコア:1)
まだやってるとは…。
この議論では http じゃ危険だという予備知識があるということは前提なんでしょ? それすらわからない人がだまされることを阻止することは出来ません。
その上
Re:政府関係者の無知にはあきれるかも (スコア:0)
勝手な前提を作らないで下さい。
いやhttpが危険だという事は予備知識として期待しても良いかもしれませんが、その危険を回避するために「SSLを使う」というのは前提にはできません。
ルート証明書配布で、その危険を回避するための仕組みとして用意されているのは「フィンガープリント」であり、「SSLを使うべき」などという「前提」も「常識」も存在しません。
# あなたや高木氏の脳内には存在するかもしれませんが
実際、俺様認証局(高木氏の言ですが面白いので使ってみよう)の多くは
Re:政府関係者の無知にはあきれるかも (スコア:1)
ダウンロードしたコンテンツがオリジナルかを確かめるにはハッシュをチェックするというのは我々レベルでは確かに常識だし、ルート証明書のような情報を特定の相手に間違いなく届けるという目的であればそうすべきと思います。
し
Re:政府関係者の無知にはあきれるかも (スコア:0)
「そうすべき」というのであれば、そうすべきなのでは?
それができないのであれば、そもそもルート証明書の配布なんてすべきではないですね
「URLがhttps
Re:政府関係者の無知にはあきれるかも (スコア:1)
「SSL 利用者の常識」とまで言う理由は既にいろんなところで言われてると思うんですけど…。もっとも身近なところで
Re:政府関係者の無知にはあきれるかも (スコア:0)
「SSLの常識」というのを(今回の件とは独立に)周知しておいた方が良いというのには別に異論はありません。
ですが、今回の件に限れば、「SSLでないからダメだ」「SSLにすべきだ」という根拠は何?
ルート証明書の配布において、最低限しなくてはいけない事は、「安全にフィンガープリントを配布する事」です。
それに+αで何をするかというのは、その配布対象や重要度によって変わって来る事で、場合によっては「各自の自宅/会社に人が出向いてルート証明書をインス
Re:政府関係者の無知にはあきれるかも (スコア:1)
あのー、「フィンガープリントと照合するのが常識」という状況でもないということは御自身認められてますよね?
周知されている(と期待せざるを得ない)のは、「HTTP では危ない」という点のみであるというのも良いですよね?
# 私はその上「SSL はある種の安全を提供できる」というのも周知されていると思いますが。
# それが過剰で「SSL の常識」を理
Re:政府関係者の無知にはあきれるかも (スコア:0)
その2点は認めます。
それではこちらからも確認しますが、「ルート証明書はSSLだけで配布されてるはずだ」という「常識」も(現時点では)存在しないし、その事を周知する手間は必要だという事は認めてもらえますか?
# 「SSLの常識」とあなたのおっしゃる知識と、該当
Re:政府関係者の無知にはあきれるかも (スコア:1)
いえいえ、最初のコメントのほうは最後までちゃんと読まずに書いちゃってたんです_o_。
そういう常識は存在しませんが、「http は危険」->「(ごく一般的な意味で)https になってないと危険」レベルの常識はあるでしょうね。なぜなら SSL(TLS)以外でそこまで浸透している代替手段がないのですから。
Re:政府関係者の無知にはあきれるかも (スコア:0)
ころころ変わるというより、あるかないかわからないし、一般的にはどの程度まで浸透してるかわからない「常識」を持ち出して来て、そういうあやふやなものに立脚した「安全」を主張されるから、「攻撃する方法は色々あるよ」って話をしてるだけですが。
たとえば、玄関の鍵をピッキングで開けて侵入するピッキング盗が流行ってるから対策として鍵を変えましょう。いっそ変えるんだから電磁ロックで指紋認証にして防犯カメラも付けましょう。これでより「安全」になりました
Re:政府関係者の無知にはあきれるかも (スコア:1)
で、一つ一つつぶしてきたわけですが。
Re:政府関係者の無知にはあきれるかも (スコア:0)
「人を騙す」ってのはソーシャルな問題なんですよ。
それなのに、そのソーシャルな問題には目を瞑って技術論に持ち込んでも意味無いでしょ。
ソーシャルな大きな問題に、僅かな技術的解決が追加されただけで、いきなり「現実的な解決策」ですか。
「技術的にはここまでしかできない」というのと「十分な対策をした」というのを混同してませんか?
技術的にできる限りの事をやっても解決できない問題であれば、それは全然「現実的な解決策」ではありません。
Re:政府関係者の無知にはあきれるかも (スコア:1)
僅かなではありません。大きなソーシャルの問題を大幅に軽減する現実的な解決策でしょう。それでもまったく何も知らない人なら騙せるという意味で、ソーシャルな攻撃方法を突き詰めていけば必ず攻撃手段が残るでしょ
Re:政府関係者の無知にはあきれるかも (スコア:0)
結局話がかみ合わないのは、この辺の「危険性の認識の差」だと思いますが、私がちょっと「思考実験」として考えついただけだも、いくつもソーシャルな「騙し方」が残っているのに「大幅に軽減」されてるとおっしゃる?
前に書いたピッキングの喩えで言えば、確かに玄関から侵入されるという「危険性」は「大幅に軽減」されていますが、裏口とか窓とか別の侵入経路が解決されない以上、家全体のセキュリティから見れば、ほんの僅かな安全性向上でしかありません。
Re:政府関係者の無知にはあきれるかも (スコア:1)
フィンガープリントの配布に比べれば大幅ですけど。
Re:政府関係者の無知にはあきれるかも (スコア:0)
SSLにしろという話も3月頃から出ている話で、それもやらなかった相手なんですが。
言っても聞かない相手なら言っても無駄というのであれば、「ブラウザに初期導入されるまでやめろ」と言うのも「SSLにしろ」というのもどちらも無駄という事になっちゃいますね。
Re:政府関係者の無知にはあきれるかも (スコア:1)
自分で「HTTP じゃ危ない」ことが常識であることを認めておいてなに言ってんの? その常識すら知らない人を守るすべはないって、何回言われたら気が済むの? 「SS
Re:政府関係者の無知にはあきれるかも (スコア:0)
もちろん一般的な非技術系ユーザにまで浸透した「常識」じゃないけど、「ルート証明書を安全に取得する」事に長けた人にとっては「通信路が安全でない」→「通信路を安全にする」ではなくて「通信路が安全でない」→「目的のものが正しく取得できたか確認する」という手法で「危険性の回避」をする「常識」があるのよ。あんたには無いかもしれんがね。
そういう「わかってる人」ですら「通信路が安全でない」→「安全な通信路
Re:政府関係者の無知にはあきれるかも (スコア:1)
また最初の話に逆戻りですか。はー。そんなことは解ってるってばさー(あなたの言いたいことは全部把握し
Re:政府関係者の無知にはあきれるかも (スコア:0)
もう一度良く考えてみなよ。
今回の総務省がhttpでルート証明とフィンガープリントを配ってて、それが改竄されるから危険だってのが大元の話でしょ。
で、その「危険」はSSLによって「安全」になるってのが高木氏やあなたの主張でしょ。
総務省のサイトからルート証明を取って来ようとする人をグループ分けすると
Re:政府関係者の無知にはあきれるかも (スコア:1)
Re:政府関係者の無知にはあきれるかも (スコア:0)
あなたは何のために話に割り込んできたのですか?
(割り込んでくるのが悪いという意味ではないです。念為)
元々、高木氏が論文で「SSLではないので、改竄されたルート証明書をインストールしてしまう可能性がある」「その危険を回避するために(軽減するために)SSLにすべきだ」という発表をしたから、それを受けて「SSLではそういう被害は防げない」という話を私はしてるんですよ。
「SSLでなくても被害
Re:政府関係者の無知にはあきれるかも (スコア:1)
了解です。どうも失礼しました_o_。
Re:政府関係者の無知にはあきれるかも (スコア:0)
もう一歩踏み込んで考えてみてください。
そこで「SSLのページを期待」して見つかれば良いのですが、見つからなければ「危なそうなので止めとく」か「危なそうだけどインストールしてしまう」かのどちらかですね?
前者(止めとく)という人はあなたの分類ではHAですのでhttpでも危険はありません。
後者の場合はLAで
Re:政府関係者の無知にはあきれるかも (スコア:1)
おぉ、確かに^^;; DNS スプーフィングの場合はだめですね。MITM でもそうか…。
Re:政府関係者の無知にはあきれるかも (スコア:0)
いやだから、提供側がSSLで提供していても「探してもみつからない」んですよ。
「探す」場合にはリンクを辿って回る事になりますが、どこにもリンクが無ければみつかりません。
まあ改竄サイト作った人がhttpsのリンクを残してしまうようなマヌケなら別ですが :-)
Re:政府関係者の無知にはあきれるかも (スコア:1)
なので、「状態を保つことにより」です。要するに、SSL が使われていることが当たり前になることにより、SSL でないことを「おかしい」と思えよ、ということです。先に述べた「啓蒙によって LA が HA に変わる」が実現するための前提です。
Re:政府関係者の無知にはあきれるかも (スコア:0)
正しく認識しながら誤った表現でしか論文が書けないのであればSSLの勉強以前に日本語の勉強をすべきですね。
それとも、たとえ嘘があっても結果オーライ?
情報処理学会って原因や解決法が嘘でも結果オーライが罷り通るようないいかげんな学会なんですか?
一般の(非技術系の)人に多少嘘(というか不正確)な表現を取りながら啓蒙するというのは許される場合もあるかもしれませんが、研究者の
Re:政府関係者の無知にはあきれるかも (スコア:1)
えー、論文が「公開側がSSLにするだけで今まで騙されていた人が騙されなくなる」と書かれているなら嘘でしょうけれど、そんな意図ではない(であろう)ことはもう理解いただいたのではないでしょうか? そういう観点で読んでも明確にそう
Re:政府関係者の無知にはあきれるかも (スコア:0)
「問題点」として「このURLはhttps:でなくhttp:であるから,この証明書は信頼できない通信路を経由してダウンロードされることになる.すなわち,通信路中で偽の証明書にすり替えられる可能性がある」と指摘しておいて「解決策」として「それができない場合の解決策は,主要民間認証局発行のサーバ証明書を使用したhttps:ページで府省運用支援認証局のルート証明書を配布することである」と書かれているのですが、これを「SSLにしても、これまで騙される可能性のあった人
Re:政府関係者の無知にはあきれるかも (スコア:1)
Re:政府関係者の無知にはあきれるかも (スコア:0)
フィンガープリントによって確認するというのは、(少なくとも技術的知識のある人には)「常識」として定着しているものであり、ルート証明書を配布するのであれば最低限しなくてはいけない事です。
その「最低限」の事をするために必要なフィンガープリントが配布対象の全国民に十分安全に行き渡るようにして来なかった総務省は責められるべきでしょう。
そういう意味では「フィンガープリントによるセキュリティ確保が正しい」のではなく「フィンガープリントによるセキュリティ確保は最低限すべき事」で正しい/間違っているという評価以前の問題です。
SSLに付いては、高木氏の論文をあなたのような思い込み無く読めば自然に読めてしまう「httpだから危険だがSSLなら安全」という意味で使うのは間違いだと思いますが、「正しく読めた場合に、本当に正しい物だと確認する手段」としては有効だと思います。
ただ、今そこにあるhttpで配布されているルート証明書が本物か偽物かというのを判断するためには、本物がSSLで配布されているだけでは十分でなく、「ルート証明書はSSLで配布すべきだ」という配布者側の「常識」と、「ルート証明書はSSLで配布されているはずだ」という受取側の「常識」が必要ですが、そういう「常識」は現時点で配布者側にも受取側にも無いので、これからそういう「常識」を作っていかなくてはいけない。
新しい「常識」を広く一般にまで定着させるというのは、そう簡単な事じゃないんですよ。
その上、配布者側にそういう「常識」を必要とする動機付けが無いし、受取側にはルート証明をインストールするという機会がほとんど無いので体験による常識化は望めませんから、啓蒙だけで常識を形成する必要があります。
これはとてつもなく難しい事なんですよ。
確かにそういう常識があったら安全にはなるでしょうが、現実の脅威に対する解決策を「たら」に頼る訳には行かないでしょ?
「年末ジャンボで一等が当たったらお金持ちになれるのになぁ」と思って年末ジャンボを10枚買ってもお金持ちになるとは限らないのと一緒で「SSLを入れてみんなに常識があったら安全になるのになぁ」と思ってSSLを入れても、常識が形成されるまでは安全にはなりません。
ですから、私は「SSLによって安全を確保する」というのは現実的でない程の労力が必要だと主観的に:-)思っていますし、それだけの労力をかけるぐらいなら、まだ十分でないフィンガープリントの安全な配布とか、フィンガープリントによって正しくルート証明書を確認する手段の告知とかに力を割いた方がまだマシだと思っています。
決して「SSLで配布する事自体が間違い」とは思いませんが、あなたが簡単に「たら」で括ってしまった所に、非現実的な程の労力が必要だと考えているのです。
あと思い付いたので書いておきますが、あなたは「そのサイトの SSL ページを探す/URL を確認する」と簡単に書いていますが、これが難しいですよ。
DNSスプーフィングされていると事前の知識無くSSLのページを探すのは難しいというのは前に書きましたが、URLを確認するというのも簡単なようで難しいです。
今回の総務省のように.go.jpドメインとかで「政府機関である」とわかるようなサイトであればまだ良いですが(それにしても.go.jpは政府機関だという知識は必要ですが)、民間の場合URLだけでその会社かどうかというのを確認するというのは難しい場合もあります。
有名な所ではmelco.co.jpは周辺機器メーカのメルコではなく三菱電機だとか、goo.co.jpはgoo.ne.jpのNTT-Xではない(なかった)とか、そういう例も多くありますので、URLを見ただけではなく、他の予備知識も必要になってきます。
また、最近セキュリティmemo MLで話題になっているNTT西日本のBフレッツ申込みページにようにSSLサーバをアウトソースしている場合もあります。(JavaScriptでURL見えないようにしているというようなアホな話は別にして)
アウトソース自体はセキュリティ向上のために役立つ場合もあるので悪いとは思いませんが、このような場合にURLだけを見て本当に目的の所に繋がっているのかどうかという判断をするのは難しいですね。
Re:政府関係者の無知にはあきれるかも (スコア:1)
私も、「SSL で提供されているはず」「SSL ページを探す」「ドメインがターゲットのものであることを確認する」の周知/実施を徹底することが簡単と思っているわけではありません。「フィンガープリントがあるはず」「見つける」「照合する」の周知/実施よりは簡単であるだろうと思っているに過ぎないです。
Re:政府関係者の無知にはあきれるかも (スコア:0)
長らくお付き合い頂き、ありがとうございました。