moromamaの日記: セキュリティ自体には問題ない 1
日記 by
moromama
高木浩光@自宅の日記がおもしろいです。
って、言ってはいけないのかな・・・
しかし、そっち方面はかなり無知なため、
自分もそういわれればokおしてしまったんだろうな・・・
で、そうなのかと思って、いろいろなとこを見ると
自分で証明書作って、安全ですっていってますね。
どうもよくわからんのが、信頼する会社でないのにそこでokしたら、
信頼する会社になるって書いてあること。
PKIでも、最初から信頼する会社になるには、どっかに金払って
信頼される会社になるんだろうか?
ブラウザはどうやって、最初に信頼する会社と判断するんだろう?
無知ですみません・・・
って、言ってはいけないのかな・・・
しかし、そっち方面はかなり無知なため、
自分もそういわれればokおしてしまったんだろうな・・・
で、そうなのかと思って、いろいろなとこを見ると
自分で証明書作って、安全ですっていってますね。
どうもよくわからんのが、信頼する会社でないのにそこでokしたら、
信頼する会社になるって書いてあること。
PKIでも、最初から信頼する会社になるには、どっかに金払って
信頼される会社になるんだろうか?
ブラウザはどうやって、最初に信頼する会社と判断するんだろう?
無知ですみません・・・
オレオレ証明書撲滅委員会 (スコア:1)
これは実は重要な疑問です。鍵配送問題という話。
IEの場合だと、マイクロソフトがルート証明書を最初からいくつか入れておいてくれています。
「インターネットオプション→コンテンツ→証明書→信頼されたルート証明機関」にあるのがその証明書です。
その証明書によって真正であると検証できたら信頼された証明書です。
>最初から信頼する会社になるには
簡単に言うと「信頼されたルート証明機関」、具体的にはベリサインとかにちょろっとお金払えば良いです。「その人や団体は確かに存在していて、頼んだ人は確実にその団体にいる」とかそういう確認をしてから証明書を発行してくれます。
なんというか、信頼する信頼しないってのが日本語としてわかりにくいのがまずい点なんですわね。
相手を団体として、会社として信頼するかどうかという問題じゃないんです。今送られている公開暗号鍵は確かにその団体の公開暗号鍵であり、それで暗号化して送ればその団体以外は複合化できないよ、というのが「信頼された状態」なわけで。
Webのっとりとか楽勝で行われている状態で、その団体が送ってきている鍵は本当にその団体が送ろうとした鍵なのかを検証するには、オレオレ証明書じゃあできないんです。
Windowsに最初から入っている証明書はMicrosoftを信用する限り正しいわけで、そこから検証を始めて確かに正しいその団体の鍵だ、というのが判明するのが通常のPKIの流れです。
まあ詳しくは結城浩さんの「暗号技術入門 秘密の国のアリス」でも読んで見てはいかがか。面白いですよ。
あ、もう一つ方法があった。
役所の窓口で公開鍵の入ったCDを渡す。対面認証だからCDのすり替えが起こらなければ認証局は不要。