« ●(続)LGPKIはどうなっているのだろう。 | トップページ | ●やっと一息メモ »

2004.11.28

●(続・続)LGPKIはどうなっているのだろう。

高木浩光さんの「■ 電子政府つくるは素人ばかり」の記事に衝撃を受け、少しづつPKIの勉強をしてきた。
で、
「●(続)LGPKIはどうなっているのだろう。」
「●LGPKIはどうなっているのだろう。」
のつづきで、「では、自治体のPKIはどのように構築すればよいのか」をまとめてみたいと思っていたら、また興味深い記事が出た。

「■ Shuriken Pro3 のS/MIME機能に何があったか」で、
Shuriken Pro3 の電子署名検証機能に問題があってメーカーの対応が何か変だという記事だけども、自分が注目したのは、PKIでウソがあったときのアプリ側の具体的な画面がそれぞれ事象ごとに表示されていたことです。
・電子証明書が期限切れの場合
・本文が改ざんされていた場合
・偽の認証局から発行された偽の証明書で署名されていた場合。
今の時点では実際に署名付きメールを受けることはほとんどないので、もっといろんな事例が見てみたいと思う。

また、「■ 偽の認証局証明書の作成が難しいという誤解があるらしい」では、テキトーに認証局を作って任意の名前の電子証明書を作ることは個人のパソコンで簡単にできることだという(自分にとっては)衝撃の事実が書かれています。
多分、通り一遍のPKIの説明文には載ってないと思う。
記事にあるとおり試しに検索してみた結果がこれです。
パソコン一台あれば任意の名前の証明書を作れるということを理解しているかどうかは凄く大事なことだと思います。今は「電子証明書」とか「SSL」とかその言葉があるだけで安全だと思われてますから。(正しい手順で作れば安全なものができるのだろうが、工夫をして簡略化・低廉化しようとしたり独自性を盛り込もうとするとき、ツボを押さえてないととんでもないものができてしまうのでしょう。)
署名の検証こそがPKIの本質であり、「自己署名の電子証明書」とか「ルート証明書の登録」を慎重に取り扱わないといけないというのは、個人的には今回の記事でかなり分かりやすくなりました。
「そうした正面からの解説では事の本質が理解されにくいようなので、「こういう誤解をするな」という形式での解説が必要なのではなかろうか。」というのはPKIについては全くそのとおりだと思います。

「S/MIMEなぞ誰も使ってないし、S/MIME署名メールの真正性なぞ重要でもない――」と書かれていますが、今後電子政府関連で言えば手数料の納付通知やら処分内容をメール通知する場合もあるでしょう。個別の自治体ごとの対応になりますが、S/MIMEになるかどうかはともかく、送信元の保証はちゃんとシステム化されるのだろうか。

|

« ●(続)LGPKIはどうなっているのだろう。 | トップページ | ●やっと一息メモ »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/20200/2096373

この記事へのトラックバック一覧です: ●(続・続)LGPKIはどうなっているのだろう。:

« ●(続)LGPKIはどうなっているのだろう。 | トップページ | ●やっと一息メモ »