2005年07月17日

,■Subject: Re:ご確認下さい。
,■そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが
,■セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏
Title:■そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが
Title:■そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが
Title:そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが Content-Type: text/html; charset=EUC-JP Last-Modified: Sat, 30 May 2020 03:15:29 GMT サーバ管理者日誌 そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが

2005年07月17日() << 前の日記 | 次の日記 >>
これまでの07月17日 編集

■2 そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが[http://bakera.jp/hatomaru.aspx/htmlbbs/article/3065][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

自己展開実行ファイルはウイルスと区別が付かない[http://www.nantoka.com/~kei/diary/?200506a&to=200506081#T200506081] の記事に関連するコメント。
GnuPGのバイナリ自体を安全に入手する方法について言及を避けているあたりが残念です【謎】。
言及を避けてはいないのだけれども、どうやってGnuPGのバイナリを安全に入手するかというのは確かに難しい問題だ。
パソコンの上で動かしている全てのソフトは信頼できるものでないといけない原則からすると、オンラインソフトは一切禁止という組織もあるだろう。
[memo:8538]の記事[http://memo.st.ryukoku.ac.jp/archive/200506.month/8538.html] に書いたが、私のところでは概ね
  1. コピー品ではない製品CD-Rom
  2. 自分でコンパイルした
  3. 公式配布サイトであると信じるに足るサイトからダウンロードした
  4. 複数のサイトからダウンロードして一致を確認した
場合は信用できるだろうという運用をしている。もちろん、ソースコードからコンパイルすれば確実に安全とも限らないし、公式配布サイトにあっても改竄されていたというケースはある。
ハッシュを確認しても、ハッシュが改竄されている可能性は否定できない。
どこからかは、費用対効果の問題になってしまう。
たとえば【謎】

http://www.gnupg.org/(en)/download/integrity_check.html

にはSHA1署名を下に貼ってあるから確かめろと書いてるわけですが、これ見てなんの疑問も抱かない人【誰】に総務省のオレオレ証明書とかを叩く資格はないと思います。
もちろん、
To be sure that this page has not been tampered, you may want to compare the list below with the one included in the announcement mail posted to several mailing list.
という指摘がされているが、英語を読めないあるいは読まない人や、頭を使わないあるいは使えない人は、ここに書いてあるハッシュ値をそのまま信じてしまうかも知れない。そういう脊椎反射な人には、確かに「総務省のオレオレ証明書とかを叩く資格はない」。
では、信用できるハッシュ値はどうやったら知ることができるかということになると、誰かあるいは何かを信用するしかないということになる。メーリングリストに定期的に投稿されているアナウンスは、より信用できるかも知れないが、絶対に安全とは言い切れない。この辺り、認証局モデルでは無いから仕方がないところだ。
企業でGnuPGを導入する場合は、この辺りの扱いの難しさがあることは感じる。配布に関しては、インストールキットを作る段階で、信用できるバイナリを入れておけば解決できるにしても、鍵運用の問題が残る。
いずれにせよ、自己展開実行ファイルを使う暗号化と決定的に異なるのは、実行ファイルに要求する信用度を受信側が決定できるということだ。この点を考えずに、自己展開実行ファイルによる暗号化とGnuPG等の暗号化ソフトを比較してはいけない。

この記事に頂いたコメント

Re: そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが by osho    2005/07/17 19:21
こういうのこそSNS風に信頼の輪を広げていかないといけないんでしょうけれど。 そうい...

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年07月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project