- PR -

PKIの通信について教えてください

投稿者投稿内容
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2008-02-18 22:41
引用:

angelさんの書き込み (2008-02-18 20:38) より:

…で、その後の話として、blunder氏が何をどう問題にしているかが、正直わかりません。
話の整合性がとれているかも、私からは疑問です。
お互いの前提となる認識にズレがあるのは確かなようですがね。




問題、という意味では、ローカルだけで完結するなら、そもそも共通鍵ベースで十分なのでは。
という話だと思ってました。第三者を介さないなら、公開鍵ベースでシステムを作る必要はありません。質問者も単に証明書と取り組みたいのではなく、VPNを構築したいだけでしたよね。

実際IPSecなら、さほど不思議な運用ではないはずです。共通鍵はUSBメモリでも、
相手に郵送すればいい。
#自分が行ってもいいし。

前提、ということでいうなら。
PKIの場合は自分が前提と(思い込んでる)システムによって、かなり証明書検証の
自由度(?)が違います。

例えば。
主に署名するだけの人(例えば認証局とか)と署名を検証しようとする人(XML署名とか)
で証明書をどちらが持つ「べき」かという感覚が逆方向です。
blunder
ベテラン
会議室デビュー日: 2003/09/11
投稿数: 65
投稿日時: 2008-02-19 11:04
論点がちょっと混乱してしまったようですね。申し訳ない。

まず何でもいいから「もの」(企業内のクローズドなVPN)を動かすって話があります。これは
一件落着したと思います。これは「オレオレ証明書」でよいし、プライベート認証局のルート
証明書をそれぞれの機器にインストールしちゃえばすむ話なので、別にどうということもあり
ません。

実務の観点でちゃちゃっとやればよい話。もともとの話はどちらかというと、それがメインだっ
たので、もともとそういった流れで話が進んできました。で、この話は一区切りついているとい
う認識です。

次に件名の「PKI通信について」という一般的な話があります。「そもそもどうなのか」みたい
な話です。こちらについては議論があいまいになっていると思います。もともと実務の観点が
中心だったかもしれませんが、実務の観点とは別に、原理的にどうなのかという話も並行して
あった(暗黙のうちに)はずと思います。こちらはあまり理解が深まったわけではないです。

後者の話はあくまで一般論であり、その観点のもとでは「オレオレ証明書」ではよくないし、
ちゃんとしたPKIとは何かに沿ってその「通信」なるものについて考えるべきではないか、と思
います。この二つの話が混ざったので、わかりにくくなりました。

最初の実務的観点の話は一区切りついた、しかし原理的にどうなのかはあまりはっきりしなかっ
た、という中途半端な状態のところへ、いきなり変なコメントが出てきたので、私から見たらそ
れに対して文句をつけただけです。別に「大げさ」なことを言ったつもりではないのですが、
そう受け取られてしまうのかもしれませんね。内容のないコメントだと思ったので、それをちゃ
かしたつもりですが。

別に文句をつけること自体が目的なのではなく、件名の「PKI通信」なるものについて技術的に
深めていくのか、深めないのか、を問題にしているだけです。議論のための議論は興味ありませ
ん。技術的にこれといった論点がないのならば、スレを立てる必要性もないでしょう。技術的に
意味のない、揚げ足取りのような議論はお互い疲れるだけとなるでしょう。angel氏は技術的に
優れた見識をお持ちのかただと思いますので、何か意味のある議論ならしていきましょう。話
が変な方向に行きそうなら(私のせいだとおっしゃるかもしれませんが)、不毛な議論はやめて
おきましょう。

では失礼します。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2008-02-19 13:11
ん…。こちらで続けるのですか。

で、色々書いて頂いて申し訳ないのですが、私はblunder氏のそういう思惑には興味はありません。
「議論のための議論」という話の前に、はっきり言えば blunder氏が分かってないだけ、単にそこが問題だと思います。
つまりは、blunder氏のコメントは独善、ということです。

まぁ坊氏のコメント以降の流れを続けるおつもりがないのであれば、私の、その流れの中にあるコメントについては、これ以上修正したりする必要性も感じていませんので、私から自発的に続けることはしません。

P.S.
To: 加納正和氏
「完結」という言葉にとらわれすぎです。結果として話が発散しています。
「完結」というのは、それほどすごい意味を持った魔法の言葉でしょうか?
まぁ坊氏のコメントの中で、どのような意味で使われているかを、ちゃんと読んだ方が良いと思います。
blunder
ベテラン
会議室デビュー日: 2003/09/11
投稿数: 65
投稿日時: 2008-02-19 14:18
angelさん、まぁ坊さん、大変失礼いたしました。

引用:

Verifyとは証明書に含まれているデジタル署名の検証し、証明書が改竄されていないかを確認する行為です。
証明書に記載されている公開鍵とデジタル署名だけで完結しますので、CAへ問い合わせる必要性が無いという事ですね。



げげ!今読み直してみたら、この説明で合ってますね。何も問題ないです。
証明書の検証のさいには、いちいちCAに問い合わせなくても、証明書の連鎖をたどっていって
デジタル署名を(上位CAの公開鍵で)確認すればいい、と言っているだけなんですね。

「完結」とは、いったんローカルに保存された証明書の連鎖をたどるだけだから、ネットワーク
のI/Oは必要がない、ということだったんですね。だからtofさんからのご指摘があったことも
いま了解いたしました。

私は何を言っていたんだろう?頭がどうかしていました。
私が大変な「曲解」をしていました。

angelさん、ありがとうございます。感謝します。私ときたら、まぁ坊さんに大変失礼なことを
言っていました。まぁ坊さん、大変申し訳なかったです。angelさんに強く言っていただいた
おかげで自分の間違いに気づきました。angelさんにも感謝です。おかげでまぁ坊さんにも
謝罪する機会ができました。

自分が変なことを言っていたのをいま理解しました。わけのわからない話をして、すいません
でした。angelさん、すいません。言いがかりをつけていたのは私のほうでした。これにこり
ず今後ともよろしくお願いします。まぁ坊さん、私がバカでした。ごめんなさい。

では退散します。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2008-03-03 13:17
蛇足の続きなので、本線からは脱線しているのですが、高木浩光氏のブログで気にかかる記事が出ましたので…
引用:
自分の書き込み (2007-12-07 19:02) より:
蛇足ながら、
引用:
あしゅさんの書き込み (2007-12-05 22:14) より:
・秘密鍵で暗号化したデータは、対になる公開鍵で復号化できる
・公開鍵で暗号化したデータは、対になる秘密鍵で復号化できる

・署名=秘密鍵で暗号化すること
・署名の検証=署名を公開鍵で復号化して一致を検証すること
・証明書=何らかの公開鍵をCAの秘密鍵で署名したもの


この説明はマズくないでしょうかね…。


これに関連した話が、氏のブログの2/29の記事で出ています。

で、やはり私としては、「本質がぼやけるだけなので、それを基に応用を考えていくと壁にぶちあたって、一回ご破算にする必要が出てくるように」感じているため、何とかするべきだろうと思っています。
※「細かい所はともかくとして、大筋がイメージできれば良し」という意見があったとしても、「そもそも本質を外しているので、分かったつもりになるだけで、後で揺り戻しが来るでしょう」ということで。

なお、氏のブログへのトラックバックで、まちゅダイアリーの3/2分があったのですが、「暗号化と署名では必要となる条件が違う」や、処理をプログラムとして書くと、どのようなI/Fになるか、rubyで説明している下りは非常にうまいと思いました。

[ メッセージ編集済み 編集者: angel 編集日時 2008-03-03 13:43 ]

スキルアップ/キャリアアップ(JOB@IT)