― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 7 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2005年8月26日(金) 18:31 
オフライン

登録日時: 2005年8月26日(金) 16:57
記事: 2
S/MIME暗号で有効な証明書(メールのあて先)が複数あっても
選択させてくれません。
S/MIME署名メールを開くと、自動的に”他の人の証明書"に
証明書が入っていくのは便利ですが、知らないうちに
有効な証明書が複数になっていることがあります。
暗号化メールを送信する場合、意図しない証明書のほうで
暗号化してしまうことがあるようで、ちょっとはまりました。

有効な証明書が複数ある場合は選択できるようになる
オプションってあるのでしょうか?
Thunderbird 1.0.6よりも新しいバージョンでは
解決されているのでしょうか?


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2005年9月01日(木) 02:22 
izuna さんが書きました:
有効な証明書が複数ある場合は選択できるようになる
オプションってあるのでしょうか?

基本的にメールアドレスと対にして管理されるべきS/MIME証明書が同一のアドレスで複数存在することが理解できないのですが....
PGPとは違い、S/MIMEではアドレスを拠り所にして証明書を探す仕組みなので同じアドレスで複数の証明書が有った場合はどれが採用されるのかは不定になりそうな気がします。

それよりも同一アドレスの証明書を自動でインポートしてしまうほうがバグかも

# 今、テスト用のS/MIMEの証明書を無くしてしまっている状態なので動作を確かめたわけではないです。


もうひとつ、「意図しない証明書のほうで暗号化してしまう」という状況ですが、相手は証明書を持っているから署名で送ってきたのであって、それで復号出来ないことは無いはずなのでは?


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2005年9月01日(木) 13:00 
オフライン

登録日時: 2005年8月26日(金) 16:57
記事: 2
|>有効な証明書が複数ある場合は選択できるようになる
|>オプションってあるのでしょうか?
|
|基本的にメールアドレスと対にして管理されるべきS/MIME証明書が同一の
|アドレスで複数存在することが理解できないのですが....
|PGPとは違い、S/MIMEではアドレスを拠り所にして証明書を探す仕組みなので同じ
|アドレスで複数の証明書が有った場合はどれが採用されるのかは不定になりそう
|な気がします。
|
|それよりも同一アドレスの証明書を自動でインポートしてしまうほうがバグかも

|もうひとつ、「意図しない証明書のほうで暗号化してしまう」という状況ですが、相手
|は証明書を持っているから署名で送ってきたのであって、それで復号出来ないこと
|は無いはずなのでは?

復号は出来ても、意図しない人も復号できてしまう可能性があるのです。
秘密鍵の生成を証明書発行者が行う場合、証明書の発行者も
復号化できます。

意図しない証明書で暗号化されると問題が起こるシステムは
作ってはいけませんということかもしれませんが。 (^^;

プロジェクトごとにS/MIMEの証明書を発行するようなことは
あり得るので、同一のアドレスに対して複数存在することも
理解できるのではないでしょうか。
暗号化メールが送られてきたら、すべてのICカードを挿入
するのは、結構、面倒かもしれません。
送信者と件名である程度判断できれば便利のように思います。

S/MIME証明書をなくしてしまったり、ICカードが壊れて
新しいS/MIME証明書を作った場合も、同一アドレスに
対して複数存在し得ます。この場合は、古い証明書を
失効すれば、有効な証明書は1つになるのですが、
メール送信時にOCSPレスポンダで100%、証明書の
失効が確認できれば、ということになると思います。
CRLによる失効確認では、100%ではないので、
復号化できないメールが送られてきたときに、
はまることになるでしょう。だいたい問題ないなら
よしとしましょうということかもしれませんが。

S/MIME証明書は、OCSPレスポンダで失効確認が
できるものでないといけません。ということであれば
暗号装置開発者は泣いて喜ぶかもしれません。
(ひとりごとです。)

S/MIMEの証明書が選択できなくとも、
原因がわかっていれば、問題は回避できるように思います。
レスポンいただきありがとうございました。


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2005年9月02日(金) 00:36 
なるほど、
私の知っている運用とはちょっと違うようですね。
どういう運用が正だとか間違っているとかというものは無いと思いますから、こういう運用なら宛先ごとに証明書を選択できれば便利だと思います。

私がユーザーの場合は、証明書を無くしたときは発行者から再発行ではなく再送付してもらうので証明書自体は同じものですし、各発行者は例えば会社の場合はユニークなメールアドレスに対して発行されるので会社が同じならプロジェクトが違っても証明書は同じものを使っています。ですので、証明書は常にアドレスと1対1のものを複数アドレス分を登録してあるので”選ぶ”という状況は無いです。
他の人も このような運用は多いのでしょうか?


自分で証明書をたくさん作って、各メールソフトで送信時に証明書を選択可能なのか調べようと、opensslをWindowsXPにセットアップしたのですが、CA作成のところでフリーズしてしまって先に進めません (^^;)


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2005年9月08日(木) 00:30 
オフライン

登録日時: 2005年6月23日(木) 11:46
記事: 55
お住まい: 東京
解決策を知らず、やじ馬でしかないのですが、おたずねしてもよいですか。

izuna さんが書きました:
復号は出来ても、意図しない人も復号できてしまう可能性があるのです。
秘密鍵の生成を証明書発行者が行う場合、証明書の発行者も
復号化できます。

意図しない証明書で暗号化されると問題が起こるシステムは
作ってはいけませんということかもしれませんが。 (^^;

プロジェクトごとにS/MIMEの証明書を発行するようなことは
あり得るので、同一のアドレスに対して複数存在することも
理解できるのではないでしょうか。
暗号化メールが送られてきたら、すべてのICカードを挿入
するのは、結構、面倒かもしれません。
送信者と件名である程度判断できれば便利のように思います。


ということは、証明書は PKI の信頼ツリーに組み込まれていない勝手証明書ですか?

本当に勝手証明書だとしたら、証明書の信頼性はどうやって確保してらっしゃいますか? IC カードに入れて配布してらっしゃるのでしょうか?


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2005年9月09日(金) 01:24 
オフライン
Administrator

登録日時: 2005年9月02日(金) 00:59
記事: 1762
kmihara さんが書きました:
ということは、証明書は PKI の信頼ツリーに組み込まれていない勝手証明書ですか?

本当に勝手証明書だとしたら、証明書の信頼性はどうやって確保してらっしゃいますか? IC カードに入れて配布してらっしゃるのでしょうか?

勝手証明書とは? 自前のCAということでしょうか?
それともメールアドレスに対して発行された証明書自体のことですか?

会社などで自社の管理部門がCAとなっている証明書は多いです。受け取った「.p12」ファイルのインポートはfirefoxやThunderbirdに取り込んでCAを信頼するに設定して利用できています。SmartCardのほうは認証時に使うだけだと思いますが私は使っていないのでわかりません。
証明書そのものの「信頼性」に関しては、知らない相手から受け取っているわけではないのでステータスは「絶対的信頼」ですね。
もちろん、社用で発行された証明書の秘密鍵やパスワードは会社が握っているわけですが...


-----
ちなみに、前の投稿の後でいくつかの無料や期間限定のメールアドレス用の証明書を作成してもらって登録しましたが、そのメールアドレス宛に暗号化を行おうとしてもThunderbirdでは選択することは出来ませんでした。Thunderbirdではそのような使い方は想定していないのではないかと思います。
私は前に書いたように証明書とメールアドレスは1:1だと考えているのでThunderbirdはおかしくないと思います。


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2005年9月09日(金) 01:42 
オフライン
Administrator

登録日時: 2005年9月02日(金) 00:59
記事: 1762
解決策になるかどうかわかりませんが、ひとつ

自前でCAを持っていて、メールサーバーも自前のものならば、「+アドレス」の使用を許可しておいて、プロジェクトの略称などを付加した形で証明書を発行すればどうでしょうか。

address@company.co.jp ならば、address+project1@company.co.jp という風に。
address+project1@company.co.jpaddress+project2@company.co.jp は違う証明書になるはずなので...(自前CAのソフトで、+アドレスで証明書を発行できるのかどうかはわかりませんが)

というのはダメでしょうか。


通報する
ページトップ
 プロフィール  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 7 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: Google [Bot] & ゲスト[12人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean