MozillaZine.jp フォーラム :: トピック - S/MIME暗号で有効な証明書が複数あっても選択させてくれません

復号は出来ても、意図しない人も復号できてしまう可能性があるのです。
秘密鍵の生成を証明書発行者が行う場合、証明書の発行者も
復号化できます。

意図しない証明書で暗号化されると問題が起こるシステムは
作ってはいけませんということかもしれませんが。 (^^;

プロジェクトごとにS/MIMEの証明書を発行するようなことは
あり得るので、同一のアドレスに対して複数存在することも
理解できるのではないでしょうか。
暗号化メールが送られてきたら、すべてのICカードを挿入
するのは、結構、面倒かもしれません。
送信者と件名である程度判断できれば便利のように思います。

作成者:	izuna [ 2005年8月26日(金) 18:31 ]
記事の件名:	S/MIME暗号で有効な証明書が複数あっても選択させてくれません
S/MIME暗号で有効な証明書(メールのあて先)が複数あっても選択させてくれません。 S/MIME署名メールを開くと、自動的に”他の人の証明書"に証明書が入っていくのは便利ですが、知らないうちに有効な証明書が複数になっていることがあります。暗号化メールを送信する場合、意図しない証明書のほうで暗号化してしまうことがあるようで、ちょっとはまりました。有効な証明書が複数ある場合は選択できるようになるオプションってあるのでしょうか？ Thunderbird 1.0.6よりも新しいバージョンでは解決されているのでしょうか?

作成者:	kiyo [ 2005年9月01日(木) 02:22 ]
記事の件名:	Re: S/MIME暗号で有効な証明書が複数あっても選択させてくれませ
izuna さんが書きました: 有効な証明書が複数ある場合は選択できるようになるオプションってあるのでしょうか？基本的にメールアドレスと対にして管理されるべきS/MIME証明書が同一のアドレスで複数存在することが理解できないのですが．．．． PGPとは違い、S/MIMEではアドレスを拠り所にして証明書を探す仕組みなので同じアドレスで複数の証明書が有った場合はどれが採用されるのかは不定になりそうな気がします。それよりも同一アドレスの証明書を自動でインポートしてしまうほうがバグかも＃今、テスト用のS/MIMEの証明書を無くしてしまっている状態なので動作を確かめたわけではないです。もうひとつ、「意図しない証明書のほうで暗号化してしまう」という状況ですが、相手は証明書を持っているから署名で送ってきたのであって、それで復号出来ないことは無いはずなのでは？

作成者:	izuna [ 2005年9月01日(木) 13:00 ]
記事の件名:	Re: S/MIME暗号で有効な証明書が複数あっても選択させてくれませ
\|>有効な証明書が複数ある場合は選択できるようになる \|>オプションってあるのでしょうか？ \| \|基本的にメールアドレスと対にして管理されるべきS/MIME証明書が同一の \|アドレスで複数存在することが理解できないのですが．．．． \|PGPとは違い、S/MIMEではアドレスを拠り所にして証明書を探す仕組みなので同じ \|アドレスで複数の証明書が有った場合はどれが採用されるのかは不定になりそう \|な気がします。 \| \|それよりも同一アドレスの証明書を自動でインポートしてしまうほうがバグかも \|もうひとつ、「意図しない証明書のほうで暗号化してしまう」という状況ですが、相手 \|は証明書を持っているから署名で送ってきたのであって、それで復号出来ないこと \|は無いはずなのでは？復号は出来ても、意図しない人も復号できてしまう可能性があるのです。秘密鍵の生成を証明書発行者が行う場合、証明書の発行者も復号化できます。意図しない証明書で暗号化されると問題が起こるシステムは作ってはいけませんということかもしれませんが。 (^^; プロジェクトごとにS/MIMEの証明書を発行するようなことはあり得るので、同一のアドレスに対して複数存在することも理解できるのではないでしょうか。暗号化メールが送られてきたら、すべてのICカードを挿入するのは、結構、面倒かもしれません。送信者と件名である程度判断できれば便利のように思います。 S/MIME証明書をなくしてしまったり、ICカードが壊れて新しいS/MIME証明書を作った場合も、同一アドレスに対して複数存在し得ます。この場合は、古い証明書を失効すれば、有効な証明書は１つになるのですが、メール送信時にOCSPレスポンダで100%、証明書の失効が確認できれば、ということになると思います。 CRLによる失効確認では、100%ではないので、復号化できないメールが送られてきたときに、はまることになるでしょう。だいたい問題ないならよしとしましょうということかもしれませんが。 S/MIME証明書は、OCSPレスポンダで失効確認ができるものでないといけません。ということであれば暗号装置開発者は泣いて喜ぶかもしれません。 (ひとりごとです。) S/MIMEの証明書が選択できなくとも、原因がわかっていれば、問題は回避できるように思います。レスポンいただきありがとうございました。

作成者:	kiyo [ 2005年9月02日(金) 00:36 ]
記事の件名:	Re: S/MIME暗号で有効な証明書が複数あっても選択させてくれませ
なるほど、私の知っている運用とはちょっと違うようですね。どういう運用が正だとか間違っているとかというものは無いと思いますから、こういう運用なら宛先ごとに証明書を選択できれば便利だと思います。私がユーザーの場合は、証明書を無くしたときは発行者から再発行ではなく再送付してもらうので証明書自体は同じものですし、各発行者は例えば会社の場合はユニークなメールアドレスに対して発行されるので会社が同じならプロジェクトが違っても証明書は同じものを使っています。ですので、証明書は常にアドレスと１対１のものを複数アドレス分を登録してあるので”選ぶ”という状況は無いです。他の人もこのような運用は多いのでしょうか？自分で証明書をたくさん作って、各メールソフトで送信時に証明書を選択可能なのか調べようと、opensslをWindowsXPにセットアップしたのですが、ＣＡ作成のところでフリーズしてしまって先に進めません　(^^;)

作成者:	kmihara [ 2005年9月08日(木) 00:30 ]
記事の件名:	Re: S/MIME暗号で有効な証明書が複数あっても選択させてくれませ
解決策を知らず、やじ馬でしかないのですが、おたずねしてもよいですか。 izuna さんが書きました: 復号は出来ても、意図しない人も復号できてしまう可能性があるのです。秘密鍵の生成を証明書発行者が行う場合、証明書の発行者も復号化できます。意図しない証明書で暗号化されると問題が起こるシステムは作ってはいけませんということかもしれませんが。 (^^; プロジェクトごとにS/MIMEの証明書を発行するようなことはあり得るので、同一のアドレスに対して複数存在することも理解できるのではないでしょうか。暗号化メールが送られてきたら、すべてのICカードを挿入するのは、結構、面倒かもしれません。送信者と件名である程度判断できれば便利のように思います。ということは、証明書は PKI の信頼ツリーに組み込まれていない勝手証明書ですか? 本当に勝手証明書だとしたら、証明書の信頼性はどうやって確保してらっしゃいますか? IC カードに入れて配布してらっしゃるのでしょうか?

MozillaZine.jp フォーラム https://forums.mozillazine.jp/

S/MIME暗号で有効な証明書が複数あっても選択させてくれません https://forums.mozillazine.jp/viewtopic.php?f=3&t=105	ページ 1 ／ 1

作成者:	kiyo4_k [ 2005年9月09日(金) 01:24 ]
記事の件名:	Re: S/MIME暗号で有効な証明書が複数あっても選択させてくれませ
kmihara さんが書きました: ということは、証明書は PKI の信頼ツリーに組み込まれていない勝手証明書ですか? 本当に勝手証明書だとしたら、証明書の信頼性はどうやって確保してらっしゃいますか? IC カードに入れて配布してらっしゃるのでしょうか? 勝手証明書とは？　自前のＣＡということでしょうか？それともメールアドレスに対して発行された証明書自体のことですか？会社などで自社の管理部門がＣＡとなっている証明書は多いです。受け取った「.p12」ファイルのインポートはfirefoxやThunderbirdに取り込んでＣＡを信頼するに設定して利用できています。SmartCardのほうは認証時に使うだけだと思いますが私は使っていないのでわかりません。証明書そのものの「信頼性」に関しては、知らない相手から受け取っているわけではないのでステータスは「絶対的信頼」ですね。もちろん、社用で発行された証明書の秘密鍵やパスワードは会社が握っているわけですが．．． ----- ちなみに、前の投稿の後でいくつかの無料や期間限定のメールアドレス用の証明書を作成してもらって登録しましたが、そのメールアドレス宛に暗号化を行おうとしてもThunderbirdでは選択することは出来ませんでした。Thunderbirdではそのような使い方は想定していないのではないかと思います。私は前に書いたように証明書とメールアドレスは１：１だと考えているのでThunderbirdはおかしくないと思います。

作成者:	kiyo4_k [ 2005年9月09日(金) 01:42 ]
記事の件名:	Re: S/MIME暗号で有効な証明書が複数あっても選択させてくれませ
解決策になるかどうかわかりませんが、ひとつ自前でＣＡを持っていて、メールサーバーも自前のものならば、「＋アドレス」の使用を許可しておいて、プロジェクトの略称などを付加した形で証明書を発行すればどうでしょうか。 address@company.co.jp ならば、address+project1@company.co.jp という風に。 address+project1@company.co.jp と address+project2@company.co.jp は違う証明書になるはずなので．．．（自前ＣＡのソフトで、＋アドレスで証明書を発行できるのかどうかはわかりませんが）というのはダメでしょうか。

ページ 1 ／ 1	All times are UTC + 9 hours
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/