― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 21 件の記事 ]  ページ移動 1つ前へ  1, 2
作成者 メッセージ
 記事の件名:
投稿記事Posted: 2007年5月12日(土) 13:07 
すみません。私が間違っていたようです。

Mailで、自分が持っているメールアドレスAからもう一つのアドレスBに送る実験をしていたのですが、「キーチェーンアクセス」に双方の証明書があったから暗号化できたようです。

証明書の無い他人のメールアドレスでは暗号化できませんでした。早とちりでしたね。

これを機会に、S/MIMEに付いてももう少し勉強してみます。
ありがとうございました。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2007年5月13日(日) 08:34 
kiyo4_k さんが書きました:
Thunderbirdはメールソフトであり、証明書の設定はメールソフトとして必要なものを自動で設定すれば良いように思います。セキュリティデバイスのための設定は必要だと思いますが、証明書の設定ダイアログにサイトの証明書は余計ですし、「この証明書をサイトの識別に使用する」とか「この証明書をソフトウェア制作者の識別に使用する」などはメールソフトには無縁なものです。


サイトの識別はPOPS/IMAPSでのメールサーバの識別のために使用されていますし、ソフトウェア製作者の識別は拡張機能のインストール時に検証のために使用されています。決して無駄な機能ではありません。
ただ上記の指摘を考慮するなら、使用目的で分離してそれぞれのUIで操作させるようにするという解決策はあるかもしれません。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2007年5月13日(日) 20:13 
オフライン
Administrator

登録日時: 2005年9月02日(金) 00:59
記事: 1762
takeshi さんが書きました:
kiyo4_k さんが書きました:
Thunderbirdはメールソフトであり、証明書の設定はメールソフトとして必要なものを自動で設定すれば良いように思います。セキュリティデバイスのための設定は必要だと思いますが、証明書の設定ダイアログにサイトの証明書は余計ですし、「この証明書をサイトの識別に使用する」とか「この証明書をソフトウェア制作者の識別に使用する」などはメールソフトには無縁なものです。


サイトの識別はPOPS/IMAPSでのメールサーバの識別のために使用されていますし、ソフトウェア製作者の識別は拡張機能のインストール時に検証のために使用されています。決して無駄な機能ではありません。
ただ上記の指摘を考慮するなら、使用目的で分離してそれぞれのUIで操作させるようにするという解決策はあるかもしれません。

現状の仕様では無駄な機能というわけではないと思いますが、ブラウザとの組み合わせと証明書の受け取り方によっては無駄な操作を行わなければ機能しない仕組みにはなっていますね。これはOpenSSLしか利用しないメールソフト全般に言えることですが …
まぁ、ユーザーに異なる証明書ストアに何度も無用な設定をさせることが余計だと言いたいのです。認証時の確認のための表示機能は必要でしょうが、認証局証明書の設定を行う機能は単なるメールソフトであるThundebirdには必要なくて、Thundebirdの外側に置くべきだと思っています。
takeshiさんが仰るとおり、UIで分けるだけでもわかりやすくなると思います。

サイト認証とソフトウェア制作者の識別に関しては、Thunderbirdの証明書ストアにユーザーが自分で認証局証明書を組み込むという機会は少ない(有ってはいけないという考え方も有るかも)と思います。自分で組み込んで設定しなければならないという時点で、まっとうな証明書(と認証局証明書)ではないという気がします。(ユーザーとしては こういうレベルのものはオレオレ認証局の認証局証明書で許容できるわけがないので)

認証して欲しい側(サイト、ソフトウェア制作者)はThunderbirdに組み込まれている どれかの証明機関に金を出して証明書を用意するべきだと思っています。
そういう意味ではアマチュアが作成している機能拡張に証明書が組み込まれていないのは当然なのかも知れません。(機能拡張のインストールに証明書の認証が表示されるのを見たことがないです)
サイト証明に関しては認証局不明のものやオレオレ認証局の認証局証明書をユーザーにインストールを強要するサイトもあります。実際、SSLで自前で用意したオレオレ認証局証明書の利用を強要するふざけたプロバイダも有りますが …


念のためですが、FirefoxやThunderbirdがOS標準の証明書ストアを”技術的に利用出来ない”あるいは”金が絡むので利用したくない”という事情が有りそうなことを認識した上で書いています。そして、FirefoxユーザがThunderbirdユーザーでもある(逆も)とは限らないこと、を想定して冗長性の大きい機能を持たせた形でしか提供出来ないことも認識しています。(だから ただの愚痴)

#すみません、”証明書”という単語に区別が無くてわかりにくかったですね。愚痴のところに余計と書いてあるのは”認証局証明書”のための設定ですが、うまく読み分けてください。
----
読み分けられない人のために用語解説が必要かな。


通報する
ページトップ
 プロフィール  
引用付きで返信する  
 記事の件名:
投稿記事Posted: 2007年5月14日(月) 03:03 
atsuo さんが書きました:
OS X標準のMailを使って、Thawteデジタル署名及び暗号化をしたメールをThunderbirdに送り(キーチェーンアクセスに取り込んでいるので、Mailでは最初からデジタル署名及び暗号化ができました)、それをThunderbirdで受信する。

書き忘れていました。

この時は自分の「秘密鍵」もメールで送信しなければならないと思いますが、
他人に自分の証明書を送る場合に、くれぐれも「秘密鍵」の部分も送らないように気をつけてください。


# たぶん 、ゲストになってますが kiyo4_kです


通報する
ページトップ
  
引用付きで返信する  
 記事の件名:
投稿記事Posted: 2007年5月14日(月) 14:08 
Anonymous さんが書きました:
この時は自分の「秘密鍵」もメールで送信しなければならないと思いますが、
他人に自分の証明書を送る場合に、くれぐれも「秘密鍵」の部分も送らないように気をつけてください。


とは、p12などのファイルを送らないという事でしょうか?

デジタル書名を付けただけでは、秘密鍵は送られませんよね。


通報する
ページトップ
  
引用付きで返信する  
 記事の件名:
投稿記事Posted: 2007年5月15日(火) 01:31 
オフライン
Administrator

登録日時: 2005年9月02日(金) 00:59
記事: 1762
atsuo さんが書きました:
Anonymous さんが書きました:
この時は自分の「秘密鍵」もメールで送信しなければならないと思いますが、
他人に自分の証明書を送る場合に、くれぐれも「秘密鍵」の部分も送らないように気をつけてください。


とは、p12などのファイルを送らないという事でしょうか?

デジタル書名を付けただけでは、秘密鍵は送られませんよね。

署名だけでは秘密鍵は送られないので大丈夫です。
証明書をエクスポートして添付ファイルで送るときに気をつけて欲しいですね。たぶん、標準では秘密鍵をエクスポートしないようになっていると思うんですけど… Thunderbirdからエクスポートしたことないのでわかりませんが。
ThunderbirdとかFirefoxしか使っていない人から添付で受け取ったことはないのですが、なぜか他のソフトを使っている人から たまに間違って送ってきたりします。

----
Thunderbirdでエクスポートを試そうと思ったら、Thunderbirdには「エクスポート」って無いですね。バックアップっていうのが有りますが、本当にバックアップということで秘密鍵も必ず一緒に書かれるようです。これは他人に送ってはダメですね。ちなみに拡張子は「p12」でした。

また、「エクスポート」が無いと言うことは、受信した署名から証明書ストアにインストールできないメールソフトを使っている人に渡すのは面倒ですね。(実際、そういうソフトも有るんですが)
# その場合は一旦、OS標準の証明書ストア経由ですね


通報する
ページトップ
 プロフィール  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 21 件の記事 ]  ページ移動 1つ前へ  1, 2

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[68人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean