q q 情報セキュリティ 第9回:2006年6月16日(金) q q
本日学ぶこと 公開鍵基盤(PKI)の残り 公開鍵暗号の実例:PGP,GnuPG
本日の授業で学ぶ語句 証明書破棄リスト(CRL),証明書に対する攻撃 PGP,GnuPG,鍵リング,信頼の網,鍵のインポート,所有者信頼 PGPでは,誰をどの程度信頼するかは各ユーザが設定する.
PGPの鍵リング(key ring) 各利用者が鍵を管理 それぞれの鍵は,作成者も鍵長も暗号アルゴリズムも様々 takehiko@sys.wakayama-u.ac.jpの鍵は,だれでも生成可能 GnuPGでは,~/.gnupg 以下のファイル
GnuPGで行う操作(1) 自分の鍵(公開鍵&プライベート鍵) 他人の鍵(公開鍵) 鍵ペア生成 破棄証明書の作成 公開鍵暗号による復号 署名(ファイル,他人の鍵) 他人の鍵(公開鍵) インポート 署名 信頼度設定 公開鍵暗号による暗号化 署名の検証
GnuPGで行う操作(2) 鍵リング その他 使い方は,ここをブックマーク! 鍵の書き出し(テキスト化) 鍵のインポート・削除 鍵一覧・fingerprint 公開鍵サーバへ鍵を送受信 その他 公開鍵サーバで鍵の検索 対称暗号による暗号化と復号 使い方は,ここをブックマーク! http://seorg.deci.jp/nateha/index.php?GnuPG
PGPのインポート(import) 鍵を鍵リングに取り込むこと 鍵の入手方法は… インポートの後は? 主に他人の公開鍵 自分の鍵(公開鍵&プライベート鍵)は, 鍵ペア生成で自動的にインポートされる 破棄証明書をインポートすることも 鍵の入手方法は… 本人,または信頼できる人からファイルで インターネットで,公開鍵サーバ(keyserver)から インポートの後は? まず①正当性を確認,②自分の鍵で署名,③信頼度設定 そうすれば,暗号化や,署名の検証ができる.
公開鍵をインポートしたら 他人の公開鍵をインポートしただけでは その鍵が正当なものかわからない. その鍵で暗号化・署名の検証などをしてはいけない. 正当性の確認:所有する鍵のfingerprintを求め, 別に公開されているfingerprintと照合する. 「Takehiko Murakawa <takehiko@sys.wakayama-u.ac.jp>」(ID: 3A423EBE)のfingerprintは 564B 8D8E C58A 0D78 8294 F3E9 0D23 DE18 3A42 3EBE 自分のプライベート鍵で「鍵に署名」をつけると,自分はその鍵を信頼したことになる. 信頼度(所有者信頼)は,第三者がその鍵を信頼するための情報 信頼度情報を,公開鍵サーバに送ることができる.
鍵の破棄 鍵リングから鍵を削除するコマンドを実行する 自分の鍵は? 鍵ペア生成後すぐ,破棄証明書を作成しておく 不要になったほかに,漏洩(compromise)の疑惑があれば, 破棄証明書を鍵束にインポートしたのち, 公開鍵サーバに送信すればよい. (鍵リングからの削除はしないほうがよい.)
PGPをサポートするソフトウェア メールクライアント 鍵管理支援 Becky! Thunderbird + enigmail Sylpheed Emacs + Mew 鍵管理支援 WinPT (Windows Privacy Tray)
PGPで暗号化メールを送ってみたい人へ メールを 「Takehiko Murakawa <takehiko@sys.wakayama-u.ac.jp>」 (ID: 3A423EBE)の鍵で暗号化して送ってかまいません. うまく復号できたら,その内容に返信します. 復号できなかったら,その旨返信します. ディジタル署名はつけないでください. 第2回レポートの解答は暗号化して送らないでください.