2004年7月21日(水曜日)

IPAへの届け出は暗号化必須?

「IPAとJPCERT/CC、脆弱性関連情報取り扱い説明会を開催 (internet.watch.impress.co.jp)」ということなのですが、

福澤氏は冒頭で既にソフトウェア・Webサイト合わせて10件の脆弱性情報の届出があることを明らかにした上で、「現在は電子メールによる情報受付しか行なっていない上、情報漏洩防止のため届出メールにはPGPによる暗号化を施すことをお願いしているためやや敷居が高い部分があるが、今秋にはSSLを利用したWeb経由の届出システムを公開したい」と語った。

以上、IPAとJPCERT/CC、脆弱性関連情報取り扱い説明会を開催より

えーっ、「暗号化を施すことをお願いしている」って、聞いてないんですが……。「IPA/ISEC の PGP 公開鍵について (www.ipa.go.jp)」を見るとこう書いてあります。

コンピュータウイルスに関する届出や不正アクセス被害に関する届出、脆弱性関連情報に関する届出をセキュアに IPA/ISEC に送信したい方は、この PGP 鍵で届出を暗号化して送信することができます。

以上、IPA/ISEC の PGP 公開鍵についてより

これではどう見ても「セキュアに送信したくないひとは暗号化しないで送信してもよろしい」と言っているようにしか思えません。暗号化が必要というスタンスは理解できますので、それならそれではっきり書いていただきたいと思います。

※でも Shuriken では PGP 暗号化メール扱えない……。

「IPAへの届け出は暗号化必須?」へのコメント (2件)

GnuPG + 鶴亀メールでメールを暗号化

今使っているメーラーでは PGP で暗号化したりすることが難しいようなので、軽く「鶴亀メール」をインストールしてみました。

手元には何故か既に GnuPG がインストールされていたので、それをそのまま使います。手順としてはこんな感じ。

鶴亀メール側で [設定] - [全般的な設定] - [暗号化/電子署名] で「GnuPG を使う」。
GnuPG 側で自分の公開鍵を作成する。無くても良いのでしょうが、自分でメッセージを復号できないと困る場合があるので作成しておきます。コマンドラインから gpg --gen-key で、あとは指示に従う感じ。質問が良く分からなかったらデフォルトで。
送り先の公開鍵を拾ってきて保存します。
送り先の公開鍵を gpg --import [ファイル名] で「鍵束」に登録します。

公開鍵の登録は鶴亀メール側ではなく、GPG 側で行う必要があることに注意。

で、これでできたと思って暗号化しようとすると、"There is no indication that this key really belongs to the owner" と言われて残念な思いをしてしまいます。自分で公開鍵に署名すれば回避できます。

送り先の公開鍵を自分の秘密鍵で署名。gpg --sign-key [送り先メールアドレス] で、指示に従ってパスフレーズを入れれば OK。
あとはメールを書いて、[編集] - [暗号化/電子署名] で暗号化できます。

※IPA の鍵の場合、ルート鍵を信頼してしまえば他の鍵も全部信頼したことになると思われますので、その方が楽かもしれません。

「GnuPG + 鶴亀メールでメールを暗号化」にコメントを書く

関連する話題: セキュリティ / メール

前(古い): 2004年7月20日(Tuesday)のえび日記
次(新しい): 2004年7月27日(Tuesday)のえび日記