アカウント名:
パスワード:
疑問なんだけど、そもそも「暗号化」の為に「証明書」は必須なの?
必須です。
「証明書を必要としない暗号化」さえあれば、それで解決なんじゃないの?
そのようなものはありません。
TLS-PSK (RFC 4279) というのがありますが、Webへの適用例は今のところありません。なぜなら、RFC 4279 に次の通り書かれているように、一般の公衆向けのサービスで利用できるものではないからです。
1.1. Applicability Statement The ciphersuites defined in this document are intended for a rather limited set of applications, usually involving only a
1.1. Applicability Statement
The ciphersuites defined in this document are intended for a rather limited set of applications, usually involving only a
でも 「暗号化」の為に「証明書」は必須なの? という問であれば 必須ではないですよ。
ADH-AES256-SHA を選択すれば証明書なしで暗号化されます。
そもそも Anonymous-DH というのは(ADH-AES256-SHA というのは、DHE-RSA-AES256-SHA から証明書による認証を省いたものと等価ですから)、「オレオレ証明書」で運用する TLS 通信と同じことです。Webでは利用されていません。わかりましたか?
Postfix によるSMTP接続においてはそこそこ利用されている状況にあります。
元々暗号化されないメールの話を持ち出されても困るのですが。
単に、 ttp://www.soumu.go.jp/joho_tsusin/security/kiso/k01_ssl.htm を、読め。でいいんじゃないの?
・・・という話を高木センセイがどこかで書いてたような記憶があるのですが、見つからない・・・。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
そもそも (スコア:0)
で、疑問なんだけど、そもそも「暗号化」の為に「証明書」は必須なの?
「証明書を必要としない暗号化」さえあれば、それで解決なんじゃないの?
Re:そもそも (スコア:4, 参考になる)
必須です。
そのようなものはありません。
TLS-PSK (RFC 4279) というのがありますが、Webへの適用例は今のところありません。なぜなら、RFC 4279 に次の通り書かれているように、一般の公衆向けのサービスで利用できるものではないからです。
Re:そもそも (スコア:3, 参考になる)
でも 「暗号化」の為に「証明書」は必須なの? という問であれば 必須ではないですよ。
OpenSSL の実装でも、暗号化スイートとして例えば ADH-AES256-SHA を選択すれば証明書なしで暗号化されます。
この暗号化スイートは手元のマシンにおいて実際に Postfix によるSMTP接続においてはそこそこ利用されている状況にあります。
Re:そもそも (スコア:0)
そもそも Anonymous-DH というのは(ADH-AES256-SHA というのは、DHE-RSA-AES256-SHA から証明書による認証を省いたものと等価ですから)、「オレオレ証明書」で運用する TLS 通信と同じことです。Webでは利用されていません。わかりましたか?
元々暗号化されないメールの話を持ち出されても困るのですが。
Re:そもそも (スコア:1)
前段の 暗号化に証明書必須か? に対しては 必須ではない
後段の それで解決するか に対しては 解決しない(安全じゃないから)
というのが私の考えでした。が、後段の分を書かなかったのはそれはそれで誤解を生みますね。すみません。
でまあ誤解が広まる源泉は「暗号化されていれば安全である という誤解」だと思っているわけですよ。
少なくともオレオレ証明書を入れて銀行に納入してしまうような業者に向かって、
「暗号化できているからといってそれだけで安全ではない」という意識を啓蒙するべきではないかと。
可能なら業者は安全は何をもって担保されているのかを理解して欲しいところです。
一般に向かっての啓蒙については 高木先生の方策に同意しています。
Re:そもそも (スコア:0)
このツリーの主は、証明書の必要の無い暗号化手段が出来れば、こういうサイトはみんなそっち使うだろう。
HTTPSの代わりとしてそのようなものが生まれる技術的にその余地は無いのか?
と聞いていて他の連中はそれに答えてるんだよ。
Re:そもそも (スコア:0)
ttp://www.soumu.go.jp/joho_tsusin/security/kiso/k01_ssl.htm
を、読め。でいいんじゃないの?
「~でしょう。」という言い回しは気持ちが悪いのでやめて下さい。
Re:そもそも (スコア:0)
・・・という話を高木センセイがどこかで書いてたような記憶があるのですが、見つからない・・・。
Re:そもそも (スコア:0)
日本人なら日本人らしくじぶんたちのバカさはたなにあげて中韓をバカにしてさえいればいいのです。
Re:そもそも (スコア:1)
もともとは安全か安全じゃないかではなく、証明書なしに暗号化ができるか
どうかということにコメントされているだけでしょう。
そもそも歴史を紐解けば、シーザー暗号なども立派な(立派じゃないか)暗号です。
「HTTPS では、証明書の正当性確認をしなくては危険です」という啓蒙はもちろん重要ですし、
一般の方あいてには思考停止てきに上記を徹底するのが正しい態度なのかもしれませんが、
技術に詳しい人がおおいであろう /. などでは、上記の歴史などもふまえた解説があっても
Re:そもそも (スコア:0)
駄目な暗号化がされている
でおk。
Re:そもそも (スコア:0)
(#1256817)の嘘吐きめ。
Re:そもそも (スコア:0)
MITMで容易に解けるものを暗号と呼ぶか呼ばないか。