パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Gmail、暗号化されていない経路で受信したメールに警告を表示へ」記事へのコメント

  • メールサーバ間でのTLS通信というのは勿論やらないよりはマシですが、NSAやスパイ組織などがメールを盗み見ようとした場合、メールサーバの管理者に圧力をかけたり、スパイを紛れ込ましたり、メールサーバにバックドアをしかけたりして、メールの内容を盗み見ようとするでしょうから、根本的な対策にはなりません。また、相手がメールサーバから平文のPOP3やIMAPなどでメールを受信していたら、その部分が脆弱なことには変わりないし、メールサーバの管理者がメールを盗み見ることが可能なのには変わりありません。

    従って、根本的な対策として PGP や S/MIME 対応をするべきで

    • by Anonymous Coward

      もし「PGPやりたくない」という本音がGoogleにあったとして、一億歩譲ってそれを認めたとしても、
      S/MIME署名にも対応しないことで「smime.p7sという謎のファイルが気持ち悪い」という風評被害を広めたことは許せないですな。
      ちなみにGMail以外のWebメールサービスがPGPやS/MIMEに対応しなかったのは怠慢以外の何者でもないのでこれも万死に値する。

      • by Anonymous Coward on 2015年11月17日 19時37分 (#2919086)

        S/MIME と web メールは相性が悪いのですよ。

        web メールのサーバはユーザからしたら他人なので、秘密鍵を預けるわけにはいかず、
        つまり暗号化/復号はサーバ側ではなくブラウザ側でおこなわなければいけない。
        その一方で、S/MIME の名のとおり特殊な MIME フォーマットが必要とされるので、
        サーバ側は暗号文を適切なフォーマットに整形しなければならない。
        このへんの実装が超絶めんどくさいですね。

        PGP は MIME を使わず、すべての処理をブラウザ側に丸投げできるので、だいぶラク。
        画面に表示されてるものをコピペして手元で gpg コマンドにつっこんでやれば、
        (めんどくさいけど)やりとりはできるし、それ相当のことを自動でやってくれるブラウザ拡張もいくつかあります。
        スティーグ・ラーソンの小説『ミレニアム』には、
        この方法で hotmail で PGP なメールをやりとりする場面が出てきます。
        # PGP でも PGP/MIME という形式で送受信しようとすると S/MIME と同じ壁に当たる。

        なお、あくまで web メールと相性が悪いということであって、
        android の MUA で対応しないのは怠慢といっていいでしょう。

        親コメント
        • by Anonymous Coward

          公開鍵は預けても大丈夫なので、署名の検証はWebメールでも可能でしょう。
          署名したメールを送ってくるのは銀行など公共性の高い企業だろうから、Googleがそういう企業の公開鍵を収集してGmailで署名の検証をすれば、「smime.p7sという謎のファイルが気持ち悪い」という風評被害も減るし、フィッシング被害も減ると思うんだけどなぁ。
          あと、署名用と暗号化用に別々の鍵ペアを作って [wikipedia.org]署名用の秘密鍵を預けずに復号も行えるようにするという案もあるようです。

          • by Anonymous Coward

            そのファイルが見えないメーラーも気持ち悪いです

            • by Anonymous Coward

              S/MIME対応してたらそのファイルが見えなくなる代わりに検証結果が何処かしらに表示される。
              これで気持ち悪いなら常時ヘッダ込みでメール表示しないメーラは気持ち悪い位いってくれないと。

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...