アカウント名:
パスワード:
公開鍵暗号方式は、そのままでは成り済ましを防げません。
公開鍵が平文のメール等で送られてきた場合、本当にその相手の公開鍵なのか、悪意のある第三者の公開鍵にすり替えられているのかが分かりません。
無論、フィンガープリントを別途安全な方法で送ってもらって確認するということはできますが、二度手間になるので、公開鍵を最初から安全な方法で送った方が早いでしょう。例えば、相手が確実に本人だと分かり、かつTLSで暗号化されている Slack チャット とか Twitter のDMとかで送れば良いのではないでしょうか。
文書の真正性と暗号化されているかどうかとは本質的には関係ないぞ。鍵なんかいくらでも作れるんだから、本物の偽者であることは簡単に証明できる。安全な方法で鍵を配送するか、信頼できる第三者機関に証明してもらうくらいしか方法はない。その過程は盗聴されても問題はないのだから平文で良い。
暗号化と真正性は確かに関係ないけど、元コメは平文のメールでサーバに登録してもらう公開鍵を送る場合だから多いに関係あるんじゃないの?平文なら途中で盗聴&改ざんされてサーバに不法侵入される可能性があるけど、暗号化されていればそもそも公開鍵を送ってるメールだってこともわからないし、デタラメに改ざんすることはできても適切に改ざんすることもできないってことでしょ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
「公開鍵を平文で送るな」だけは正しい (スコア:0)
公開鍵暗号方式は、そのままでは成り済ましを防げません。
公開鍵が平文のメール等で送られてきた場合、本当にその相手の公開鍵なのか、悪意のある第三者の公開鍵にすり替えられているのかが分かりません。
無論、フィンガープリントを別途安全な方法で送ってもらって確認するということはできますが、二度手間になるので、公開鍵を最初から安全な方法で送った方が早いでしょう。
例えば、相手が確実に本人だと分かり、かつTLSで暗号化されている Slack チャット とか Twitter のDMとかで送れば良いのではないでしょうか。
Re:「公開鍵を平文で送るな」だけは正しい (スコア:0)
文書の真正性と暗号化されているかどうかとは本質的には関係ないぞ。鍵なんかいくらでも作れるんだから、本物の偽者であることは簡単に証明できる。
安全な方法で鍵を配送するか、信頼できる第三者機関に証明してもらうくらいしか方法はない。その過程は盗聴されても問題はないのだから平文で良い。
Re: (スコア:0)
暗号化と真正性は確かに関係ないけど、元コメは平文のメールでサーバに登録してもらう公開鍵を送る場合だから多いに関係あるんじゃないの?
平文なら途中で盗聴&改ざんされてサーバに不法侵入される可能性があるけど、暗号化されていればそもそも公開鍵を送ってるメールだってこともわからないし、デタラメに改ざんすることはできても適切に改ざんすることもできないってことでしょ?