パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

外務省、公開鍵の情報公開請求を拒否する」記事へのコメント

  • by Anonymous Coward on 2019年04月25日 21時03分 (#3606038)

    CSCA証明書の管理方法に対する要求事項は、厳重に守られた安全な外交手段で配送すべきと記載されている。

    PKIの運用としては至極真っ当なのでは。
    ニセの公開鍵出回ったら困る訳で。
    外務省職員がみんな暗号に明るい訳でもないでしょうし、トンチンカンな文面はまあしょうがないかなと。

    • by Anonymous Coward

      それは秘匿して守れという意味ではないし、秘匿してもニセ公開鍵対策にはならない。
      CSCA証明書なりフィンガープリントをHTTPSで公開することが最も有効で、いくつかの国はそうしてる。

      • by Anonymous Coward
        セキュリティはまずルールを愚直に守ること
        ルールがおかしい場合にはルール変えよう
        決してルールを守ったことは批判しないよう

        こういう基本を破るのって中途半端に詳しいパソコンの大先生ならぬ、セキュリティの大先生がやりがちなことだよな
        • by Anonymous Coward

          何の話? シャドーボクシングは他所でお願いします。

          • by Anonymous Coward
            国際的なルールに従っていると言う指摘に「秘匿して守れという意味ではないし、秘匿してもニセ公開鍵対策にはならない。」と言っちゃう人に対するコメントですよ
            • by Anonymous Coward

              ルール自体は妥当だろ。外務省がおかしな解釈してるだけで。

              • by Anonymous Coward
                俺の解釈は外務省より正しい、ってか?
                すげーな。
              • by Anonymous Coward

                誰の解釈かは知らんが、ちゃんとルールブックに解釈例がいくつも載ってるんで

              • by Anonymous Coward
                ヒント:条約の国内正式訳及び解釈はどこがやってる?
      • by Anonymous Coward

        パスポートに関して言えばコストをかけてまで公開するメリットがない気がするのですが。必要ならそれこそICAO経由で公開されている訳で。

        無料のAndroidアプリでパスポートの真贋チェックが出来るようになりました

        用途が用途なだけに、無料野良携帯アプリとかにあまり使い途を見出せません(元記事の奴はソースが開示されているので当てはまらないですけど、類似品が氾濫しそうでちょっと怖いです)。

        HTTPSで公開

        そのTLSサーバーが(暗号部分に限らず)脆弱性を突かれる可能性がある以上、運用するコストがかかります

        • > 日本だと入国時に必ずチェックが入るので使い途が思いつきません(あったら教えて下さい)。
          元記事にも最初に書いてあるけど、日本人のパスポートを日本国内で(運転免許証のように)本人確認の書類として使うときの真贋判定です。

          --
          svn-init() {
            svnadmin create .svnrepo
            svn checkout file://$PWD/.svnrepo .
          }
          親コメント
          • by Anonymous Coward

            それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。
            日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。

            トラストアンカーを運用するのは責任と馬鹿にならないコストが発生します。
            PGPの鍵サーバーみたいに「利用は自己責任で」じゃあ外務省でやる意味ないです。
            もし本当ににコストに見合う需要があるのなら選挙なり署名なりで外務省に声を届けてください。
            外務省末端職員の暗号に対する無知に文句垂れたって何も変わらないと思います。

            ちなみに重箱の隅を突けばRSAの場合Coppersmith攻撃の存在により公開鍵配る暗号強度上のリスクはゼロではないです(署名用途なら無視出来る程度ですが)。楕円曲線の場合も未発見の攻撃方法があるかもしれません。

            • > 日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。
              そりゃ、偽造パスポートは悪い事をするために使うんでしょうし、偽造コストを上回る利益があると思えばやる人はいるでしょう。
              元記事の「前回」のリンクによれば、実際に偽造パスポート等を使用した大掛かりな犯罪があったようですよ。

              > それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。
              「入国時に必ずチェック」と、意図のわからないことが書いてあり、元記事の内容を理解されていないのかなと思い、
              「民間でのパスポート真贋確認」が必要となる場面についてコメントしたまでで、確認方法については意見はありません。

              --
              svn-init() {
                svnadmin create .svnrepo
                svn checkout file://$PWD/.svnrepo .
              }
              親コメント
              • by Anonymous Coward

                だから、「民間でのパスポート確認」ってのは疑義がある場合警察なりにお願いする訳でしょ。最終的には。一般人が公的なお墨付きのない機器でそんなことできる必要はないというか、それこそ公開鍵基盤が権威を必要とするのと一緒で、しちゃいけない。これは何処の国でも一緒。
                日本だとパスポートの真贋確認が必要になる場面が少ないからコストに見合うベネフィットが無いんじゃないかって話。
                そうでないならブログやスラドで文句垂れるより選挙なり署名なり集めてください。民主主義国家なんですから。
                ドイツではありませんがEUに住んでます。
                今住んでるところだ

              • by Anonymous Coward
                運転免許書は10年前から電子署名ついてんだよね
                民間でもNTTデータとかが商売で改竄確認をしてるらしい
                外務省は兵庫県警以下ってこったな
              • by Anonymous Coward

                民間人がどうやって偽造旅券に「疑義」を抱くの?
                携帯電話の契約や古物品の買い取りでは本人確認が法律で義務付けられているけど、窓口担当者はエスパーか何かなの?
                それとも1回ずつ警察にお願いして膨大なコストを掛けて真正性を確認してもらえばいい?

              • by Anonymous Coward

                公的なお墨付きのない機械でやる事じゃないって言っているのですが。別コメでNTTデータが商売で免許証のチェックしてるって話しがありましたが、そういうのはどんどんやればいいと思います。

              • by Anonymous Coward

                「民間でのパスポート確認」と言いつつ「官界でのパスポート確認」の話をしている例。

      • by Anonymous Coward

        HTTPSによる信頼性はサーバ証明書の発行元以上にならないですが、日本国の信頼性を民間企業よりし下においても良いもんなんでしょうかね?、

        • by Anonymous Coward

          GPKIみたいに、それこそCSCA証明書(公開鍵)を官報に掲載したら良いのではないでしょうか?うん、私はありだと思う。

    • by Anonymous Coward
      ニセの公開鍵が出回ったら困るから外務省から原本の写しを取り寄せようって話なのに…
      • by Anonymous Coward
        技術屋が「俺が安全だって言ってんだからルール破ってよこせ」って言ってるけど外務省は普通に拒否した、って話なのに…
        • by Anonymous Coward
          安全だなんて言ってないのでは?
          危険だと言っている外務省はいるみたいですけどね
          たぶんそんな外務省に任せておくのが一番危険でしょう
          • by Anonymous Coward
            安全だなどと言ってないが、危険だと言っている人がいるなら、開示しないのは正しいですよね
            • by Anonymous Coward

              子宮頸がんワクチン反対派の人か何かの揶揄でしょうか?

              • by Anonymous Coward

                人の命かかってたんだ知らんかったわ

              • by Anonymous Coward
                テロのことを考えると、子宮頸がんワクチンとかなんかよりかなりシャレにならない人数の人命が関わってるがな
        • by Anonymous Coward

          正規の手続きである情報公開請求を行っただけであって、なんのルールも破っていないのではないでしょうか?

      • by Anonymous Coward

        渡した相手が改竄するリスクがある
        今回の外務省の対応で民間のパスポート真贋判定ソフトは全て信頼出来ないことが公式になる

        • by Anonymous Coward

          これだな。
          他の意見も一応全部目を通したが、この意見が一番しっくりくる。

物事のやり方は一つではない -- Perlな人

処理中...