パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

外務省、公開鍵の情報公開請求を拒否する」記事へのコメント

  • CSCA証明書の管理方法に対する要求事項は、厳重に守られた安全な外交手段で配送すべきと記載されている。

    PKIの運用としては至極真っ当なのでは。
    ニセの公開鍵出回ったら困る訳で。
    外務省職員がみんな暗号に明るい訳でもないでしょうし、トンチンカンな文面はまあしょうがないかなと。

    • by Anonymous Coward

      それは秘匿して守れという意味ではないし、秘匿してもニセ公開鍵対策にはならない。
      CSCA証明書なりフィンガープリントをHTTPSで公開することが最も有効で、いくつかの国はそうしてる。

      • by Anonymous Coward on 2019年04月25日 23時02分 (#3606157)

        パスポートに関して言えばコストをかけてまで公開するメリットがない気がするのですが。必要ならそれこそICAO経由で公開されている訳で。

        無料のAndroidアプリでパスポートの真贋チェックが出来るようになりました

        用途が用途なだけに、無料野良携帯アプリとかにあまり使い途を見出せません(元記事の奴はソースが開示されているので当てはまらないですけど、類似品が氾濫しそうでちょっと怖いです)。

        HTTPSで公開

        そのTLSサーバーが(暗号部分に限らず)脆弱性を突かれる可能性がある以上、運用するコストがかかりますよね。物理メディアでの鍵配送より安全な訳でもないですし。
        ドイツみたいにシェンゲン協定下の国だと民間でのパスポート真贋確認の需要がそれなりにあるのかなと思いますが、日本だと入国時に必ずチェックが入るので使い途が思いつきません(あったら教えて下さい)。
        公開鍵公開しても安全ってのは正しいですが、だからといって公開するべきだってのは論理の飛躍かと。
        外務省のお仕事は国境管理だけじゃないですし、需要がないからやってないだけでは?

        親コメント
        • > 日本だと入国時に必ずチェックが入るので使い途が思いつきません(あったら教えて下さい)。
          元記事にも最初に書いてあるけど、日本人のパスポートを日本国内で(運転免許証のように)本人確認の書類として使うときの真贋判定です。

          --
          svn-init() {
            svnadmin create .svnrepo
            svn checkout file://$PWD/.svnrepo .
          }
          親コメント
          • by Anonymous Coward

            それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。
            日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。

            トラストアンカーを運用するのは責任と馬鹿にならないコストが発生します。
            PGPの鍵サーバーみたいに「利用は自己責任で」じゃあ外務省でやる意味ないです。
            もし本当ににコストに見合う需要があるのなら選挙なり署名なりで外務省に声を届けてください。
            外務省末端職員の暗号に対する無知に文句垂れたって何も変わらないと思います。

            ちなみに重箱の隅を突けばRSAの場合Coppersmith攻撃の存在により公開鍵配る暗号強度上のリスクはゼロではないです(署名用途なら無視出来る程度ですが)。楕円曲線の場合も未発見の攻撃方法があるかもしれません。

            • > 日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。
              そりゃ、偽造パスポートは悪い事をするために使うんでしょうし、偽造コストを上回る利益があると思えばやる人はいるでしょう。
              元記事の「前回」のリンクによれば、実際に偽造パスポート等を使用した大掛かりな犯罪があったようですよ。

              > それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。
              「入国時に必ずチェック」と、意図のわからないことが書いてあり、元記事の内容を理解されていないのかなと思い、
              「民間でのパスポート真贋確認」が必要となる場面についてコメントしたまでで、確認方法については意見はありません。

              --
              svn-init() {
                svnadmin create .svnrepo
                svn checkout file://$PWD/.svnrepo .
              }
              親コメント
              • by Anonymous Coward

                だから、「民間でのパスポート確認」ってのは疑義がある場合警察なりにお願いする訳でしょ。最終的には。一般人が公的なお墨付きのない機器でそんなことできる必要はないというか、それこそ公開鍵基盤が権威を必要とするのと一緒で、しちゃいけない。これは何処の国でも一緒。
                日本だとパスポートの真贋確認が必要になる場面が少ないからコストに見合うベネフィットが無いんじゃないかって話。
                そうでないならブログやスラドで文句垂れるより選挙なり署名なり集めてください。民主主義国家なんですから。
                ドイツではありませんがEUに住んでます。
                今住んでるところだ

              • by Anonymous Coward
                運転免許書は10年前から電子署名ついてんだよね
                民間でもNTTデータとかが商売で改竄確認をしてるらしい
                外務省は兵庫県警以下ってこったな
              • by Anonymous Coward

                民間人がどうやって偽造旅券に「疑義」を抱くの?
                携帯電話の契約や古物品の買い取りでは本人確認が法律で義務付けられているけど、窓口担当者はエスパーか何かなの?
                それとも1回ずつ警察にお願いして膨大なコストを掛けて真正性を確認してもらえばいい?

              • by Anonymous Coward

                公的なお墨付きのない機械でやる事じゃないって言っているのですが。別コメでNTTデータが商売で免許証のチェックしてるって話しがありましたが、そういうのはどんどんやればいいと思います。

              • by Anonymous Coward

                「民間でのパスポート確認」と言いつつ「官界でのパスポート確認」の話をしている例。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...