アカウント名:
パスワード:
ここスラドでも、アカウントに公開鍵を登録することができるんだけど、知ってる人どのくらいいるのかな。
登録したい人はログインした状態で http://srad.jp/my/ [srad.jp] を開いて、Public Keyの欄に公開鍵のテキストを入力。
srad.jp/~(アカウント名)/pubkey でそのアカウントの公開鍵が(登録されていれば)取得できる。
特にスラドのシステムとして登録された公開鍵を利用しているというわけでは無さそうだけど。
公開鍵暗号を利用する際には、暗号化を行う際に用いる相手方の公開鍵を安全な方法で入手しなければなりません。例えば、リアルで会う人物ならば、その時に成りすまし(顔が似ている兄弟など)でない事を良く確認して対面で公開鍵を受け取れば、安全だと言えます。
スラドの場合、もし https (TLS) に対応していれば、スラドに書き込みをしている「Printable is bad. (38668)」という人物に秘密のメールを送る場合、スラドのプロフィール欄から公開鍵
フィンガープリントのみを別途安全な方法で渡すということも考えられるので、全く無意味・有害というわけでは無いかと…。
具体的に、どういった方法で finger print を渡すんですか?
スラドを実名でやっている(もしくは実名と関連付けられても問題が無い)のでしたら、公開鍵をスラドで公開した上で、finger print とスラドのアカウント名・アカウント番号印刷した名刺を相手に手渡しするといった使い方も理論上はできます。ただ、わざわざそんなことをするなら、公開鍵をQRコードにして名刺に印刷しておいた方が早いので、全く現実的では無いでしょう。
想定されている利用方法は、公開鍵サーバに公開鍵を預けて、名刺にメールアドレスとフィンガープリントを印刷するのがスマートな方法じゃない?
オンライン活動なら、相手に一度からメールを送ってもらうか、こちらから署名したメールを送ればいい。
そもそも、不特定多数間での利用はPGPはむいておらず、S/MINEの領分だよね。
安全に入手したフィンガープリントがあれば公開鍵を検証できるというのはPGP自体の機能ですが、あなたの主張だとその方法自体が無意味だ(公開鍵そのものを安全な方法で渡すべきだ)ということですね。
実際、理解の浅い人が、安全でない方法で入手した公開鍵をフィンガープリントによる検証なしに信頼してしまうことも考えられますので、その主張にも一理あるとは思います。
しかしながら、フィンガープリントによる検証方法そのものの安全性が崩れたわけではない状況で、平文で公開していることのみをもって『無意味・有害』と言い切るのはさすがに言い過ぎではないかと思います。結局のところ実際に公開している人の使い方次第では。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
そういえば (スコア:1)
ここスラドでも、アカウントに公開鍵を登録することができるんだけど、知ってる人どのくらいいるのかな。
登録したい人はログインした状態で http://srad.jp/my/ [srad.jp] を開いて、Public Keyの欄に公開鍵のテキストを入力。
srad.jp/~(アカウント名)/pubkey でそのアカウントの公開鍵が(登録されていれば)取得できる。
特にスラドのシステムとして登録された公開鍵を利用しているというわけでは無さそうだけど。
意味の無い機能どころか、害悪でしかない (スコア:3)
公開鍵暗号を利用する際には、暗号化を行う際に用いる相手方の公開鍵を安全な方法で入手しなければなりません。例えば、リアルで会う人物ならば、その時に成りすまし(顔が似ている兄弟など)でない事を良く確認して対面で公開鍵を受け取れば、安全だと言えます。
スラドの場合、もし https (TLS) に対応していれば、スラドに書き込みをしている「Printable is bad. (38668)」という人物に秘密のメールを送る場合、スラドのプロフィール欄から公開鍵
Re: (スコア:0)
フィンガープリントのみを別途安全な方法で渡すということも考えられるので、全く無意味・有害というわけでは無いかと…。
Re:意味の無い機能どころか、害悪でしかない (スコア:2)
具体的に、どういった方法で finger print を渡すんですか?
スラドを実名でやっている(もしくは実名と関連付けられても問題が無い)のでしたら、公開鍵をスラドで公開した上で、finger print とスラドのアカウント名・アカウント番号印刷した名刺を相手に手渡しするといった使い方も理論上はできます。ただ、わざわざそんなことをするなら、公開鍵をQRコードにして名刺に印刷しておいた方が早いので、全く現実的では無いでしょう。
Re: (スコア:0)
想定されている利用方法は、公開鍵サーバに公開鍵を預けて、名刺にメールアドレスとフィンガープリントを印刷するのがスマートな方法じゃない?
オンライン活動なら、相手に一度からメールを送ってもらうか、こちらから署名したメールを送ればいい。
そもそも、不特定多数間での利用はPGPはむいておらず、S/MINEの領分だよね。
Re: (スコア:0)
安全に入手したフィンガープリントがあれば公開鍵を検証できるというのはPGP自体の機能ですが、あなたの主張だとその方法自体が無意味だ(公開鍵そのものを安全な方法で渡すべきだ)ということですね。
実際、理解の浅い人が、安全でない方法で入手した公開鍵をフィンガープリントによる検証なしに信頼してしまうことも考えられますので、その主張にも一理あるとは思います。
しかしながら、フィンガープリントによる検証方法そのものの安全性が崩れたわけではない状況で、平文で公開していることのみをもって『無意味・有害』と言い切るのはさすがに言い過ぎではないかと思います。結局のところ実際に公開している人の使い方次第では。