アカウント名:
パスワード:
https://kirigakure.net/?p=214 [kirigakure.net]
このページに書いてあるのは、公開鍵から秘密鍵を導出できるから非公開にすべきという話ですね。そんなことあるんでしょうかね。ないと思いますけど。
なので、PKIってのはそう言う万一の事があった時にどうするかも予め想定して運用するんだよね。秘密鍵が公開鍵から計算されてしまう可能性は非常に低いけど、それに比べれば、ミスやソーシャルエンジニアリングなんかで流出してしまう可能性は高い。なので、そう言うものへの対策は当然してあるはずだよ。
その対策ってのが今回の非公開理由なんですが。対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
その対策ってのが今回の非公開理由なんですが。
で、その妥当性が問題になってるわけだよね。
対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
は? バカなの?対策はすべきだし、当然「CA証明書を非公開にする」以外の対策をしてるだろう、って話。
「CA証明書を非公開にする」って「対策」に、どんだけ効果があると言ってるわけ?もしその「対策」を行ったところで、秘密鍵流出のリスクはゼロにはならないよ。流出した場合の対策が準備されてない、と言っているわけじゃないんだろ?だったらメリット・デメリットを総合的に判断してどうか、って話になるね。「CA証明書を非公開にする」のはほとんど意味がない。検証用アプリケーションを民間が開発しにくい(けど、外務省ルート以外では開発できる)。
一方、公開しても、デメリットはほとんどない。確かに、公開鍵から秘密鍵を計算できる危険性はあるが、そんなのはソーシャルエンジニアリングによるものに比べれば、限りなく低い。当然流出時のオペレーションは決まってるはずなので、万一の場合でもなんとかなる。なので、「まったく問題無い」とまでは言わないけど、実用上問題無いレベルとは言えるだろうね。
うわぁ、放射脳だったか……原発がそうだったから世の中すべてがそう見えるんだね、かわいそうに。
ストーリーから外れるけど・・・東日本の原発事故の前も後も「原発は絶対安全だから発生確率はゼロ」なんて実際に聞いたことがないけど、あなたは本当に聞いたことがあるの?そしてそれを信じてたの?批判したいがために話を盛ってない?
原発は絶対安全だから発生確率はゼロ、って言って、あらゆる巨大な問題を全て問題ないと言い続けた奴いてああなったわけだよ。それと全く同じ事を言ってるんだよな、こいつら。なんなんだろう。
まるっきり的外れです。対策があってもやはりリスクはゼロにはならないのだから、有事の場合のオペレーションを策定しておけ、と言うのが私の意見です。
アホなこと書き散らしてないで、他人の意見はちゃんと読みなさい。そんなことじゃ、放射脳以下。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
非公開は妥当である (スコア:0)
https://kirigakure.net/?p=214 [kirigakure.net]
Re: (スコア:0)
このページに書いてあるのは、公開鍵から秘密鍵を導出できるから非公開にすべきという話ですね。
そんなことあるんでしょうかね。ないと思いますけど。
Re: (スコア:0)
その人に、発覚前に「そんなことあるんでしょうか?」と聞けば「無いと思う」って言うよね。
Re: (スコア:1)
なので、PKIってのはそう言う万一の事があった時にどうするかも予め想定して運用するんだよね。
秘密鍵が公開鍵から計算されてしまう可能性は非常に低いけど、
それに比べれば、ミスやソーシャルエンジニアリングなんかで流出してしまう可能性は高い。
なので、そう言うものへの対策は当然してあるはずだよ。
Re: (スコア:0)
その対策ってのが今回の非公開理由なんですが。
対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
Re:非公開は妥当である (スコア:1)
その対策ってのが今回の非公開理由なんですが。
で、その妥当性が問題になってるわけだよね。
対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
は? バカなの?
対策はすべきだし、当然「CA証明書を非公開にする」以外の対策をしてるだろう、って話。
「CA証明書を非公開にする」って「対策」に、どんだけ効果があると言ってるわけ?
もしその「対策」を行ったところで、秘密鍵流出のリスクはゼロにはならないよ。
流出した場合の対策が準備されてない、と言っているわけじゃないんだろ?
だったらメリット・デメリットを総合的に判断してどうか、って話になるね。
「CA証明書を非公開にする」のはほとんど意味がない。
検証用アプリケーションを民間が開発しにくい(けど、外務省ルート以外では開発できる)。
一方、公開しても、デメリットはほとんどない。
確かに、公開鍵から秘密鍵を計算できる危険性はあるが、そんなのはソーシャルエンジニアリングによるものに比べれば、限りなく低い。
当然流出時のオペレーションは決まってるはずなので、万一の場合でもなんとかなる。
なので、「まったく問題無い」とまでは言わないけど、実用上問題無いレベルとは言えるだろうね。
Re:非公開は妥当である (スコア:1)
原発は絶対安全だから発生確率はゼロ、って言って、あらゆる巨大な問題を全て問題ないと言い続けた奴いてああなったわけだよ。
それと全く同じ事を言ってるんだよな、こいつら。なんなんだろう。
せめて問題があったときに自分が責任を取るつもりならともかく、そうじゃないんだぜ?笑える。
Re: (スコア:0)
うわぁ、放射脳だったか……原発がそうだったから世の中すべてがそう見えるんだね、かわいそうに。
Re: (スコア:0)
Re: (スコア:0)
ストーリーから外れるけど・・・
東日本の原発事故の前も後も「原発は絶対安全だから発生確率はゼロ」なんて実際に聞いたことがないけど、あなたは本当に聞いたことがあるの?
そしてそれを信じてたの?
批判したいがために話を盛ってない?
Re: (スコア:0)
安倍でさえ事実上撤回してるのに原発脳はこれだから
Re:非公開は妥当である (スコア:1)
原発は絶対安全だから発生確率はゼロ、って言って、あらゆる巨大な問題を全て問題ないと言い続けた奴いてああなったわけだよ。
それと全く同じ事を言ってるんだよな、こいつら。なんなんだろう。
まるっきり的外れです。
対策があってもやはりリスクはゼロにはならないのだから、有事の場合のオペレーションを策定しておけ、と言うのが私の意見です。
アホなこと書き散らしてないで、他人の意見はちゃんと読みなさい。
そんなことじゃ、放射脳以下。