アカウント名:
パスワード:
公開鍵暗号方式は、そのままでは成り済ましを防げません。
公開鍵が平文のメール等で送られてきた場合、本当にその相手の公開鍵なのか、悪意のある第三者の公開鍵にすり替えられているのかが分かりません。
無論、フィンガープリントを別途安全な方法で送ってもらって確認するということはできますが、二度手間になるので、公開鍵を最初から安全な方法で送った方が早いでしょう。例えば、相手が確実に本人だと分かり、かつTLSで暗号化されている Slack チャット とか Twitter のDMとかで送れば良いのではないでしょうか。
え?その公開鍵で暗号化した文を相手が秘密鍵で複号できるかどうかで判断できるのでは?と思ったけど、宛て先自身が書き換えられてる可能性があるのか。電話とかで直接連絡つく相手で「届きましたか?複号できましたか?」と確認しても、メールはMITMで中継されるとアウトか。
>電話とかで直接連絡つく相手で「届きましたか?複号できましたか?」と確認そんな二度手間かけるぐらいなら…と元コメも言ってるじゃない
業者間で鍵交換後の疎通テストしないとかありえないでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
「公開鍵を平文で送るな」だけは正しい (スコア:0)
公開鍵暗号方式は、そのままでは成り済ましを防げません。
公開鍵が平文のメール等で送られてきた場合、本当にその相手の公開鍵なのか、悪意のある第三者の公開鍵にすり替えられているのかが分かりません。
無論、フィンガープリントを別途安全な方法で送ってもらって確認するということはできますが、二度手間になるので、公開鍵を最初から安全な方法で送った方が早いでしょう。
例えば、相手が確実に本人だと分かり、かつTLSで暗号化されている Slack チャット とか Twitter のDMとかで送れば良いのではないでしょうか。
Re:「公開鍵を平文で送るな」だけは正しい (スコア:0)
え?その公開鍵で暗号化した文を相手が秘密鍵で複号できるかどうかで判断できるのでは?
と思ったけど、宛て先自身が書き換えられてる可能性があるのか。
電話とかで直接連絡つく相手で「届きましたか?複号できましたか?」と確認しても、メールはMITMで中継されるとアウトか。
Re: (スコア:0)
>電話とかで直接連絡つく相手で「届きましたか?複号できましたか?」と確認
そんな二度手間かけるぐらいなら…と元コメも言ってるじゃない
Re: (スコア:0)
業者間で鍵交換後の疎通テストしないとかありえないでしょ。