パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

公開鍵を公開したくないという人に対しどう説得すれば良い?」記事へのコメント

  • 公開鍵暗号方式は、そのままでは成り済ましを防げません。

    公開鍵が平文のメール等で送られてきた場合、本当にその相手の公開鍵なのか、悪意のある第三者の公開鍵にすり替えられているのかが分かりません。

    無論、フィンガープリントを別途安全な方法で送ってもらって確認するということはできますが、二度手間になるので、公開鍵を最初から安全な方法で送った方が早いでしょう。
    例えば、相手が確実に本人だと分かり、かつTLSで暗号化されている Slack チャット とか Twitter のDMとかで送れば良いのではないでしょうか。

    • by Anonymous Coward on 2019年04月03日 20時18分 (#3592925)

      それは公開鍵を平文で送ることの問題ではなく、送り元証明の有無の問題じゃないでしょうか。
      送り元の身元証明ができれば平文で送ることになんの問題もないですよね。

      親コメント
      • by Anonymous Coward

        馬鹿なのかな?
        送り元の身元がしっかりしていることと、通信の安全性の両方が必要なの

        送り元の身元が明らかで送信時点では送り元の公開鍵だったとしても、
        通信が平文で改竄が検知できないなら、通信に割り込んで悪意のあるクラッカーの公開鍵に差し替えられるかもしれない

        で、そのクラッカーの公開鍵で暗号化したデータを送信すると、
        通信が傍受された場合、クラッカーが復号できてしまう

        オレオレ証明書が危険な理由と同じ危険性があるの

        なんのために公開鍵暗号方式の他にPKIというものが存在するかよく考えた方が良い

        • by Anonymous Coward

          送信者の身元確認、送信内容の証明、内容の秘匿性の三つに分けて考えると、秘匿性は要らないよね。

          暗号化で確保できるのは秘匿性だけなんだけれど、目的は前二項なんだから目的を達成できないよね。

          それではなぜ(身元を確認も内容の証明もせず)暗号化すればオッケー、なの?
          あるいはなぜ(身元を確認し内容を証明しても)暗号化してないとNG、なのかな?

          • 元コメに「相手が確実に本人だと分かり、かつTLSで暗号化されている Slack チャット とか Twitter のDMとか」とあるでしょ

            TLSでの暗号化というのは、PKIを使った「送信者の身元確認」とやらを含みます。

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...