アカウント名:
パスワード:
CSCA証明書の管理方法に対する要求事項は、厳重に守られた安全な外交手段で配送すべきと記載されている。
PKIの運用としては至極真っ当なのでは。ニセの公開鍵出回ったら困る訳で。外務省職員がみんな暗号に明るい訳でもないでしょうし、トンチンカンな文面はまあしょうがないかなと。
それは秘匿して守れという意味ではないし、秘匿してもニセ公開鍵対策にはならない。CSCA証明書なりフィンガープリントをHTTPSで公開することが最も有効で、いくつかの国はそうしてる。
パスポートに関して言えばコストをかけてまで公開するメリットがない気がするのですが。必要ならそれこそICAO経由で公開されている訳で。
無料のAndroidアプリでパスポートの真贋チェックが出来るようになりました
用途が用途なだけに、無料野良携帯アプリとかにあまり使い途を見出せません(元記事の奴はソースが開示されているので当てはまらないですけど、類似品が氾濫しそうでちょっと怖いです)。
HTTPSで公開
そのTLSサーバーが(暗号部分に限らず)脆弱性を突かれる可能性がある以上、運用するコストがかかります
> 日本だと入国時に必ずチェックが入るので使い途が思いつきません(あったら教えて下さい)。元記事にも最初に書いてあるけど、日本人のパスポートを日本国内で(運転免許証のように)本人確認の書類として使うときの真贋判定です。
それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。
トラストアンカーを運用するのは責任と馬鹿にならないコストが発生します。PGPの鍵サーバーみたいに「利用は自己責任で」じゃあ外務省でやる意味ないです。もし本当ににコストに見合う需要があるのなら選挙なり署名なりで外務省に声を届けてください。外務省末端職員の暗号に対する無知に文句垂れたって何も変わらないと思います。
ちなみに重箱の隅を突けばRSAの場合Coppersmith攻撃の存在により公開鍵配る暗号強度上のリスクはゼロではないです(署名用途なら無視出来る程度ですが)。楕円曲線の場合も未発見の攻撃方法があるかもしれません。
> 日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。そりゃ、偽造パスポートは悪い事をするために使うんでしょうし、偽造コストを上回る利益があると思えばやる人はいるでしょう。元記事の「前回」のリンクによれば、実際に偽造パスポート等を使用した大掛かりな犯罪があったようですよ。
> それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。「入国時に必ずチェック」と、意図のわからないことが書いてあり、元記事の内容を理解されていないのかなと思い、「民間でのパスポート真贋確認」が必要となる場面についてコメントしたまでで、確認方法については意見はありません。
だから、「民間でのパスポート確認」ってのは疑義がある場合警察なりにお願いする訳でしょ。最終的には。一般人が公的なお墨付きのない機器でそんなことできる必要はないというか、それこそ公開鍵基盤が権威を必要とするのと一緒で、しちゃいけない。これは何処の国でも一緒。日本だとパスポートの真贋確認が必要になる場面が少ないからコストに見合うベネフィットが無いんじゃないかって話。そうでないならブログやスラドで文句垂れるより選挙なり署名なり集めてください。民主主義国家なんですから。ドイツではありませんがEUに住んでます。今住んでるところだ
民間人がどうやって偽造旅券に「疑義」を抱くの?携帯電話の契約や古物品の買い取りでは本人確認が法律で義務付けられているけど、窓口担当者はエスパーか何かなの?それとも1回ずつ警察にお願いして膨大なコストを掛けて真正性を確認してもらえばいい?
公的なお墨付きのない機械でやる事じゃないって言っているのですが。別コメでNTTデータが商売で免許証のチェックしてるって話しがありましたが、そういうのはどんどんやればいいと思います。
「民間でのパスポート確認」と言いつつ「官界でのパスポート確認」の話をしている例。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
運用上合っているのでは (スコア:0)
PKIの運用としては至極真っ当なのでは。
ニセの公開鍵出回ったら困る訳で。
外務省職員がみんな暗号に明るい訳でもないでしょうし、トンチンカンな文面はまあしょうがないかなと。
Re: (スコア:0)
それは秘匿して守れという意味ではないし、秘匿してもニセ公開鍵対策にはならない。
CSCA証明書なりフィンガープリントをHTTPSで公開することが最も有効で、いくつかの国はそうしてる。
Re: (スコア:0)
パスポートに関して言えばコストをかけてまで公開するメリットがない気がするのですが。必要ならそれこそICAO経由で公開されている訳で。
用途が用途なだけに、無料野良携帯アプリとかにあまり使い途を見出せません(元記事の奴はソースが開示されているので当てはまらないですけど、類似品が氾濫しそうでちょっと怖いです)。
そのTLSサーバーが(暗号部分に限らず)脆弱性を突かれる可能性がある以上、運用するコストがかかります
Re:運用上合っているのでは (スコア:2)
> 日本だと入国時に必ずチェックが入るので使い途が思いつきません(あったら教えて下さい)。
元記事にも最初に書いてあるけど、日本人のパスポートを日本国内で(運転免許証のように)本人確認の書類として使うときの真贋判定です。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。
日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。
トラストアンカーを運用するのは責任と馬鹿にならないコストが発生します。
PGPの鍵サーバーみたいに「利用は自己責任で」じゃあ外務省でやる意味ないです。
もし本当ににコストに見合う需要があるのなら選挙なり署名なりで外務省に声を届けてください。
外務省末端職員の暗号に対する無知に文句垂れたって何も変わらないと思います。
ちなみに重箱の隅を突けばRSAの場合Coppersmith攻撃の存在により公開鍵配る暗号強度上のリスクはゼロではないです(署名用途なら無視出来る程度ですが)。楕円曲線の場合も未発見の攻撃方法があるかもしれません。
Re:運用上合っているのでは (スコア:2)
> 日本在住の日本人なら日本のパスポートなんて偽造する方がお金かかるでしょ。犯罪だし。日本以外の国籍ならもっと偽造しやすい国の奴を手配する方がバレにくいでしょうし(もちろん犯罪です)。
そりゃ、偽造パスポートは悪い事をするために使うんでしょうし、偽造コストを上回る利益があると思えばやる人はいるでしょう。
元記事の「前回」のリンクによれば、実際に偽造パスポート等を使用した大掛かりな犯罪があったようですよ。
> それを役所未公認の携帯アプリでやる必要ありますか?鍵なんて港湾施設、役所、警察にあれば十分では。それで足りないというのであれば具体例を挙げて頂けると助かります。
「入国時に必ずチェック」と、意図のわからないことが書いてあり、元記事の内容を理解されていないのかなと思い、
「民間でのパスポート真贋確認」が必要となる場面についてコメントしたまでで、確認方法については意見はありません。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
だから、「民間でのパスポート確認」ってのは疑義がある場合警察なりにお願いする訳でしょ。最終的には。一般人が公的なお墨付きのない機器でそんなことできる必要はないというか、それこそ公開鍵基盤が権威を必要とするのと一緒で、しちゃいけない。これは何処の国でも一緒。
日本だとパスポートの真贋確認が必要になる場面が少ないからコストに見合うベネフィットが無いんじゃないかって話。
そうでないならブログやスラドで文句垂れるより選挙なり署名なり集めてください。民主主義国家なんですから。
ドイツではありませんがEUに住んでます。
今住んでるところだ
Re: (スコア:0)
民間でもNTTデータとかが商売で改竄確認をしてるらしい
外務省は兵庫県警以下ってこったな
Re: (スコア:0)
民間人がどうやって偽造旅券に「疑義」を抱くの?
携帯電話の契約や古物品の買い取りでは本人確認が法律で義務付けられているけど、窓口担当者はエスパーか何かなの?
それとも1回ずつ警察にお願いして膨大なコストを掛けて真正性を確認してもらえばいい?
Re: (スコア:0)
公的なお墨付きのない機械でやる事じゃないって言っているのですが。別コメでNTTデータが商売で免許証のチェックしてるって話しがありましたが、そういうのはどんどんやればいいと思います。
Re: (スコア:0)
「民間でのパスポート確認」と言いつつ「官界でのパスポート確認」の話をしている例。