アカウント名:
パスワード:
公開鍵暗号方式ってのはその技術の名前であって、公開しなきゃならないって意味じゃないよね。技術者のくせに、技術の方式と制度を混同しているイタい人がいるってだけじゃ無い?
例えば、どこかの会社が、自社の装置に公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵は公開される必要はないよね。機能的にその必要は無い。そして、その鍵を公開するかどうかはその会社の専権事項だし、決める権利もある。もちろんそれは公開した事による問題が発生したら責任をとると言うことと表裏一体なわけだけども。だから「公開したからにはサポートをしろ」というような輩にも対応する義務が発生するし、今の技術ではゼロではないと言うレベルのリスクを懸念して公開しないのも通常の話。
今回もそう言う話だよね。
外務省が、パスポートに公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵を公開する必要はないよね。パスポートという機能からはその必要は無い。どっかのオッサンが売名行為だかなんだかしらんがアプリを作るってのはパスポートと言う仕組みの機能ではない。公開非公開の基準は責任と表裏一体だから、その職権の範疇で決める権限があるし、その責任は取ることになるのだから、その範囲での決定としては何の問題も無いでしょう。
どっかのオッサンが「公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もない」と盲信していることを外務省が鵜呑みにして、何かの時に問題が発生しても、どっかのオッサンが責任を取ってくれる訳でもないのだから、外務省の判断は当然。
最近こういう例は非常に多いと思う。こういう人がいると、技術者と言うだけで「相手を突然一方的に罵倒する頭がおかしい人」って扱いになるので勘弁して欲しい。
技術の方式と制度を混同しているイタい人って親コメのことじゃん。
「公開鍵だから公開しても問題はない」とは言ったけど、「公開鍵だから公開しなきゃならない」なんて言ってないよ。「行政文書だから公開しなきゃならない」って言ってるんだよ。
じゃあ、「行政文書」として公開してまえばいいよね。鍵部分は、セキュリティを理由にして黒塗りにしとけば、形式的には文句も言えないやろし。
セキュリティの問題は絶対にあり得ない、という主張は正しくないので、拒絶してよし。解決!
激しく同意。
行政文書だから公開するのが原則。やむをえず公開できない場合にだけ非公開も選べるってだけ。
そして公開鍵はいかなる意味でも公開することで不利益はないのだから、公開しなければならない。公開しないなんて回答は絶対にありえない。
非公開にするのは、公僕がその義務を果たしてないだけだ。
まあ、不利益はあるかもしれないね。公開鍵から計算によって秘密鍵を得ることは、不可能と言うわけではありませんからね。しかし、そんな天文学的に低いリスクを「不利益」として公開しない、ということが許されるのなら、どんな情報でも屁理屈を捏ねて「不利益」に結び付けて公開を拒否することができちゃいそうです。
ところで、「「公開鍵って名前だから公開しろ」って言うイタい人」ってどのくらい居ますか?
今回の情報公開請求に限らず、何らかの理由で更新が必要になる場合はあるよね。有効期限切れとか、それこそスパイとか手違いとかによる秘密鍵の流出とかさ。それらに対して更新手段が準備されていない、と言うわけじゃないんだろうから、それはそれでいいんじゃない?PKIってのは、そこまで準備して運用するもんだよ。
更新手段が準備されていないのであれば、それはそれでマヌケな話だけどさ。外務省って、そんなマヌケな集団なの? 知らんけど。
勝手アプリは勝手アプリなんだから、自己責任で構わんだろ。なにか責任を負う必要があるの?
日本国法に従って責任を負う必要があるのが政府という組織ですので、あなたが「必要あるの?」とか言った所でどうにもならないかと
キミは、日本政府を代弁して、「どうにかなる」人なの(失笑)?
民主主義とか言論の自由とか、学校で習いませんでしたか?意見を言うのは自由なんだから、それはそれでいいんじゃね?
そんな請求しても、個人情報保護を理由に公開を拒否されるだけじゃね?ためしに、キミが住所を知ってる知人の納税関連書類を取り寄せて公開してみなよ。
×適応 〇適用
はぁ?行政文書に個人情報保護は適応されませんよ?何を言ってるんですか?
その公開されるべき「行政文書」に他人の納税関連書類 [srad.jp]が含まれるんか?されてたら大変な話やと思うけど、キミはどう思う?
総務省のQ&A [soumu.go.jp]によれば、
Q7-7:開示請求が行われた場合、開示請求に係る保有個人情報のすべてが開示されることになるのですか。すべてについて開示されないことがある場合、どのような情報が不開示とされるのですか。A:行政機関の長は、開示請求が行われた場合には、開示請求の対象となっている保有個人情報に不開示情報が含まれている場合を除いて、開示請求者に対し、保有個人情報のすべてを開示しなければなりません(保護法第14条本文)。保護法は、このような原則開示の枠組みの下で開示範囲をできるだけ広げる観点から、不開示情報について、「○○に関する情報」などの不開示により保護しようとする情報の類型的な基準に、「○○を害するおそれ」などの定性的な基準を組み合わせることにより、明確かつ詳細に規定しています(第14条各号)。不開示情報の類型は、次のとおり、7類型あります。 本人に関する情報(保護法第14条第1号)本人に対して本人に関する情報を開示する場合であっても、開示することにより本人の利益を害するおそれがある場合があることから、開示請求者の生命、健康、生活又は財産を害するおそれがある情報を不開示情報としています。具体的には、カルテを患者本人に開示する場合に、患者の精神状態等からみて、開示により病状の悪化をもたらすおそれがあるような場合が想定されます。第三者に関する情報(同条第2号)開示請求の対象となっている保有個人情報の中に本人以外の第三者(個人)の情報が含まれている場合には、開示することにより、第三者の権利利益を害するおそれがあるため、第三者に関する情報を不開示情報としています。また、第三者に関する情報について、特定の個人を識別することができない場合であっても、開示することにより、なお個人の権利利益を害するおそれがある場合には、同様に不開示情報としています。ただし、人の生命、健康等を保護するために開示することが必要であると認められる場合には、例外的に開示されます。~中略~なお、開示請求に係る保有個人情報に、これまで説明してきたような不開示情報が含まれていても、不開示情報に該当する部分を容易に区分して除くことができる場合には、行政機関の長は、不開示情報に該当する部分を除いて開示しなければなりません(保護法第15条)。
Q7-7:開示請求が行われた場合、開示請求に係る保有個人情報のすべてが開示されることになるのですか。すべてについて開示されないことがある場合、どのような情報が不開示とされるのですか。
A:行政機関の長は、開示請求が行われた場合には、開示請求の対象となっている保有個人情報に不開示情報が含まれている場合を除いて、開示請求者に対し、保有個人情報のすべてを開示しなければなりません(保護法第14条本文)。
保護法は、このような原則開示の枠組みの下で開示範囲をできるだけ広げる観点から、不開示情報について、「○○に関する情報」などの不開示により保護しようとする情報の類型的な基準に、「○○を害するおそれ」などの定性的な基準を組み合わせることにより、明確かつ詳細に規定しています(第14条各号)。不開示情報の類型は、次のとおり、7類型あります。
本人に対して本人に関する情報を開示する場合であっても、開示することにより本人の利益を害するおそれがある場合があることから、開示請求者の生命、健康、生活又は財産を害するおそれがある情報を不開示情報としています。
具体的には、カルテを患者本人に開示する場合に、患者の精神状態等からみて、開示により病状の悪化をもたらすおそれがあるような場合が想定されます。
開示請求の対象となっている保有個人情報の中に本人以外の第三者(個人)の情報が含まれている場合には、開示することにより、第三者の権利利益を害するおそれがあるため、第三者に関する情報を不開示情報としています。また、第三者に関する情報について、特定の個人を識別することができない場合であっても、開示することにより、なお個人の権利利益を害するおそれがある場合には、同様に不開示情報としています。
ただし、人の生命、健康等を保護するために開示することが必要であると認められる場合には、例外的に開示されます。
~中略~
なお、開示請求に係る保有個人情報に、これまで説明してきたような不開示情報が含まれていても、不開示情報に該当する部分を容易に区分して除くことができる場合には、行政機関の長は、不開示情報に該当する部分を除いて開示しなければなりません(保護法第15条)。
今回もそれと同じく妥当な理由で拒否された
は?他人の納税情報は、「個人情報保護を理由に公開を拒否され」るだろうけど、CSCA証明書は、「個人情報保護を理由に公開を拒否され」たわけじゃないだろ。
妥当性が同じだ、という主張なのなら、まさにそこが議論になってるわけ。外務省が言うんだから妥当、という主張なの?だったら、もう解ったからGW中に済ませなきゃいけない宿題でもやってなさい。
批判したいがために内容になってますよね
> 技術者と言うだけで「相手を突然一方的に罵倒する頭がおかしい人」 昔はこれ、「モヒカン族」って言われてたと思うけど、あんまり定着しませんでしたね。言葉から思いつくビジュアルがまるで一致しなかったのが原因か...
「古くて」とか「時代が変わっても頑なに」みたいなことは書かれてない [wikipedia.org]様だけど。
だよね、通信する相手に公開する鍵であって、誰でも公開しなければならないというわけではないよね。
省が技術に精通している必要があるわけではないし、責任等の問題もあるわけだし、「暗号に関係する情報」だから、「技術的に問題ない」かは考慮に入れずに、一律NGとするのは、(技術的に不細工だったとしても)セキュリティ的にはおかしくないよね
オレオレ証明書ではないんでは?国際機関が管理してるようだし。
そこに公開鍵を持ち込む手順は外交ルートが必要、ってのは分かる。正しいキーかどうかは外交ルートで証明するしかないから。でも、そのキーを公開するのは外交ルート以外では駄目だ、ってのは正直理解できない。真正性を担保できないのかというと、情報開示請求の回答だから問題無いと思うしなぁ…。
だいたい、ドイツの組織が公開しちゃってるわけですよ。今更隠す意味あるんかな。隠しておけば安全だと思い込む宿痾があるんじゃないかと思うね…。※例えば情報収集衛星は軌道要素など全て極秘扱いらしいけど、打ち上げ直後からNORADが公開しちゃったり、あるいはアマチュアがトラッキングしてたりする。隠した所で今更意味無いのに建前上隠すんだよねぇ…。
ところで、公開鍵を隠すってことはパスポートの真正性を民間にはチェックさせたくない、ってことなのかな。公共の安全のためにはそっちの方がリスクありそうだけどな。
> 上位の証明書が存在する訳じゃないので、オレオレ証明書ですよ。
「オレオレ証明書」の定義によると思うけど、上位の証明書がなければオレオレ証明書なんだったら、(社内とかの)オレオレ認証局の下の証明書はオレオレ証明書じゃないし、世の中のルートCAはオレオレ証明書になってしまう。
どれ [atwiki.jp]だって言ってる?第四種辺り?
情報公開請求の本質を理解していないコメントに見えます
情報公開請求には、役所は原則は「開示」対応をするのです。不開示事由があるときだけ、「非開示」対応ができます。
なので、不開示事由がない本件は請求に応じて開示しなくてはなりません。
そこは論点にはならないように思えますあの不開示とした理由が妥当であると考える人が外務省以外に存在するのでしょうか
情報公開請求を受けた方が、なる理由を明示すべきだよね。「ならないように思えます」というのは、その「理由」が妥当でない、ということなのでは?妥当でないとする理由はいろいろ言われてるわけだし、妥当だとする理由も聞いてみたいね。
要は掛け算ってものを忘れてる。
キミこそ、公開鍵から秘密鍵を計算されるという非現実劇なリスク以外の現実的なリスクを忘れてる様に見えるね。当然、そう言うリスクが顕在化した場合への対策はあるんだろう。総合的にリスクはゼロにはならないんだから。なので、実質的に問題無いと言える。
だいたい、そんなにリスクリスク言うんなら、ドイツとかICAO PKDに抗議すべきなんじゃね?相手にされるかどうか知らんけど。
砂山とは関係ない。「総合的にリスクはゼロにならない」から、適切な対策をして、受容できるレベルのリスクは受容すればいい。
残念だけど、これは親コメが間違ってるな。ストーリー最後まで読めばわかるが、日本の公開鍵はドイツが公開してるんだから、公知の情報で秘密にするメリットは全くない。
そして手続き的にも問題がなかったわけだから、拒否した理由に最大の問題点がある。
外務省が言ってるのは「公開請求しても個人には公開しないよ」でしかなくって公開鍵を公開してないとは一言も言ってないなんか勘違いしてるよね。だから、批判したいがための行動になってんの。
最近なんか調子乗ってるというかなんというかでエンジニア界隈でも「馬鹿化」進んでるよね
公開請求は原則開示なのに、ネット上に公開している情報を個人の公開請求には公開しない理由は?答えられなきゃ法律違反だよ。
そんな素晴らしい先生とは出会ったことがありません。残念ながら
それは誤り。情報の内容は同一だからって、情報公開請求されてドイツから取ってきた情報を公開するわけにはいかない。省内の鍵管理担当者あたりが管理している書類に当たって、秘密鍵と公開鍵の両方が書いてある書類の秘密鍵の部分を塗りつぶしてとかやるのが基本でしょ。当然セキュリティ上のリスクは発生する。塗りつぶしミスも当然だが、不要な人の目に触れる事もあり得るし、鍵生成に関する情報が漏洩するかもしれない。秘密にするメリットは存在する。
別にドイツが公開するのは勝手だが、それで原則が変わるわけじゃない。というか公開鍵なんだから公開してもいいのは前提だよ。公開する過程でミスが起きたり、鍵生成の環境が漏れたり、あるいは他のセキュリティー上の問題が発生したり、そういう話。ついでに公開鍵の公開自体でトラブルが起きた時にドイツの責任になるか日本の責任になるかってのも大きい。
もちろん一方には情報公開法に反しないかっていう問題もある。
そんな理由で情報公開請求を拒否できるのなら、ありとあらゆるものを拒否できます。担当者のマヌケな間違いで機密情報を公開してしまうかもしれないから、ってね。
しかし、外務省を馬鹿にし過ぎじゃない?
個別論を一般論に拡張して批評するなら、何故個別の話を一般論にして「ありとあらゆるものを拒否できる」ようになるのか、その過程を明らかにするべきですよ
だって、ごく小さい影響しか考えられないリスクに対しても、「リスクがある」と言えて、拒否できるって理屈でしょ?そうでないのなら、そうでない理由が必要なんじゃない?
PKIがどう言うものか、外務省(の担当者)はよく解ってない、ってだけなんじゃね?
その出入国行政の専門家が、PKIの専門家の意見を理解してないのではないか、って言われていることを理解できてない?
いや、なんだか軽く考えてるみたいだけどこの秘密鍵が漏れたら世界中何十か国に通知して、既に発行したあらゆるパスポートを全部交換しないといけなくて、不法入国者やテロリストが気楽にパスポートを偽装できるようになって、最悪何百人単位の死者が出かねないんだぞ。
とうぜん、そう言う場合のオペレーションは決まってるだろ。そういうものも含めてPKIなんだよ。
そんなレベルの感覚で「んなミスは起こさんだろうww」のような判断をされた方が恐ろしいわ。
そんな低レベルの話じゃないよ。
だから、その運用規定の妥当性が議論されてるわけだよ。
現在の運用規定には、絶対間違いが無いし、意見を述べるべきでもないし、修正すべきでもない、っていう立場なの?もしそうなら、もうキミの意見は解った。もう出てこなくていいよ。
ドイツが公開してるから秘密にするメリットがないって?Oracleのサポートにそう質問してみたら?
そうだな、ドイツが公開しているかどうかに関わらず日本は公開すべきだ。
公開することによるリスクは、他のリスクに比べて必ずしも大きくない。当然それらリスクへの対策はあるはずで、公開することが殊更コストを押し上げるわけでも無い。
一方、公開することによるメリットは大きい。
言いたいことは解ります。
末端の外務省職員が暗号に無知だからってそれを非難するのは御門違いかと
それはそうですね。しかしそれなら、専門家に諮って回答すべきなんじゃないですかね?
そのLDAPサーバーは公開されてるのか?世間一般に公開されているのなら、日本政府から直接入手するのは邪道で、LDAPサーバからダウンロードするのが筋だし公開されていないのなら、入管当局や認証機器メーカーに限って公開すべき内容で、積極的に一般には公開すべきじゃない情報なのでは?
あと公開すべきかどうかとは別の話になるけど、個人情報入ったICカードの中身を表示する信頼できない第三者のアプリなんて危険すぎて使わないほうがいいな。件のサイトはパスポートは3回パスワード間違えるとロックがかかる免許証と異なりロックがないみたいな解説しているけど、ホントかわからんしこれ斜め読みすると [ipa.go.jp]、少なくとも15回連続で認証失敗すると恒久的に認証できなくするような仕様だという記述があるし、ソフトウェアに悪意やバグがあれば認証失敗を繰り返してパスポートを使い物にならないようにすることができるんじゃないか?
このアプリの作者の目的でもあるパスポートが本物かどうかの判断には公開鍵が必要なのでは。
外務省のルールが、法律よりも優先される訳もない
Q13 開示請求は誰でもできるのですか?A13 誰でもできます。国籍、年齢、性別、職業などは一切関係ありません。また、個人、法人のほか、法人でない社団等も請求できます。さらに、請求の目的も一切関係ありません。(参考)情報公開法第3条:「何人も、この法律の定めるところにより行政文書の開示を請求することができる」
https://www.mofa.go.jp/mofaj/public/johokokai/qa/qa03.html [mofa.go.jp]
開示に責任が伴うだけで、別にそれ自体開示されることは問題ないんじゃない?たとえば今後公開鍵が更新されて、それをドイツ政府がそのサイトのメンテナンスを怠って情報が古くなって対応ができなくなったとしても、それについて日本政府に文句を言うことはできないというメリットが日本政府にはあるわけ。
スキミング対策については、元のブログ [osstech.co.jp]に記載があるね。
Basic Access Controlの目的はスキミング対策です。 券面の記載情報を知っている人にだけICチップにアクセスできるよう、アクセスコントロールを行います。具体的には、パスポート番号 + 生年月日 + パスポートの有効期限を共通鍵として通信データを暗号化します。 これによってパスポートを実際に手にしている人やOCR読み取りを行う空港の機械だけがICチップにアクセスでき、 満員電車でギュウギュウ詰めになったときに知らない人にICチップを読み取られるという危険を防いでいます。暗証番号でアクセスコントロールを行う運転免許証と比べて使いやすい反面、間違えてもロックされないので総当り攻撃の心配はあります。
Basic Access Controlの目的はスキミング対策です。 券面の記載情報を知っている人にだけICチップにアクセスできるよう、アクセスコントロールを行います。
具体的には、パスポート番号 + 生年月日 + パスポートの有効期限を共通鍵として通信データを暗号化します。 これによってパスポートを実際に手にしている人やOCR読み取りを行う空港の機械だけがICチップにアクセスでき、 満員電車でギュウギュウ詰めになったときに知らない人にICチップを読み取られるという危険を防いでいます。
暗証番号でアクセスコントロールを行う運転免許証と比べて使いやすい反面、間違えてもロックされないので総当り攻撃の心配はあります。
例えば元ブログのアプリに悪意があった場合は対抗できないかと。
その通り。それは、CSCA証明書が公開されていようと、されていまいと関係ない。
関係しない。思うだけじゃダメだ。きちんと考えろ。なぜ関係すると考えた?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
公開鍵とは仕組みの名前でしかない (スコア:2, 興味深い)
公開鍵暗号方式ってのはその技術の名前であって、公開しなきゃならないって意味じゃないよね。
技術者のくせに、技術の方式と制度を混同しているイタい人がいるってだけじゃ無い?
例えば、どこかの会社が、自社の装置に公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵は公開される必要はないよね。機能的にその必要は無い。
そして、その鍵を公開するかどうかはその会社の専権事項だし、決める権利もある。
もちろんそれは公開した事による問題が発生したら責任をとると言うことと表裏一体なわけだけども。だから「公開したからにはサポートをしろ」というような輩にも対応する義務が発生するし、今の技術ではゼロではないと言うレベルのリスクを懸念して公開しないのも通常の話。
今回もそう言う話だよね。
外務省が、パスポートに公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵を公開する必要はないよね。パスポートという機能からはその必要は無い。どっかのオッサンが売名行為だかなんだかしらんがアプリを作るってのはパスポートと言う仕組みの機能ではない。
公開非公開の基準は責任と表裏一体だから、その職権の範疇で決める権限があるし、その責任は取ることになるのだから、その範囲での決定としては何の問題も無いでしょう。
どっかのオッサンが「公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もない」と盲信していることを外務省が鵜呑みにして、何かの時に問題が発生しても、どっかのオッサンが責任を取ってくれる訳でもないのだから、外務省の判断は当然。
最近こういう例は非常に多いと思う。
こういう人がいると、技術者と言うだけで「相手を突然一方的に罵倒する頭がおかしい人」って扱いになるので勘弁して欲しい。
Re:公開鍵とは仕組みの名前でしかない (スコア:5, すばらしい洞察)
技術の方式と制度を混同しているイタい人って親コメのことじゃん。
「公開鍵だから公開しても問題はない」とは言ったけど、
「公開鍵だから公開しなきゃならない」なんて言ってないよ。
「行政文書だから公開しなきゃならない」って言ってるんだよ。
Re:公開鍵とは仕組みの名前でしかない (スコア:2)
じゃあ、「行政文書」として公開してまえばいいよね。
鍵部分は、セキュリティを理由にして黒塗りにしとけば、形式的には文句も言えないやろし。
セキュリティの問題は絶対にあり得ない、という主張は正しくないので、拒絶してよし。解決!
Re: (スコア:0)
激しく同意。
行政文書だから公開するのが原則。
やむをえず公開できない場合にだけ非公開も選べるってだけ。
そして公開鍵はいかなる意味でも公開することで不利益はないのだから、公開しなければならない。
公開しないなんて回答は絶対にありえない。
非公開にするのは、公僕がその義務を果たしてないだけだ。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
まあ、不利益はあるかもしれないね。
公開鍵から計算によって秘密鍵を得ることは、不可能と言うわけではありませんからね。
しかし、そんな天文学的に低いリスクを「不利益」として公開しない、ということが許されるのなら、
どんな情報でも屁理屈を捏ねて「不利益」に結び付けて公開を拒否することができちゃいそうです。
ところで、「「公開鍵って名前だから公開しろ」って言うイタい人」ってどのくらい居ますか?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
今回の情報公開請求に限らず、何らかの理由で更新が必要になる場合はあるよね。
有効期限切れとか、それこそスパイとか手違いとかによる秘密鍵の流出とかさ。
それらに対して更新手段が準備されていない、と言うわけじゃないんだろうから、それはそれでいいんじゃない?
PKIってのは、そこまで準備して運用するもんだよ。
更新手段が準備されていないのであれば、それはそれでマヌケな話だけどさ。
外務省って、そんなマヌケな集団なの? 知らんけど。
勝手アプリは勝手アプリなんだから、自己責任で構わんだろ。
なにか責任を負う必要があるの?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
日本国法に従って責任を負う必要があるのが政府という組織ですので、あなたが「必要あるの?」とか言った所でどうにもならないかと
キミは、日本政府を代弁して、「どうにかなる」人なの(失笑)?
民主主義とか言論の自由とか、学校で習いませんでしたか?
意見を言うのは自由なんだから、それはそれでいいんじゃね?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
そんな請求しても、個人情報保護を理由に公開を拒否されるだけじゃね?
ためしに、キミが住所を知ってる知人の納税関連書類を取り寄せて公開してみなよ。
Re:公開鍵とは仕組みの名前でしかない (スコア:2)
×適応 〇適用
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
はぁ?行政文書に個人情報保護は適応されませんよ?何を言ってるんですか?
その公開されるべき「行政文書」に他人の納税関連書類 [srad.jp]が含まれるんか?
されてたら大変な話やと思うけど、キミはどう思う?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
総務省のQ&A [soumu.go.jp]によれば、
Re: Re:公開鍵とは仕組みの名前でしかない (スコア:1)
今回もそれと同じく妥当な理由で拒否された
は?
他人の納税情報は、「個人情報保護を理由に公開を拒否され」るだろうけど、
CSCA証明書は、「個人情報保護を理由に公開を拒否され」たわけじゃないだろ。
妥当性が同じだ、という主張なのなら、まさにそこが議論になってるわけ。
外務省が言うんだから妥当、という主張なの?
だったら、もう解ったからGW中に済ませなきゃいけない宿題でもやってなさい。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
批判したいがために内容になってますよね
Re: (スコア:0)
役人だというだけでサンドバックか何かだと思っている奴が多すぎる
最近だいぶ減ってきたと思ってたが、未だにしつこくいる。こういう奴がどんだけ世の中の生産性を下げてることか
Re: (スコア:0)
> 技術者と言うだけで「相手を突然一方的に罵倒する頭がおかしい人」
昔はこれ、「モヒカン族」って言われてたと思うけど、あんまり定着しませんでしたね。
言葉から思いつくビジュアルがまるで一致しなかったのが原因か...
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
「古くて」とか「時代が変わっても頑なに」みたいなことは書かれてない [wikipedia.org]様だけど。
Re: (スコア:0)
だよね、通信する相手に公開する鍵であって、
誰でも公開しなければならないというわけではないよね。
省が技術に精通している必要があるわけではないし、責任等の問題もあるわけだし、
「暗号に関係する情報」だから、「技術的に問題ない」かは考慮に入れずに、
一律NGとするのは、(技術的に不細工だったとしても)セキュリティ的にはおかしくないよね
Re: (スコア:0)
オレオレ証明書ではないんでは?
国際機関が管理してるようだし。
そこに公開鍵を持ち込む手順は外交ルートが必要、ってのは分かる。正しいキーかどうかは外交ルートで証明するしかないから。
でも、そのキーを公開するのは外交ルート以外では駄目だ、ってのは正直理解できない。
真正性を担保できないのかというと、情報開示請求の回答だから問題無いと思うしなぁ…。
だいたい、ドイツの組織が公開しちゃってるわけですよ。今更隠す意味あるんかな。
隠しておけば安全だと思い込む宿痾があるんじゃないかと思うね…。
※例えば情報収集衛星は軌道要素など全て極秘扱いらしいけど、打ち上げ直後からNORADが公開しちゃったり、あるいはアマチュアがトラッキングしてたりする。隠した所で今更意味無いのに建前上隠すんだよねぇ…。
ところで、公開鍵を隠すってことはパスポートの真正性を民間にはチェックさせたくない、ってことなのかな。
公共の安全のためにはそっちの方がリスクありそうだけどな。
Re: (スコア:0)
>公開鍵を隠すってことはパスポートの真正性を民間にはチェックさせたくない、ってことなのかな。
どうしてそんな邪推をしちゃったんですかね。
Re:公開鍵とは仕組みの名前でしかない (スコア:2)
> 上位の証明書が存在する訳じゃないので、オレオレ証明書ですよ。
「オレオレ証明書」の定義によると思うけど、上位の証明書がなければオレオレ証明書なんだったら、(社内とかの)オレオレ認証局の下の証明書はオレオレ証明書じゃないし、世の中のルートCAはオレオレ証明書になってしまう。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
どれ [atwiki.jp]だって言ってる?
第四種辺り?
Re: (スコア:0)
情報公開請求の本質を理解していないコメントに見えます
情報公開請求には、役所は原則は「開示」対応をするのです。
不開示事由があるときだけ、「非開示」対応ができます。
なので、不開示事由がない本件は請求に応じて開示しなくてはなりません。
Re: (スコア:0)
単に技術的な観点、あるいは「公開鍵」という名前だけに引っ張られて公開されないのは不当だと罵倒している痛い人はいますけど、そんな単純な話ではないのですよ。
Re: (スコア:0)
そこは論点にはならないように思えます
あの不開示とした理由が妥当であると考える人が外務省以外に存在するのでしょうか
Re: (スコア:0)
あと、理由が妥当だと思う人は結構いるみたいだけど、どうして「外務省以外に存在するのでしょうか」なんて疑問を持ったかも教えて
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
情報公開請求を受けた方が、なる理由を明示すべきだよね。
「ならないように思えます」というのは、その「理由」が妥当でない、ということなのでは?
妥当でないとする理由はいろいろ言われてるわけだし、妥当だとする理由も聞いてみたいね。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
要は掛け算ってものを忘れてる。
キミこそ、公開鍵から秘密鍵を計算されるという非現実劇なリスク以外の現実的なリスクを忘れてる様に見えるね。
当然、そう言うリスクが顕在化した場合への対策はあるんだろう。総合的にリスクはゼロにはならないんだから。
なので、実質的に問題無いと言える。
だいたい、そんなにリスクリスク言うんなら、ドイツとかICAO PKDに抗議すべきなんじゃね?
相手にされるかどうか知らんけど。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
砂山とは関係ない。
「総合的にリスクはゼロにならない」から、適切な対策をして、受容できるレベルのリスクは受容すればいい。
Re: (スコア:0)
残念だけど、これは親コメが間違ってるな。ストーリー最後まで読めばわかるが、日本の公開鍵はドイツが公開してるんだから、公知の情報で秘密にするメリットは全くない。
そして手続き的にも問題がなかったわけだから、拒否した理由に最大の問題点がある。
Re: (スコア:0)
外務省が言ってるのは「公開請求しても個人には公開しないよ」でしかなくって
公開鍵を公開してないとは一言も言ってない
なんか勘違いしてるよね。
だから、批判したいがための行動になってんの。
最近なんか調子乗ってるというかなんというかで
エンジニア界隈でも「馬鹿化」進んでるよね
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
公開請求は原則開示なのに、ネット上に公開している情報を個人の公開請求には公開しない理由は?
答えられなきゃ法律違反だよ。
Re: Re:公開鍵とは仕組みの名前でしかない (スコア:1)
そんな素晴らしい先生とは出会ったことがありません。残念ながら
Re: (スコア:0)
それは誤り。
情報の内容は同一だからって、情報公開請求されてドイツから取ってきた情報を公開するわけにはいかない。
省内の鍵管理担当者あたりが管理している書類に当たって、秘密鍵と公開鍵の両方が書いてある書類の秘密鍵の部分を塗りつぶしてとかやるのが基本でしょ。
当然セキュリティ上のリスクは発生する。
塗りつぶしミスも当然だが、不要な人の目に触れる事もあり得るし、鍵生成に関する情報が漏洩するかもしれない。
秘密にするメリットは存在する。
別にドイツが公開するのは勝手だが、それで原則が変わるわけじゃない。
というか公開鍵なんだから公開してもいいのは前提だよ。
公開する過程でミスが起きたり、鍵生成の環境が漏れたり、あるいは他のセキュリティー上の問題が発生したり、そういう話。
ついでに公開鍵の公開自体でトラブルが起きた時にドイツの責任になるか日本の責任になるかってのも大きい。
もちろん一方には情報公開法に反しないかっていう問題もある。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
そんな理由で情報公開請求を拒否できるのなら、ありとあらゆるものを拒否できます。
担当者のマヌケな間違いで機密情報を公開してしまうかもしれないから、ってね。
しかし、外務省を馬鹿にし過ぎじゃない?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
個別論を一般論に拡張して批評するなら、何故個別の話を一般論にして「ありとあらゆるものを拒否できる」ようになるのか、その過程を明らかにするべきですよ
だって、ごく小さい影響しか考えられないリスクに対しても、「リスクがある」と言えて、拒否できるって理屈でしょ?
そうでないのなら、そうでない理由が必要なんじゃない?
PKIがどう言うものか、外務省(の担当者)はよく解ってない、ってだけなんじゃね?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
その出入国行政の専門家が、PKIの専門家の意見を理解してないのではないか、って言われていることを理解できてない?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
いや、なんだか軽く考えてるみたいだけどこの秘密鍵が漏れたら世界中何十か国に通知して、既に発行したあらゆるパスポートを全部交換しないといけなくて、不法入国者やテロリストが気楽にパスポートを偽装できるようになって、最悪何百人単位の死者が出かねないんだぞ。
とうぜん、そう言う場合のオペレーションは決まってるだろ。
そういうものも含めてPKIなんだよ。
そんなレベルの感覚で「んなミスは起こさんだろうww」のような判断をされた方が恐ろしいわ。
そんな低レベルの話じゃないよ。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
だから、その運用規定の妥当性が議論されてるわけだよ。
現在の運用規定には、絶対間違いが無いし、意見を述べるべきでもないし、修正すべきでもない、っていう立場なの?
もしそうなら、もうキミの意見は解った。
もう出てこなくていいよ。
Re: (スコア:0)
ドイツが公開してるから秘密にするメリットがないって?
Oracleのサポートにそう質問してみたら?
Re:公開鍵とは仕組みの名前でしかない (スコア:2, すばらしい洞察)
そうだな、ドイツが公開しているかどうかに関わらず日本は公開すべきだ。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
公開することによるリスクは、他のリスクに比べて必ずしも大きくない。
当然それらリスクへの対策はあるはずで、公開することが殊更コストを押し上げるわけでも無い。
一方、公開することによるメリットは大きい。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
言いたいことは解ります。
末端の外務省職員が暗号に無知だからってそれを非難するのは御門違いかと
それはそうですね。
しかしそれなら、専門家に諮って回答すべきなんじゃないですかね?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
そのLDAPサーバーは公開されてるのか?
世間一般に公開されているのなら、日本政府から直接入手するのは邪道で、LDAPサーバからダウンロードするのが筋だし
公開されていないのなら、入管当局や認証機器メーカーに限って公開すべき内容で、積極的に一般には公開すべきじゃない情報なのでは?
あと公開すべきかどうかとは別の話になるけど、個人情報入ったICカードの中身を表示する
信頼できない第三者のアプリなんて危険すぎて使わないほうがいいな。
件のサイトはパスポートは3回パスワード間違えるとロックがかかる免許証と異なりロックがないみたいな解説しているけど、ホントかわからんし
これ斜め読みすると [ipa.go.jp]、少なくとも15回連続で認証失敗すると恒久的に認証できなくするような仕様だという記述があるし、ソフトウェアに悪意やバグがあれば認証失敗を繰り返してパスポートを使い物にならないようにすることができるんじゃないか?
Re: (スコア:0)
このアプリの作者の目的でもあるパスポートが本物かどうかの判断には公開鍵が必要なのでは。
Re: (スコア:0)
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
外務省のルールが、法律よりも優先される訳もない
Q13 開示請求は誰でもできるのですか?
A13 誰でもできます。国籍、年齢、性別、職業などは一切関係ありません。また、個人、法人のほか、法人でない社団等も請求できます。さらに、請求の目的も一切関係ありません。
(参考)情報公開法第3条:「何人も、この法律の定めるところにより行政文書の開示を請求することができる」
https://www.mofa.go.jp/mofaj/public/johokokai/qa/qa03.html [mofa.go.jp]
Re:公開鍵とは仕組みの名前でしかない (スコア:2, すばらしい洞察)
開示に責任が伴うだけで、別にそれ自体開示されることは問題ないんじゃない?
たとえば今後公開鍵が更新されて、それをドイツ政府がそのサイトのメンテナンスを怠って情報が古くなって対応ができなくなったとしても、それについて日本政府に文句を言うことはできないというメリットが日本政府にはあるわけ。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
スキミング対策については、元のブログ [osstech.co.jp]に記載があるね。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
例えば元ブログのアプリに悪意があった場合は対抗できないかと。
その通り。
それは、CSCA証明書が公開されていようと、されていまいと関係ない。
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
関係しない。
思うだけじゃダメだ。きちんと考えろ。
なぜ関係すると考えた?