パスワードを忘れた? アカウント作成
13100445 story
暗号

PGPは有害無益? 35

ストーリー by hylom
何年も使っていない 部門より
あるAnonymous Coward 曰く、

PGPが事実上唯一の暗号化メッセージ手段だった時代は終わり、暗号の専門家たちは「前からPGPには利点よりも問題のほうが多いと思っていた」Bruce Schneier)、「長期に渡って安全に保管しなければならない鍵のモデルには見切りをつけることにした」(Filippo Valsorda)などとPGPに対する疑問を表明している(Ars Technica)。彼らはSignalなどのメッセージングアプリを好む傾向があるようだ。読者諸氏は、暗号化メッセージが必要な場面でどのようなツールを選択しているだろうか。

最近はGnuPGTOFUを取り入れるなどトラストモデルを改善しているものの、Valsordaによれば「GnuPG単独の問題ではない。PGPそのものがうまくいっていないのだ」という。「暗号化メールが来るのは多くても年に二通。UXも昔からひどいまま。しかし本当の問題点は、鍵を大事にすればするほどアタックサーフェスを広げることになるという、長期鍵の根本にある危険性だ」として、クラウド業界では有名なペットと家畜の比喩を持ち出している。鍵に名前を付けて、障害があったときに手間暇かけて対応するのはナンセンスだ、鍵は使い捨てにすべきだという意見だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年12月21日 14時30分 (#3133413)

    PGPの公開鍵をemailアドレスとともに登録したらspamがたくさん来るようになった。

    • by Anonymous Coward on 2016年12月21日 16時15分 (#3133473)

      自分はGPGだけど、公開配布サーバーに登録するのは良いことではない印象。
      本名やメールアドレスが公開されるし、一度登録したら削除するすべがない。
      鍵の失効登録はできるけど、存在を消し去ることができない。

      親コメント
  • by Anonymous Coward on 2016年12月21日 14時39分 (#3133417)

    友達の友達のアルカイダさん達が積極的に使っていたために、
    後手後手に回ってしまったあの組織は。
    色々な方法で消えて貰うための努力していそうですよね。
    皆がダダ漏れメッセージアプリで、秘匿せず通信してくれれば捜査も操作も楽でしょうよ。

    • by Anonymous Coward

      某Messengerアプリのこと?

  • by Anonymous Coward on 2016年12月21日 14時46分 (#3133420)

    なりすましやパスワード流出の被害にあったときにアカウントを作り直すぐらいじゃないと同等にはならないと思うのだけど、
    そこまでしている人はどのぐらいいるのだろうか。

    • by Anonymous Coward

      なぜ? パスワード変えればいいのでは?
      常に安全にできるとは限らないのは承知していますが、できるケースも多いでしょう。

      また、いまどきのサービスにはたいてい二段階認証がありますし、
      PGPの鍵の管理より、安全に運用しやすいのは否定できないと思います。

  • by Anonymous Coward on 2016年12月21日 14時49分 (#3133422)

    ThunderbirdがEnigmailを標準機能にする予定っぽい。
    https://wiki.mozilla.org/Thunderbird/StatusMeetings/2016-04-19#PatrickB [mozilla.org]

    • by Anonymous Coward

      S/MIMEは対応してるクライアントは多いが、PGP/GPGの対応がデフォルトじゃないのは、やはりお金が関わる(S/MIMEで商売する業者がいる)からなんだろうか。
      つか、メール業界では巨人なGoogleが鍵作成から鍵配布まで一括でやってくれたらどれだけ多くの人のセキュリティが向上するか。
      メールの内容連動の広告をやってるし、あり得ないか。

      にしても、ネタにもあるオススメのSignalをiPhoneにインストールしてみてSMS認証も通ったんだが、使うためにはアドレス帳権限を与えないと使わしてくれないのはセキュリティ上どうなのか。
      他人に自分の情報を見せたくないから暗号化したり情報を渡さないようにしてるのに、渡さないと使わせないというのはいかがなものか。こちらもセキュアなメッセンジャーと言われるTelegramも昔は同様の酷さだったけど、今はアドレス帳権限なしでも使えるようだ。

      • by Anonymous Coward

        Gmailのウェブインターフェースおよび純正クライアントではS/MIME署名の検証くらいはやってほしいよね。自分で署名ができないのはともかくとして。

      • by Anonymous Coward

        その割には糞のような対応じゃないかS/MIME
        http://blog.livedoor.jp/k_urushima/archives/1729954.html [livedoor.jp]

        • by Anonymous Coward

          それはOutlook Expressがクソなだけでは・・・
          まぁ利用者が本当に少ないのでイマイチな対応なのは事実かもしれないが。
          ビジネスマンでもEmailが生テキストで送受信され、リレーする人に見られる、ということを認識してない人がほとんどだし。

  • by Anonymous Coward on 2016年12月21日 14時51分 (#3133423)

    よく読んでないけどまさか何が仕掛けられてるかわからないアプリとPGPでアプリの方が安全って言ってるんじゃないよね?

  • by Anonymous Coward on 2016年12月21日 15時06分 (#3133428)

    手元のファイルのお手軽な暗号化によく使ってる。

  • by Anonymous Coward on 2016年12月21日 15時15分 (#3133436)

    方や鍵が漏れる事を前提
    方や鍵は漏らさない事を前提

    • by Anonymous Coward

      短期的には漏らさない前提でもいいんだけど
      長期的(半永久的)にも漏れない(漏れたら破綻)という前提はまずいんじゃないのってことなのでは

      • by Anonymous Coward

        鍵が漏れるだろうから安全でないって・・・
        その前提崩れるとPGPに限らず公開鍵方式使ったサービス全部使えないんだがいいがかりも酷いな。

        • by Anonymous Coward

          ルート証明書並に鍵の長期厳重管理をするには、
          個人レベルでは難しくなってきている。
          ということなのかな。

        • by Anonymous Coward

          PGPで漏れてよいのは公開鍵であって、秘密鍵ではない。
          秘密鍵を漏れなくする&漏れた場合の対応が大変。って話だろ。
          公開鍵暗号方式だと自己証明が出来るので署名にも使えるわけだけど、判子を嫌う里のものからしたら極悪極まりわないものにみえるってことではないかと。

  • by Anonymous Coward on 2016年12月21日 22時23分 (#3133643)

    私個人の利用状況では、暗号化より署名の恩恵が大きいです。
    Debianのパッケージは署名されているのでミラーサイトを利用しても本家と同じ程度に安心。

    ところで暗号化のほうですが、以前はパスワード情報などをメールに書いて
    暗号化して自分に送っていました(メールだと、どこに置いたかで迷わないので)。
    ところが、暗号方式に欠陥がみつかるなどして無効になるものがぽちぽち。
    aptで無意識にPGP(実際はGnuPGか)のバージョンが上がっていて、
    いざデコードしようとすると開けない、なんてことに。

    # 余談のほうが長い

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...