2002/11/05 Joe Yuichiro Wakano
つい先日、From:フィールドが改竄(かいざん)されたウィルスメールが学校の中で流行しました。
Aさん:「Bさんからウィルスメールがきたよー」
Bさん:「なにー!」
Bさん:「えーウィルスチェックしても何もでないよー」
Aさん:「どういうこと?」
といった混乱が発生。From:フィールドが実際の送信者の身元保証にはなっていない事をついた攻撃でした。またどの部局でもそうだと思いますが、外部極秘な情報などもメールを通じてやりとりされ、さらにそれらのメールは各ユーザの転送設定などを通じて学外へもいっていたりします。危険きわまりないです。
メールというものは、途中さまざまな経由地点を通過して、送り先に届けられます。途中で経由するサーバーに悪意があったり、あるいは悪意あるクラッカーに乗っ取られていたりした場合、情報は筒抜けです。そうでなくても、アドレスを書き間違えて、エラーメールが送信者にも返信不可能な場合、このメールはメールサーバ管理者にエラーメールとして届きます。これはつまり、悪意がなくとも管理者はメールを読めるということです。実際私のところにも、いろんなメール(笑;が届きます。
諸悪の根元は、まるでお釈迦様のような性善説に基づいて作られたSMTPの仕組みにあるとはいえ、これには歴史的な理由があるので、いまさらどうしようもありません。となれば、各ユーザが自分(および自分の所属組織や関係者)のセキュリティを守る責任があるというものでしょう。そのために存在するのが、PGPです。
PGPとはE-mailの盗聴や改竄の防止、送信者の身元保証などをしてくれるナイスな仕組み
です。
このページでは、PGPの詳しい仕組みや公開鍵暗号の説明などはとりあえずおいといて、具体的に
どうすればPGPを使えるようになるのか?
について焦点を絞って、自分の苦労話を披露しようと思います。
私がこの時点で使っていたメーラーは以下の通り。
Becky!2だけはPGPプラグインがデフォルトで入っているものの、あとのソフトはプラグインレベルでは対応してません。そこで必然的にBecky!2+PGPプラグイン、という道を選んだわけですが、どうもこのプラグインは、PGPfreeware6.5.1iのコマンドライン版を必要とするらしい。ところが、95/98/XP版は発見したものの、Windows2000用が見つからない。またWEBで調べると、昔からあるPGP2.6やらPGP5.XやらPGP7やらが氾濫していて、もう何が何だか分かりません。当時の私の心境としては、
PGPfreewareはいろんなバージョンがあって、わけわからん
てな感じでしたねー。その上、最近PGPfreewareの商品版は市場から撤退したそうな。このソフト、わけわかんないまま、世の中から消えていきそうなイヤーな予感・・・ そこへ救世主のようにあらわれたのがGNUPG。名前の通りGNU版のPGPクライアントです。
PGPというのはもともとソフトの名前でしたが、現在ではWWWなどと同じく仕組みの名前です。IEやNetscape,Opera,HotJavaなどWWWが使えるソフトがいろいろあるように、PGPを使えるソフトも複数あります。
GNUのソフトは通常GPLとよばれるライセンスで配布されます。GPLは無償であり、普通の人にとってはフリーウェアと認識しておいて特に問題はないでしょう。ただし一部の人にとってGNUは宗教であり、某金儲け主義市場独占会社に戦いを挑む熱い人々の旗印として・・・(以下略 笑;)
GNUPGはコマンドラインベースのソフトで、UNIXなどでCUI環境で使うにはいいものの、Windows環境でそのまま使うにはつらいものがあります。Windowsで使うなら、WinPTも一緒にインストールしましょう。この2つのインストール&簡単な使用法は、このページがとても参考になります。さらに、荒川靖弘さんが作成されたBkGnuPGというBecky!2用プラグインにより、GNUPGをBecky!2で簡単に使えるようになります。まとめると
GNUPG + WinPT + Becky!2 + BkGnuPG
Becky!2はシェアウェアですが、30日間の試用期間があります。あとの3つはフリーです。
となります。しかし、GNUPG+WinPTさえあれば、メールソフト用のプラグインなどがなくても、CTRL+ALT+Sなどにキー割り当てができるので、比較的楽ちんに署名と暗号化を行えます。つまり
PGPを使うにはメールソフト側の対応は絶対必要というわけではありません
使い慣れたメールソフトで、それなりに快適にPGPを利用できます。とはいえ、プラグインがあるほうがやっぱり楽でしょうが・・・ 逆に、プラグインがある場合でも、鍵の管理などでWinPTは事実上必須と言えるでしょう。ちなみに
Becky!2にデフォルトでついてくるプラグインはGNUPGに対応してません
ので注意・・・
さてさて、インストールは終わりました? 以下のページが参考になります。
http://pgp.iijlab.net/
http://www.remus.dti.ne.jp/~grn/gpg.html
http://www.tokai-ic.or.jp/tic/tech/pgp/
http://www.comel.or.jp/~joker/pgpg/index.shtml
http://hp.vector.co.jp/authors/VA023900/gpg-pin/
では早速電子署名を試しましょう。まずは上のページを参考にして、自分の公開鍵と秘密鍵のセットを作成して下さい・・・ などと書いてるとちょっと大変なので、その辺は他のページを参考にするなどして、やってみてください(←無責任w)。BkGnuPGはかなりよくできてるので、何も考えずに「GnuPG:署名」って選んで、パスフレーズを入力すれば、電子署名してくれます。メールを受け取る相手もPGP環境にいるなら、「GnuPG:署名と暗号化」をえらべばさくっと暗号化してくれます。電子署名つきのメールを確認したいなら、送信者の公開鍵をWinPTで登録したあと、「GnuPG:復号化と検証」を選べば一発です。簡単ですねー
とはいえ、ここまで来るにはいろんな苦労があったりします。この苦労の90%は、PGP完全対応型メールソフトがないことに由来してます。いろんなソフトを組み合わせて使う必要があるので、難しいわけですね。PGP自体は、決してそんな難しいもんではありません。
基本的な事項:
私がはまった事など: