いきなりですが問題です.
アリスが「ボブと通信したい」と申し出たとき、鍵配布センターはセッション鍵というものをわざわざ新しく作り、それを暗号化してアリスに渡しました。
どうして鍵配布センターは、「ボブの鍵」をアリスの鍵で暗号化してアリスに渡さなかったのでしょうか。
以下の本のp.116,第5章のクイズ1です.
同じページに「解答はp.152」とも書かれていますが,それどころではないでしょう.「ボブの鍵(秘密鍵)を,アリスが知ることができるように,鍵配布センターからアリスに送るのは,ダメに決まっている!」と言いたくなります.
この件,フィッシングや振り込め詐欺を,外から見ているかのようでもあります.冷静になれば「そんなことしたらダメ」なのですが,言われるままに,してはいけないということです.まあプロトコルの想定としては,鍵配布センターは信頼される第三者であり,共有している利用者との鍵を漏洩するような行動は,しないのですが.
続いてですが問題です.第13章(PGP)のp.358,クイズ3です.
アリスが、ジェリーという人の公開鍵を入手したところ、その公開鍵には10個の正当なデジタル署名がついていました。この公開鍵は正当だと判断できますか。
PGPについて,インターネット上で使われている他の暗号技術(SSL/TLS,SSH,VPN)と異なる点として,「通信ではなく,ファイルやメールを暗号化する」「他の人の公開鍵にデジタル署名をつけることで,その鍵が使用できる」を押さえておきましょう.
セキュリティからいったん離れて,このクイズで連想するのは,大学生のときに古本で購入した,ブラックジョークの本です.
- メディア: 文庫
PGPの上記クイズですが,10個でも1000個でも,正当なデジタル署名がついているというのを理由に,受け取った公開鍵を正当と判断するわけにはいきません.それらは参考情報であり,実際のところは,受け取って,その鍵にデジタル署名をすべきか否かを検討する自分自身が,正当性の判断をしないといけないのです.
このことについて『暗号技術入門 第3版』では,p.357に「公開鍵の正当性と所有者信頼は別」という小見出しをつけて,解説しています.一つ前のページの「自分が常に信頼している人のデジタル署名によって確認する」も,関連すると言っていいでしょう.
この出題のセキュリティ以外への応用としては,ネット上の発言の信頼性・妥当性をどのように検証するかです.Twitterのフォロワー数や「いいね」の数は必ずしも,信頼度や妥当性に寄与しませんし,あるツイートに対し「意味不明です」とリプライし,「私も」が続いたとしても,意味が通じるのか不明なのかは,読み手それぞれが判断することとなります.
