パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに」記事へのコメント

  • by Anonymous Coward on 2018年03月01日 18時42分 (#3369585)

    GPKIが必要なのは確かなので、結局どーすりゃいいのさ。

    Webサイトに手順を書いて、日本中のじーちゃんばーちゃんに手作業でルート証明書をインストールさせるのが正しい状態だとはいえんだろう。

    • 今はLet’s Encryptという便利なものがあるんですよ
      認証?ドメイン認証してれば政府だとわかるでしょ(雑)

      親コメント
    • by Anonymous Coward on 2018年03月01日 18時45分 (#3369586)

      自分で書いてて気づいた。別に政府だからってルート証明書でなくてもいいよな。

      親コメント
      • 詰まるところ、そこなんですよね。
        そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?
        「なんか新しい既得利権っぽいぜヒャッホー」くらいの勢いでやっちゃったんでしょうか?

        官公庁の風習として、一度決めたことを覆すのは、太平洋のどこかに落ちた1円玉1つを探すよりも大変、
        と言われたりもしますが、今からでも遅くはないので、あきらめたらどうなんでしょう?

        • by Anonymous Coward

          郵便みたいに、あらゆる手続きに無くてはならないサービスだから。
          どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、
          その企業が変な所に買収されないように、とか色々と考えなきゃならない。

          と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。

          • そんな大層な話じゃなくて、総務省のB-CASや財務省のe-TAXと同じように、「国」の許認可や認証を使っての、天下り利権を構築したいだけなんじゃないですかね。経産省あたりが。
            うまく構築できたら、外郭団体なり経営実態のあやしい関係会社なりが日本国内の企業や団体のSSL鍵の認証を一手に仕切って(国が認めた以外のSSL鍵は使用禁止とかの法律で裏付けるようにして)、ボッタクリ価格で認証するようにするんですよ。

            親コメント
            • by Anonymous Coward

              であれば、"利便性のために"他のルート認証局に認証してもらって、
              「なんか通常の認証局では保証さない日本政府独自の素敵なセキリティー」
              を提供する機関としても良いような

              # 利便性の手間賃と、プレミアム()サービスの付加価値で、価格を高くする理由にもなるし

            • by Anonymous Coward

              レビューでごたごたあった中に、「発行するキーのドメインはgo.jp限定にしました」、みたいな話がったよね。

        • by Anonymous Coward

          理屈の上では、海外の民間のルート証明機関を信頼できないって話じゃないかな。
          まあ Verisign を信頼できないなら、Mozilla の認証局リストを信頼している現状はどうなのって話なんだが。

          • by Anonymous Coward

            日本国内にもルート証明機関はありますよね。サイバートラストとかセコムとか。
            GlobalSign は会社ごと買ってきたので、判断に迷うところですが。

          • by Anonymous Coward

            海外のWebブラウザーなどのルート証明プリインストールする所を信頼できて認証局を信頼出来ないとする根拠もわからないなあ。

            個人的にはルート証明書をオレオレ証明書で渡すような素人の認証局なんて信頼出来ない

        • by Anonymous Coward

          米国など外国の企業等を信用しないわけではないけれど、
          依存しすぎないように自前でも、ということでしょう。

          安全保障みたいな文脈から。

          GPSを利用するけど、自前の衛星も打ち上げるべきとか、みたいな。

          政府系でルート証明機関をやるべきかどうかは判断できないけど、
          そういう文脈での発想なら理解できる。

          • by Anonymous Coward

            国内でよければセコムから証明書を買ってくればいいのでは。
            政府がやる意味が分からない。

            • by Anonymous Coward

              国立情報学研究所が大学・研究機関向けに運用している証明機関UPKIはそうなってますね。
              セコムのルート証明機関の二次証明機関になっている。
              https://certs.nii.ac.jp/certs/ [nii.ac.jp]

            • by Anonymous Coward

              結局のところ、GPKIなんて、セコム(entrust)とNEC、富士通、三菱、IBM、日立が組んで運用しているだけなので、
              国っても日本企業が運用してるのと変わりませんが。

              それより設備全般、なかなかに豪華仕様になってるはずですが。

              秘密鍵を生成するHSMには物理的に入れないようになってるはずだ。。
              施設を持つのは無駄のような気もするが、そこはいいのかね。。

          • by Anonymous Coward

            気持ちはわかるんだけど、そもそもブラウザやOS自体が海外製だから、
            その中の一コンポーネントだけとって「海外は信用ならん」ってのは
            あまり実用性は高くない話だなぁ。

      • by Anonymous Coward

        このコメントにぶら下がってるコメントを見ると、この件に対する偏りが見て取れるな……。

        電子行政申請などのために、公的個人認証サービスなどへつなげるためにスタートしてるってのは、ググればすぐわかる事。
        コメントをみると、どうも一見技術的に見える方面は熱心に調べるけど、それ以外については理解を拒否ってるのが跳梁跋扈してる感じがあるな

    • by Anonymous Coward on 2018年03月02日 7時46分 (#3369826)

      一つの解決策としては、その昔GeoTrustとかがやってた「クロスルート証明書」という方式があります。
      ブラウザ内にルート証明書が入っていなくても、他の証明機関から証明してもらうことで、
      とりあえず中間証明書として使用しよう、というものです。

      まぁ、要するに日本政府にやる気があるかどうか、という話に行き着くわけですが。

      親コメント
    • by Anonymous Coward

      官報に公開鍵告示して、ついでに法律で政府のルート証明バンドルしないOSの販売やブラウザの初期インストールを禁止すればいいんじゃない?

      • by Anonymous Coward

        M$の回し者ですか?
        Android端末が全滅してしまう。

        • 仮にそうなったとしたら、各メーカーがGPKIのRootCertを入れて出してくるでしょ。
          いまだって、技適を取らないと売れないわけだし。それよりはずっとカンタン。

          親コメント
          • by Anonymous Coward

            各メーカってどこよ。ほぼ全部中国 or 米国(apple)やん。

            • by jzkey (47353) on 2018年03月04日 14時28分 (#3371007)

              その中国や米国のメーカやで。
              今でも、(日本向けに販売する機械なら)技適とかPSEとかちゃんと取ってるでしょ、どこで作ってるかは関係ない。取ってないなら、日本では売れないだけ。

              #AppleはもうGPKIのRootCert入れとるけどね。

              親コメント
        • by Anonymous Coward

          今時当然のように「M$」とか…

      • by Anonymous Coward

        なお、官報でのフィンガープリントの告示ならすでに実施されています。なので、「インターネット経由でルート証明書Application CA2をダウンロードし、官報で正しいものであることを確認し、インストールする」という手順であれば実現可能です。

        http://www.gpki.go.jp/apca2/index.html [gpki.go.jp]

          ダウンロードした証明書が改ざんされていないことを確認するために、ダウンロードした証明書のフィンガープリント(拇印)と
          本ウェブサイトで公開しているフィンガープリント一覧にあるフィンガープリントとを比較

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...