【メール】S/MIME友の会【署名･暗号化】

1 ：2006/02/18 〜 最終レス ：2013/08/28

Secure MIMEで安全なメール環境を構築するためのスレです。
メールは、ネットの中を暗号化されないで配送されるため、悪意のある管理者は覗き見や改竄が
可能です。それを防ぐことを目的とします。他に無いため立てて見ました。
一般的なメーラーは、全て対応しています。
S/MIME(@IT)
http://www.atmarkit.co.jp/aig/02security/smime.html
S/MIMEとは(e-Words)
http://e-words.jp/w/S2FMIME.html
【特集】S/MIMEでセキュアな電子メール環境をつくる！(@IT)
ttp://www.atmarkit.co.jp/fsecurity/special/04smime/smime01.html
技術者でなくても分かる 電子証明書とPKI入門(日本VeriSign)
http://www.verisign.co.jp/basic/pki/index.html
電子証明書の取得は>>2以降

2 ：

無料で取得可能な電子証明書
Thawte Inc.(英語)
http://www.thawte.com/
取得方法の解説(@IT)
http://www.atmarkit.co.jp/fwin2k/win2ktips/647freeca/freeca01.html
C･O･M･O･D･O SSL(英語)
http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

関連スレ
【ベリサイン】VeriSign 【証明書】　
http://pc8.2ch.net/test/read.cgi/sec/1073635455/
【デジタル証明書】FreeCAってどうよ【無料発行】
http://pc8.2ch.net/test/read.cgi/sec/1073471387/
PGPってすごく良いの？3
http://pc8.2ch.net/test/read.cgi/sec/1127828288/
【認証局】SSLに関するスレ１枚目【ぼろ儲け】
http://pc8.2ch.net/test/read.cgi/mysv/1071339107/

3 ：

電子証明書やPGPは話題になるのに、S/MIMEは全く語られていないので立ててみました。
OutlookやOutlookExpress、Becky!などの定番メーラーもネイティブ対応なんですけどね。

4 ：

MUAのサポート状況（参考）
ttp://www.cla-ri.net/pgp/pgp04.html
現状ではOE以外ではS/MIMEよりPGP/MIMEが普及してそう
どこかにフリーの汎用S/MIMEメールプロキシないかな？
できれば日本製で
PGP Desktop の試用版についてるけど、1ヶ月で切れるし

5 ：

取得方法の解説(@IT)
てのやってみましたが、やはりめんどくさいな。証明書の期限が
一年というなら、また１年後同じ事をやるわけでしょ。
プロバイダーからメールアドレスと一緒に証明書をもらえるなら、
多少は楽かもしれんが・・・
せっかくなので、使ってみるよ。

6 ：

１年後同じ事をやるだけでいいの？
失効手続きはしなくていい？

7 ：

PGP/MIMEがRFCに乗っているとはしらなんだ

8 ：

日本にthawteのNotaryって何人いるの？
http://plusd.itmedia.co.jp/broadband/0302/28/lp30.html

9 ：

なるのまんどくさそーだな

10 ：

ﾉｰﾀﾘﾝじゃﾑﾘだろな

11 ：

このフリーソフトで私的な鍵が簡単に作成できるらしい
BCArchive
ttp://www.jetico.com/bcarchive.htm
やってみると、たしかに簡単に作成できた。
鍵は 512〜8192 bits を指定できるし、
有効期限も自由に設定できる！
だが、PKCS #12 の OS へのインポートがうまくいかん
なにか俺のやり方がまずいのか？
誰か教えてちょうだい

12 ：

人いねーな

13 ：

浮上ほっしゅ

14 ：

三井住友銀行が顧客あてのメールに電子署名を添付
http://slashdot.jp/articles/06/04/16/137239.shtml

15 ：

>>14
ある意味怖いな

16 ：

>>15
なんで？

17 ：

かそー

18 ：

あげ

19 ：

国内産、フリー暗号化ソフトの「テキストプロテクター」なら、
メッセージの暗号化（公開鍵対応）や電子署名が可能ですお

20 ：

>>19
GPGに対するアドバンテージは？

21 ：

保守
最近導入したがなんかうまくいかない
thunderbirdじゃうまくいかないのか?
だが今更脆弱性出まくりのOEに戻るのもなぁ

22 ：

ほしゅ

23 ：

保守

24 ：

https://www.cacert.org/

25 ：

干す
期限切れがきたので更新をしてみた。
http://www.thawte.com/ へログイン後
certificate＞Request Anotherで再取得が可能でした。
ではまた1年後・・
| 　サッ 
|）彡 
| 
 

26 ：

S/MIME作ってみたage

27 ：

COMODOはAddTrustになっちゃったし、結局、
Windowsでルート証明書をインストールする必要がなく、無料で取得できるとこって、壊滅？
ThawtyはNotaryいないしなー

28 ：

COMODOの以前のルートは何処だったっけ？
変わったのは知ってるが、以前に取得した証明書は削除してしまった。
できたら余計なルート証明書も削除してしまいたい。

29 ：

あ、俺、なんか勘違いしてるのかな？
以前のルートは消しちゃいけないの？
以前のルートもインストール必要だったような気がするけど。
ルートが200程あるので、どれだか分からん。

30 ：

>>29
COMODOの昔のrootはWindowsならデフォで入ってるものだったと思う

31 ：

フレンドリ名に"Comodo"の文字列が含まれているルート証明書が3個残っていた。
AAA Certificate Services
Secure Certificate Services
Trusted Certificate Services
発行者は Comodo CA Limited になっている。
有効期限は2029/01/01
昔のルートは、これじゃないかと思うが。
さらに昔のはWindowsのデフォだったのか？

32 ：

VeriSignで無料取得した証明書なんだけど、
ルート証明書のバージョンが古すぎ。
署名ハッシュが今時MD2かよ…
SHA1か、せめてMD5にしてくれ。
アルゴリズムが古すぎてGPGSMにインポートできなかったぞ。
有効期限が2028年になってるが、
この古臭い証明書を、あと20年以上も使うつもりなのか？
ちなみにThawteやComodoはSHA1になってる。

33 ：

comodoで取得して、メールソフトにエクスポートしようとすると
「注意：関連付けられた秘密キーにはエクスポート不可能フラグが付いています。
証明書だけをエクスポートできます。」と表示されて、証明書と秘密キーを一緒に
エクスポートできない。
どうやればPKCS#12でエクスポートできるんだろう？

34 ：

Comodoはサイトで取得時に、エクスポート可能にするかどうかの設定があるはず。
たぶん、どこかクリックしないと、設定画面にならなかったような。
VeriSignでも同様に、設定を間違えるとエクスポート出来ないし。
なお、いったん取得すると、同じメールアドレスで、すぐには取り直しできない。

35 ：

>>34
ｔｈｘです。本アドでの取得前に複数のサブアドでテスト中だったんですけどエクスポートできなくて困ってました。
確かに　Advanced Private Key Options... ってのがありますね、
そこはいじらず取得したんで以下のデフォルトセッティングになってると思うんだけどなんでだめなんだろ？

Advanced Private Key Options
Microsoft Enhanced Cryptographic Provider v1.0
Key Size 2048
Exportable? チェックあり
User protected? チェックなし
と言ってる側から、アドバンスを選んで、設定を変えずに取得してみました。
結果、うまくいきました。ありがとうございます。

36 ：

>>35
おそらく気付いてると思うけど、実際は“Key Size 1024”なんだよな。
よく分からんが、たぶん“Microsoft Enhanced Crypto…”ってのも、
実際は“Microsoft Base Crypto…”なんだよ。
無料版だからだろうね。

37 ：

例えば VeriSign でも同じこと。
ttp://www.verisign.co.jp/basic/pki/testid/index_5.html
無料版は何を設定しても、実際は“Microsoft Base Crypto…”になってしまう。
キー長 2048 を指示しても RSA1024 にしかならない。
“Check this Box to Protect Your Private Key”をチェックしないと、
エクスポートできなくなる。

38 ：

>>36
サブアドとはいえ、いくつも取り損なってるんでデフォルトからいじるのは
おっかなくて、その辺は全然触ってないんです。
>>37
PCと接続IPを変えて３アドレス分取得を試みたんですけど、どれもデフォルトで
やったんですよ、でも全滅。うち2回は確かAdvanced Private Key Optionsを
のぞいては見たけど、一切いじらずデフォルトに戻して取得。でも結果は・・・
結局、4回目に>>35の方法で初めて成功しました。なんかググっても同じ症状の
人、一人くらいしか見当たらなくて、みんな問題なく取得してるんでしょうかね？
ものすごく不思議です。

39 ：

OEやBecky!は秘密キーをエクスポートしなくてもS/MIMEを運用できるからね。
QMAIL3とかになると、秘密キーをファイルにしないとダメだけど。
どっちにしろ秘密キーのバックアップを取れないと、不安だよな。
Windowsが起動しなくなると、道連れにして心中だからね。

40 ：

>>39
全くそうだよな。
俺はBecky!使ってるが、秘密キーが消えて過去メールが読めなくなったら困るんで、
1回復号したら2回目以降は復号しなくてもいいように設定してる。
セキュリティ的にはあんましよくないのは分かってるが、読めなくなるよりまし。

41 ：

知る限りで、
三井住友銀行とDoCoMoは最近署名つきでメールを送ってくるようになった
他にここは署名つきで送って来るって知ってたらさらしてくれ
このスレ、さびれ過ぎなんでせめて賑やかしに。

42 ：

>>27
＞〜ルート証明書をインストールする必要〜
ルート証明書ってインストールせずに複数の自アド間は
S/MIMEで暗号化できてるんで、友達にも同じ方法を教えて
暗号化してやりとりしようと思ってたんだけど、そのままじゃ無理？
どういう局面でルート証明書が必要になるのか誰かおしえてください。

43 ：

届いたメールが本人の物であるか検証したい時でしょ
単なる暗号でいいなら必要ないんじゃ

44 ：

でも、ソフトによっちゃ検証できないと復号できないかも

45 ：

>>43,44
thxです。

46 ：

S/MIMEとPGPってどっちがはやってるんだろう？

47 ：

Windows付属のメーラーが対応してんだからS/MIMEかな？

48 ：

GmailがS/MIMEに対応しないかな

49 ：

単純にメルアドとして使うなら、COMODOで証明書発行してもらえるけど
>>48が言ってるのはブラウザでGmailにログインしてかつS/MIMEが使いたい
ってことかな？

50 ：

FireGPGみたいなソフトで
PGPじゃなくS/MIMEができる奴？

51 ：

S/MIMEも折角暗号化できるんだから、PGPみたいにメーラ関係無しに
単独で使えたら結構需要ありそうだな？そういうソフトはまだないよね？

52 ：

S/MIMEと比較できるのはPGP/MIMEのほう
どちらもメールフォーマットに依存するので、別ソフトじゃ難しいと思う
やるとしたらメーラーとサーバーの間にプロキシかますような感じになるかな
普通のPGPのように貼り付けるだけなら、ただのテキスト扱いになってしまう

53 ：

ここも無料で取得できるみたい。ビジネス用でも利用可。
ipsCA Personal Certificate
http://certs.ipsca.com/Products/SMIME.asp
ComodoとThawteのはビジネス用に使っていいのかな？

54 ：

有償メモ
べりサイン
http://www.verisign.co.jp/personal/index.html
Class 1ライト 個人用
米直販 ($19.95/年)
http://www.verisign.com/products-services/security-services/pki/pki-application/email-digital-id/index.html
日本法人の代理店 (2,520円〜/年) or 一部ISP(189円〜/月)。
http://www.verisign.co.jp/personal/partner.html
Class 2 スタンダード 組織内個人用 12,600円/2年
http://www.verisign.co.jp/personal/class2/index.html

グローバルサイン（日本語サイトでは未提供）
PersonalSign2 個人用 ($80/3年) べりサインより高い…
PersonalSign2 Pro　ビジネス用 ($90/年 or $120/2年 or $150/3年)
http://www.globalsign.com/digital_certificate/personalsign/index.htm

55 ：

>>53
ビジネス利用可って嬉しいね。

56 ：

>>53
早速取得を試みてるんだが、step１から先に進めない　orz
メールが返ってこないよ。CoMoDoはフリメでもGMailでも
発行してくれたんだが、ここは駄目なんだろうか？
テストして問題ないのを確認してからじゃないと
本アドの取得は出来ないんだけどなー。返信が遅い？
でも自動応答だよね、やっぱフリメは駄目か・・・

57 ：

もしかして自動応答じゃないの？
とあるISPのメルアド入れたけど返信が来ない
まいったな、無事にipsCAで証明書取得できた方いますか？

58 ：

返信あるけどスパム扱いで蹴られてるんじゃないか？
特にプロバイダで蹴られると受信すらできない
英文だけのメールだしな
俺なんかPGPの暗号メール受信すると
必ず[MEIWAKU]って付くんだけど、何とかならんもんか

59 ：

プロバイダでブロックはないと思うんだけど・・・、多分。
スペインの会社らしいんで、EU域外はお断りとかあるんだろうか
とか妄想が広がって。

60 ：

フリメでも不正にブロックされる可能性はある
メールヘッダとか解析するから

61 ：

ipsCAのFAQを読んだら、どうも>>58氏の説の通りっぽいですね。
フリメとGmailとYBBの3通ともそれぞれのサーバーでブロック
されたんでしょうか？とりあえず、あきらめるしかなさそうですね、残念。

62 ：

YBBは調べるのめんどうだから知らんけど、Gmailならブロックされても迷惑フォルダに入ってるだろ
メーラーでは開けないから直接ブラウザでみればいい
フリメはどこのかもわからんからなんとも言えない

63 ：

半オレオレの無料証明書 (thunderbird対応 Outlook非対応)
StartSSL？ Certificates & Public Key Infrastructure (beta)
http://www.startssl.com/
対応ソフト一覧
http://cert.startcom.org/?app=140

64 ：

>>62
とりあえず、Gmailの迷惑フォルダには入ってなかったです。

65 ：

>64
じゃあブロックされて無いんじゃない？

66 ：

謎ですね、そのうち新情報も得られるかもしれないんで
暫く様子見しときますか。

67 ：

yahooのフリメで試してみた
ipsCAから即返信きたぞ

68 ：

すまん…勘違いだった。やっぱ返信こねー

69 ：

>>20　
わからんｗｗｗ　　でも、
圧倒的にPGPより簡単に運用できる（ﾃｷｽﾄのみだけど）
ソフトを導入せず、WEBで暗号化/複合化できるサービス
もやってる。↓
ttp://www.freedomsoft.net/products/tpweb3/index.html
SSLアクセス開始の際、証明書に関するメッセージ
出るけど「OK」で問題ないっぽい。

70 ：

>>51
S/MIMEじゃないが暗号化ファイルならJeticoのBCArchiveで作成できる（フリー）
ComodoとかのS/MIMEの証明書がそのまま使える
ただし秘密鍵のエクスポートが出来ないと、復号できない

71 ：

>>70
試してみた感じだと、いわゆる専用の圧縮解凍ｿﾌﾄって印象。
ZIPのパスのバリエーションが豊富？みたいな。
それなりに便利なんだろうけど、S/MIMEが広く使われるようになっても
それでファイルの暗号化をするには、BCAしか選択肢がないって点が
ﾈｯｸのような。まあ、どっかのMSさんがBCAを買い取って窓に標準装備
してくれたら、S/MIMEでお手軽に暗号化できるようになるのかも。

72 ：

>>71
BCArchiveは残念ながら署名が出来ないんだよな。
PGP鍵も使えるし面白いソフトなんだが。
> ZIPのパスのバリエーションが豊富？みたいな。
実はZIP本家のソフトでも同様な事ができる。
現在は暫定的にフリーで落とせるが個人利用のみ可。
ttp://www.securezip.com/
これは署名もできる。ただし自前で鍵を作成できない。
本当にS/MIMEの暗号化したかったら、
GnuPG v2 に含まれる gpgsm かなあ。
でもこれは相当に敷居が高そうだ。

73 ：

　Thawte 、日本のNotaryの一人にメールを送ってみた……
「Host Unknown」が返ってきた…。

74 ：

無料で取得可能な電子証明書
>2
>Thawte Inc.(英語)
>ttp://www.thawte.com/
>C･O･M･O･D･O SSL(英語)
>http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html
---
>63
>StartSSL Certificates & Public Key Infrastructure (beta)
>(thunderbird対応 Outlook非対応)
>ttp://www.startssl.com/
---
>53 のipsCA Personal Certificate
は何故か返事が返ってこない…

75 ：

>>73
Notary=ﾉｰﾀﾘﾝ

76 ：

>>53
あっさり返信きたぜ
マイドメイン（.BIZ）だが
鯖はGoogle Apps

77 ：

ipsCAのやつ、OutlookやThunderbirdの対応度、どんなもん？

78 ：

>76
>ipsCA
　コチラにも来た。
先々週　試したときは全く返事がなかったのに…
同じアドレスでもう一度申請したら２分ぐらいで届いた。
しかし.....メールのリンクをクリックした先で
証明書を組み込もうとすると
>Paginas Active Server error 'ASP 0221'
>Directiva de comando @ no valida
が出てしまう.....。

79 ：

>78
　ipsCA Supportからメールきた。
機械翻訳すると…
＞「B1証明書ウェブページは、一時的に利用できません。」
＞「できるだけ早く、我々はそれを解決します。」

80 ：

>>79
乙

81 ：

S/MIMEで暗号メールを送信するには相手の証明書が必要ですよね？
Becky!のS/MIMEプラグインにパスワード暗号って機能があるんですが、
これってどういう仕組みなんでしょうか？

82 ：

そんな機能あるの？
Becky!2.45+S/MIMEプラグイン1.10

83 ：

RimのPlug-inじゃなくて、bksmimexの方だね。
たぶん独自機能かなんかじゃないの？

84 ：

>>83
readmeを読め。

85 ：

>bushidom@twne.jp
>※このアドレスは､某有名探偵社Gと提携したものです｡受信時に相手の携帯機種番号&登録携帯番号が自動的に付記され､
>容易に個人の特定が可能なG製管理のセキュリティ･アドレスです｡同時に､G探偵社との契約で､個人追求もいたします｡
>また､送付前の一時的アドレス変更の際も､オリジナルアドレスに戻す操作を行う時点でオリジナルアドレスが記録され､
>携帯機種番号&登録携帯番号が当方に送付されます｡

本当にこんなことできるんですか？

86 ：

>>85
元ネタのBLOGをちゃんと読んでいれば判断できそうなものだが。

87 ：

>1
一番は、どこの誰が盗んでるのかが解ればいいよな

88 ：

APOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について
最終更新日　2007年11月26日
独立行政法人 情報処理推進機構
セキュリティセンター
　独立行政法人 情報処理推進機構（略称：IPA、理事長：藤原武平太）は、メールの受信に利用される
認証方式の一つである APOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）に関する
注意喚起を2007年4月19日に公表しました。
　具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、
メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワード
と同一の場合、不正なログインに利用される可能性があります。
　プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。
　回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。
回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで
悪用された際の被害を軽減できます。

89 ：

回避方法は S/MIME でそ

90 ：

なんかComodoからカスタマー宛にメール来たね。
UserTrustっていうサービスの宣伝みたい。
Unsubscribeがワンクリックで完了出来たのが気持ちよかった。
（よくリンク先でメルアド入れさせられたりするから。）

91 ：

明日の夕方Thawteのnotaryの方が来訪予定
場所は八丁堀
興味あればnotarynnあとやふーで待つ

92 ：

ハッシュ関数とメッセージダイジェスト関数の違いって何なんでしょうか？？

93 ：

alias

94 ：

Zenlokはスレ違いかな？
一応、S/MINE使ってるみたいだけど
Thunderbird + Enigmail + GnuPGなんだけど
ここにZenlok入れたら、最初のパスワード入力しかできないんだ
メールアドレスの登録ができなくって困ってる
Enigmailを無効にしても状況は変わらない
GnuPGをアンインストールしないとダメかなぁ
まぁ、S/MINEあるからいいんだけど
メールの暗号化環境を他人に構築させるために
簡単に設定できるのが魅力だから、ちょっと検討してるんだ

95 ：

thawteから来るのがPKCS#12でなくいつもPKCS#7
やってられん

96 ：

TC Internet ID (個人・非商用・無料)
http://www.certoutlet.com/tc_internet_id_more_info.htm
http://www.trustcenter.de/en/products/tc_internet_id.htm

97 ：

>96
Internet　ID(無料)とPersonal ID(有料)との違いは
Internet
　無料
　一年毎の更新
　オンラインサポートのみ（電話不可）
Personal
　有料　(３年間（一括払い)の場合　＄４４．９５/３年）
　１〜３年毎の更新
　オンラインWebサポートの他に電話サポートにも対応

98 ：

質問です。
GnuTLS4Winでオレオレ証明書作って、送信者に渡せば、
俺宛のメールの暗号化に使えますか？

99 ：

>>98
使えます。
相手のメーラーが証明書を食ってくれるならばね。

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

■■　無線LANのセキュリティー 18ch目 ■■ (439)
!ninja テストスレ 【test】 inｾｷｭﾘﾃｨ part20 (753)
NOD32って3にする必要ってない？ (159)
【無防備】何時間耐えれるかｶﾞﾝｶﾞﾙスレ【常時接続】 (276)
セキュリティ初心者質問スレッドpart131 (378)
【メール】S/MIME友の会【署名･暗号化】 (130)
--log9.info------------------
【三才】ラジオパラダイス【ブックス】 (397)
いまに哲夫のジョイフルモーニングニッポン (162)
【浅川悠】 DEEPER STREET 木曜日 【ｵﾌｻｲﾄﾞ大西】 (231)
ハローナイト (105)
★★★谷山浩子のニャンニャンしてね！ (578)
［FM東京発］トランスミッション・バリケード (279)
不二家歌謡ベストテン (526)
朝の歳時記 (260)
【男子禁制学園】川本真琴のラジオ【芝生に入るな】 (100)
【HBCラジオ】ベストテンほっかいどう (837)
【真夜中のカウボーイ】田中義剛のオールナイト (306)
日曜喫茶室 (372)
【ﾛｯｷﾝﾋﾟｰﾎﾟｰ】つるの剛士BPR5000 part8【永遠に】 (506)
朝日放送　ポップ　対　歌謡曲 (156)
堀内健とビビる大木のオールナイトニッポン (161)
高崎一郎のオールナイトニッポン (165)
--log55.com------------------
【高橋ひろ】がまた輝くとき！　
沢田聖子さんその他研究
村下孝蔵さんについて話しませんか？
新田恵利
【とまどい】吉田真里子【すべては空の下】
デューク･エイセス＆ボニー･ジャックス
【新しい心】原 田 真 二【持ち合わせたいなら】
【JALと共に】KATSUMI part4【ファン去りぬ】