適当メモ – maple4estry – >> Mozilla Thunderbird で S/MIME を使った電子署名と暗号化をしてみる
仕事柄、メールのセキュリティには気を配らなければならず、(今のところないけど)クライアントからS/MIMEやPGPによる暗号化、電子署名付きメールのやりとりを求められたときに、即座に答えられるようにしなければと常々思っていました。
ただ、練習しようにもなかなか相手がおらず、またちゃんとしたメール用電子証明書を取得するとお金もかかるのでなかなか手が出ないでいました。
例えばJustSystemは1年\2,520でVeriSignの電子証明書を個人向けに再販していますが、しつこいくらいに「一太郎とShurikenPro専用」と謳っているので、いまいち手が出ません。当たり前ですが郵送手続きが必要になるのも煩雑。その他にVeriSignのパートナーを調べても、プロバイダが自ドメインのメールアドレスにたいして認証を行うサービスばかり。
できれば書類のやりとり抜きでオンラインで手軽に取得できる安価なものがないかなぁ、と思っていました。それって信用面ではどうよ、って気もしますが、Webサイトを自己証明扱いでSSL化するのと同様、主目的は暗号化なので、PGP系のソリューションならタダなんですが、THUNDERBIRDにしろOutlookにしろプラグインのインストールや署名・暗号化操作が面倒なイメージがあり、できればS/MIMEが使いたいところ。あと、最低でもTHUNDERBIRD(自分用)とOutlookくらいにはルート証明書がデフォルトで入っているような認証局のものを条件に設定。
で、ついにたどり着いたのがこちら。メール用の電子証明書なら無料で取得できます。手続きを薦めると、まずIEを経由して証明書が取り込まれます(連絡メール内のURLをクリックする場合、デフォルトのブラウザがIEでない人は注意)。THUNDERBIRDで利用するには、IEのインターネット設定から一旦ファイルに書き出し、それを取り込むという手順が必要になります。こちらが参考になると思います。
公開用の鍵ファイルを作成する時は、「秘密キーのエクスポート」の画面で「いいえ」を選び、DER Encoded Binaryで書き出します(拡張子.cer)。秘密キーもろとも書き出した.pfxファイルは絶対に他人に漏らしてはいけません。
という訳で、σ(^^)のS/MIME用電子署名ファイル(公開鍵)を貼っときます。内密のご用件がある方はご利用下さい。
参考
メールへの電子署名、暗号化は非対称鍵暗号[IT用語辞典]という仕組みを用いており、ユーザは秘密鍵と公開鍵という2つのファイルを使い分けます。自分が間違いなく差出人であり、途中で改竄もされていないことを証明する電子署名は本人の秘密鍵を使って行いますが、暗号化は相手の公開鍵を必要とします(その相手の秘密鍵でのみ開ける)。
これはとてもよく考えられた仕組みですが、いまいち普通の「鍵」メタファーでは捉えきれない為か、なかなか広く普及はしていません(メール以外の部分で知らずに使っていることはありますが)。以前紹介した「暗号化バッグ」などは鍵メタファーを使わずに比較的わかりやすい表現で実装していると思います。