[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:45991] Re: 東京エリアDebian勉強会 2/18



武藤@Debianぷろじぇくとです。

At Thu, 23 Feb 2006 16:03:09 +0900,
otbo@xxxxxxxxxxxxx wrote:
> ところで、
> debian で行うキーサインパーティは、どうも、自分の仕事で利用する
> というよりも、debian 開発者のためのキーサインパーティのようですね。
> 即ち、相手のdebian 開発者の署名が施された email が真正であるか否か
> の判断を、公開鍵サーバーでemail address を頼りに公開鍵を探して、
> その公開鍵に誰のdebian 開発者の署名がなされているかで、行うという
> ことなのでしょうか?

キーサインパーティの主目的は、署名よりも、
「その鍵が本当にその人のものである」
ことを「あなた」自身が確認することにあると思います。

ですから、誰誰が署名しているということはあまり判断基準にはなりません
し、いっぱい署名がある人だからといって即「あなた」が会ってもいない
その人に署名を付けるということがあってはなりません。「あなた」にとって
第三者同士の署名は、「多分正しいんだろうな」という参考程度に過ぎま
せん。

Debian Developer希望者の場合には署名がなければDeveloperになれないと
いう事情がありますが、そういう必要がないのであれば署名は行う必要は
ありません。
とは言え、「この人に自分の鍵の正しさを証明した」「この人の鍵が正しい
ことを確認した」という覚え書きとして使うのはありでしょう。
今後、その鍵に基いて暗号化文書あるいは署名文書を送付あるいは受信した
際に、我彼の鍵がほぼ間違いなく正しいと言えるかどうかの基準になります。

後述の問題が気になるようであれば、公開鍵サーバや相手には署名を送付せ
ずにローカルのみに持っておくという手もあります。

> なお、公開鍵サーバー上の公開鍵に多くの署名がなされている場合に、
> この事を自分の仕事で利用した場合に問題が生じないか否かについては
> 今のところよく分かっていません。例えば、ある営利の業界内で、違いに
> 公開鍵サーバー上の公開鍵に署名しあっていた場合に、その内の一人が何か
> 問題を起こして信用できない状態になっていた場合に、しかしその人の
> 公開鍵の署名はそのまま維持されていた場合に、その人はその署名を頼りに
> その後も営業活動を続けてしまうことはないのだろうか。
> 即ち、公開鍵サーバー上の公開鍵の署名が役立つのは、debian 開発者のような
> 善意の団体であって、自分の仕事の団体のような営利の団体においては、
> 公開鍵サーバー上の公開鍵に署名し合うのは危険なのだろうか?

Web of Trustが「信頼の輪」と訳されているために誤解しやすいところ
ですが、署名における「信頼」は「お友達」というわけではありません。
所詮は「私はこの人に会ったことがあります」「私は確かにこの鍵がこの
人の所有のものであることを保証します」という2点の意思表示に過ぎま
せん。

ですから、署名に基く営業活動というのは、技術的な面から見れば非現実的
と言えます。

ただ、そういった事情を伏せてGnuPGの署名をもってエンドースメントである
かのような扱いをするおそれがある人物・グループにかかわることがあるの
であれば、そういった対象にはGnuPG署名を拒否するのも選択肢としてあるで
しょう。

なお、署名の破棄もプロトコルとしては用意されていますが、破棄証明の
完全な伝播は困難なのであまり役には立たないかと思います。
-- 
武藤 健志@ kmuto @ kmuto.jp
           Debian/JPプロジェクト   (kmuto@debian.org, kmuto@debian.or.jp)
           株式会社トップスタジオ  (kmuto@xxxxxxxxxxxxxxx)
URI: http://kmuto.jp/ (Debianな話題など)