[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:46010] Re: 東京エリアDebian勉強会 2/18



 やまねです。

 既に武藤さんからの reply がありますが、一応。

On Thu, 23 Feb 2006 16:03:09 +0900
otbo@xxxxxxxxxxxxx wrote:
> ところで、
> debian で行うキーサインパーティは、どうも、自分の仕事で利用する
> というよりも、debian 開発者のためのキーサインパーティのようですね。
> 即ち、相手のdebian 開発者の署名が施された email が真正であるか否か
> の判断を、公開鍵サーバーでemail address を頼りに公開鍵を探して、
> その公開鍵に誰のdebian 開発者の署名がなされているかで、行うという
> ことなのでしょうか?

 これは Debian で行う、とかは関係なくて「相手が本人であることを
 証明する」のを目的に行われてますね。

 

> なお、公開鍵サーバー上の公開鍵に多くの署名がなされている場合に、
> この事を自分の仕事で利用した場合に問題が生じないか否かについては
> 今のところよく分かっていません。例えば、ある営利の業界内で、違いに
> 公開鍵サーバー上の公開鍵に署名しあっていた場合に、その内の一人が何か
> 問題を起こして信用できない状態になっていた場合に、しかしその人の
> 公開鍵の署名はそのまま維持されていた場合に、その人はその署名を頼りに
> その後も営業活動を続けてしまうことはないのだろうか。
> 即ち、公開鍵サーバー上の公開鍵の署名が役立つのは、debian 開発者のような
> 善意の団体であって、自分の仕事の団体のような営利の団体においては、
> 公開鍵サーバー上の公開鍵に署名し合うのは危険なのだろうか?
> 

 理解の方向が間違っています。
 そうですね、例えば大坪さんがある会社の社長の公開鍵に署名したと
 しましょう。そして、その社長が粉飾決済を起こしたとされて逮捕さ
 れたとします。

 さて、上記の署名は危険なものでしょうか?

 いいえ、署名の目的はある鍵を提示した人間が本人であることを目的
 に行われることですので、その署名は全く危険ではありません。
 PGP/GPG鍵の署名は本人証明を行うことが目的なのであって、その人間
 が信用にたる人間かどうかを示すものでは全くありません。要は「騙り」
 を防ぐということです。

 SSL証明書の場合は特定の機関がその本人証明を検証する部分を担って
 いるわけですが、PGP/GPGの場合は信用モデルが異なっていて、相互に
 本人であることを証明しあうことになっているので、キーサインを行う
 ことになります。