GnuPG について (14) GnuPG の鍵輪の考え方

GnuPG の使い方を説明している WEB 上の記事を見ていると、よく「鍵の署名」の話が出てくる。しかも大抵の場合、唐突に。
「鍵をインポートしたら、署名しましょう」
とか、
「信用できない鍵に署名をしてはいけません」
とか。

そもそも信用できない鍵をインポートしたりするなよと私などは思ってしまうし、そう思っていたからこそ、この意味が実はよく分かっていなかった。
よくよく調べてみると、GnuPG ではどうもともかく、どんな鍵でもまず鍵輪につないで、それから検討を加えるという方針になっているらしい。

公開鍵ファイルを受け取ったら、とにかく gpg.exe --import でその鍵を鍵輪にインポートし、それからユーザーID を調べるとか、鍵指紋を調べるとかして、鍵の真贋を鑑定し、本物だと確信できればそれに「署名」をして使っていいということにする。これがどうも GnuPG の作法のようだ。

下手をすると鍵輪が「使えない鍵」だらけになってしまうことにもなりかねない。
もちろん、あまりに嫌なら、鍵データを削除してしまうこともできるのだが、それよりもむしろ、鍵は残しておいて「こいつは信用できない」というレッテルを貼っておいたほうが有効な場面もありうる。GnuPG ではこういった鍵輪の運用もできるようになっている。

GnuPG では、鍵の管理はとにかく鍵データをインポートするところから始まると覚えておいていいだろう。

そして、拙作 JanusDG ではこの鍵輪の管理機能がそっくり抜け落ちてしまっている。
それは「信用のできる鍵ファイルしか使わない」という絶対条件をおいて、代わりに鍵輪の概念を勉強する手間を省いてあるからだ。

一方、PGP では、不特定多数の仲間と暗号でデータをやりとりするために、この「鍵輪」および「鍵への署名」機能が必要とされていた。
なぜ「鍵への署名」が必要なのか、そのあたりの話はまた次回ということで。

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック