GnuPGについて (15) 鍵の電子署名

GnuPG、あるいは PGP では、「鍵に署名」するという作業が必要になる場合がある。

たとえば、GnuPG では、初めて鍵ペアを生成したとき、自動的にその鍵に対して、電子署名がなされる。
また、人から直接公開鍵を受け取った場合(メールなどの不確実な方法ではなく、フロッピーによる手渡しなど)は、その鍵を自分の鍵輪にインポートしてから、--edit-key コマンドで gpg.exe を起動し、sign コマンドでその鍵に署名をすることになっている(※ JanusDG ではこの作業を省略しているので、GnuPG を正式に使っているわけではない!あくまで GnuPG の公開鍵暗号機能を利用しているだけだ )。

先日の記事で言及したように、GnuPG では、とにかく入手した鍵ファイルは鍵輪に格納して、格納してから検証するお約束になっている。
一応、念のために書いておくが、明らかに無意味な鍵ファイルまでインポートする必要はない。
インポートするのは、使うかも知れないと思った鍵ファイルだけだ。

そして、その鍵の出自が明らかな場合、例えば、フロッピーの手渡しで受け取っただとか、電話や FAX で鍵指紋を照合しただとかいった場合、その「出自が明らかである」ということをはっきりさせる意味で、その鍵に自分の電子署名を施すことになっている。
これで、次から GnuPG を使う場合、GnuPG は、その鍵を「出自の明らかな鍵」として取り扱ってくれるようになる。
逆に、電子署名をしていないと、「鍵の正当性が確認できない」といった旨のエラーメッセージを常に受け取ることになる。

拙作 JanusDG では、鍵に電子署名をしていないので、バックグラウンドではこの「鍵の正当性が確認できない」というエラーが常に出ている。ユーザーには見えないところで。
JanusDG では、あくまで「出自の明らかな鍵しか使わない」という運用のルールを設定することで、この問題に対処しているわけだ。

このようなところからも分かるように、ただ公開鍵暗号を使いたいというだけの場合には、鍵に電子署名を施す必要まではない。
が、もちろん、この「鍵の電子署名」の機能に意味がないわけではない。
鍵に電子署名を施すということを知っていれば、そのほうが便利に GnuPG を使いこなすことができる場面がある。
それは、既に他の人が署名した公開鍵を受け取る場合だ。

たとえば、A さんの公開鍵を B さんから電子メールで受け取ったとする。
そして、その A さんのものらしい公開鍵に、B さんの電子署名があった場合、あなたはどうするか。
あなたは元から B さんの正しい公開鍵を持っており、B さんの電子署名は検証できるが、A さんの公開鍵は持っていないものとする。

ここで確実なのは、「B さんの電子署名がついているのだから、B さんがウソをついているのではない限り、その鍵は間違いなく B さんの持っている A さんの公開鍵だ」ということだ。

ここから、GnuPG や PGP の特徴である「信頼の輪」の話になってくるのだが、それはまた記事をあらためて。

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック