○電子署名とは何?
上記の署名や From 行は、実は詐称なんぞいくらでも出来ることをご存知だっただろうか。
インターネットはそもそも相互信頼によって成り立っていたのだが、商用利用が始まり、利用者層が広がったことでその前提が半ば崩れている。直接問題になるのは、詐称する方よりも詐称される方である。
よく知った相手であれば、それが詐称メールか否かは判るので信頼に傷が入ることはそう多くはない。
しかし、電子メールの相手はそのような相手ばかりとは限らないのである。
上記電子メールの署名も From: 行も、それを客観的に「本人のものである」と証明する仕組みが従来は無かったのだが、それを実現する仕組みのひとつが「電子署名」という訳である。改ざんの有無チェックも出来る。
電子メールシステムの歴史(成熟期)の項でも簡単な説明を行ったが、電子署名には「本人確認」「電子メールの暗号化」の、2つの機能がある。この2つは一体のセットではなく、どちらか1つの機能だけでも利用できるので留意すること。
ここで「電子メールの暗号化」が再び出てきた。前項の SSL/TLS は、通信回線での暗号化であるが、電子署名での電子メール暗号化は、送信前にMUAにて電子メール本文を暗号化し、受信後にMUAで電子メールを復号化することで秘匿通信を行い、セキュリティを保つ手段である。
さて、実は電子署名を実現するソフトウェアは、大きく以下のように分類できる:
1つ目は、セキュアWeb サーバのサーバ証明書によく似た形で、個人の電子証明書を利用する方式で基本的に電子証明書発行を行う会社に有償で発行してもらうもの、2つ目は、昔からある汎用の暗号処理技術のひとつである、PGP(Pretty Good Privacy) という有償ソフトウェアを用いるもの、
3つ目は、その PGP の無償利用版ともいえる GNUPG (GNU Privacy Guard) と呼ばれるものとある。
2つ目のPGP は、大企業でしか買えないような高価格の有償ソフトウェアである。
そのため、機能的にほぼ同等で、無償利用を可能としているGNUPG があるのである。
当然、筆者を含めた多くの方々が手軽に扱えるのは GNUPG である。ただし、無償利用である分、使い勝手は有償版の PGP には劣ってしまう。無償版の GNUPG の開発元はドイツであるせいか、日本語の説明が少ない・日本語での情報があってもその情報が古い・日本語環境で充分なフィードバックが行われないといったところが要因であろう。有償版の PGP には日本語版もある。
ここでは、無償版の GNUPG を取り上げて、馴染みの薄い電子署名をざっと眺めることにする。
― 用意するもの(Windows版のみ対応)
http://www.gpg4win.org/ から、
gpg4win-1.x.x.exe (gpupg 本体と Windows用 GUI インタフェースプログラム群) 、
http://www.gnupg.org/から、
gnupg-w32cli-1.x.x.exe (gnupg 本体の Windows版で、各国言語対応)
gpgoe-0.x.x-exe.zip (Outlook Express 専用の プラグイン)
をそれぞれ最新版を探してダウンロード。(英語サイトです。少し判り難いかもしれません)
gpg4win は、収容サーバの回線が細いせいか、ダウンロードには 15~20分かかる。
1) ダウンロードした gpg4win-1.x.x.exe を、エクスプローラでダブルクリックするなどして、動作させる。
どの画面も概ね 「 Next > 」で次の画面へ遷移できる。
左から3番目の画面で、Office 2000 などに組み込まれている Outlook が無い場合、GPGol のチェックをクリアする。
よく勘違いを起こし易いのだが、Outlook Express と Outlook は別物なので、注意すること。
4番目の画面では、通常、Desktop にもチェックが入っている。
この画面は、ショートカットを登録する場所を選択するものだが、筆者の場合、デスクトップ画面へのショートカットは邪魔だったので、チェックをクリアしている。このあたりはお好みで。
6番目の画面は、インストールが正常に完了したときの画面。
7番目の画面で、「 Finish 」のクリックにてインストール完了である。
次に暗号化のディジタル鍵ペア(公開鍵と秘密鍵)を作成する。これをやらないと GNUPG は使用出来ない。
スタート → すべてのプログラム(P) → GnuPG For Windows → GPA と辿って GPA を起動。
そうすると、初めてのはずなので、上図右側(8番目の画面)が出てくる。「秘密鍵が無いので作成しますか?」の意。
ここでは「 Genarate key now 」をクリックして、ディジタル鍵の作成を行う。
この部分は、必要事項をキーボードから入力していき、「 Forward 」で次の画面へ遷移する。
13枚目(下段左側)の画面では、「作成したディジタル鍵のバックアップを行いますか?」の意の質問である。
このまま 「 Create backup copy 」にチェックが入った状態で 「 Apply 」をクリック。
そうすると、14枚目(下段右側)の画面のように保存場所の確認が入る。
通常はこのまま「OK」のクリックでよい。
また、11枚目(中段左側)のところで、パスフレーズを入力するときは、確認をする意味で同じものを2回入力する。このとき、左図のような警告がでることがある。
どうも「パスフレーズが推測可で安全ではない」という意味のようだ。このパスフレーズで押し通す時は、「Take this one anyway」をクリックすれば、作業を継続できる。
また、パスフレーズは、秘密鍵を操作するためのものなので、誰にでも判るパスフレーズは絶対に控えるべきだろう。
  | ここまでの作業が完了すると、右図のような画面が表示される。 これで鍵ペアの登録は完了である。 秘密鍵の保存場所が表示されている。 「 Close 」で、この画面は単純にクローズして構わない。 ちなみに、秘密鍵のバックアップは、フロッピーディスクにコピーしておくのが望ましいとされている。 GPA の画面には、今登録した鍵がリストとなって表示される。 ところで、公開鍵と秘密鍵の役割であるが、一般的には以下の役割がある。 公開鍵:電子メール本文の暗号化をしたり、電子署名を確認したりするときに用いる。 一見判らないデータの羅列であるが、いわば、印鑑証明書のようなものである。 「鍵閉めキー」と呼ぶ人もいる。こちらは公開する必要がある。 2)次に、GNUPG 本体を多言語対応のものに入れ替える。 秘密鍵:暗号化された電子メールの本文を元に戻すときや、電子署名をするときに主に用いられる。 役所に印鑑登録する時の、印鑑そのものに例えられる。 公開鍵と同様に一見判らないデータの羅列だが、こちらは、公開してはいけない。 「鍵開けキー」と呼ぶ人もいる。 パスフレーズは秘密鍵に暗号形式で保存されている。 |
どの画面も概ね 「 Next > 」で次の画面へ遷移できる。
通常は、インストーラーが提示する通りでよく、そのまま「 Next > 」で進行させてよい。
4枚目(下段左画像)では、メッセージの言語が選択できるが、自動的に「 Ja ? Japanese 」に選択されるので、これも通常はこのままでよい。
6枚目(下段右画像)で、「 Install 」をクリックすると、多言語対応の GNUPG が1)でインストールした GNUPG に入れ替わってインストールされる。
3)最後に、Windows にて Outlook Express を使用するときは、GPGoe をインストールする。
ダウンロードした gpgoe-0.x.x-exe.zip は圧縮ファイルなので、これを解凍ツールなどで元に戻すと、「gpgoe-0.x.x-exe」 というフォルダが作成され、その中に配布物一式がある。
これは、「gpgoe-0.x.x-exe」 フォルダごと、C:\Program Files\GNU 配下のフォルダに移動しておいた方が後々管理がし易いだろう。必要ならフォルダ名を変更しておくとよい。
筆者の場合は、左記のようにしている。こうしておけば、後々忘れにくいからである。
GPGoe だが、使用する際に注意点がある。
それは Outlook Express より先に手動起動し、Outlook Express の終了後に手動終了する、という点だ。
これは、配布物の中のドキュメント(英文)にも記載がある。
GNUoe の起動には、上記で示す GPGOEInit.exe をエクスプローラでダブルクリックするなどして起動する。
起動すると、タスクトレイに
のように、該当のアイコンが常駐する。(左から2番目がそれ)ちなみに終了は、このアイコンをダブルクリックする。
GPGOEInit.exe は、デスクトップにショートカットを作っておくとよい。
GPGoe を起動する際は、一旦 Outlook Express を終了させてからとし、GPGoe を起動してから Outlook Express を起動するようにすること。そうしないと、動作がおかしくなるようだ。
GPGoe と Outlook Express を動作させている状態にしておこう。