送信者が受信者の手を煩わせずに(メールや媒体から公開鍵を送ってもらう以外の方法)は
何かないのでしょうか?
電子署名(公開鍵)にVerisignやGlobal Singなどを使用していた場合、
レポジトリから取得するというのはどのようなイメージになるのでしょうか?
よろしくお願いいたします。
PS 質問を継続させて頂いている形になります http://q.hatena.ne.jp/1212534500
サードパーティの暗号メールサービスというのも多くあります。
無料のものもあります。
"Zenlok、メール暗号化サービスを無料提供":
http://internet.watch.impress.co.jp/cda/news/2008/05/16/19595.ht...
有償でも良いのであれば、NTT.comでも紹介されていた大手(OCN)のものもあります。
OCN暗号メールサービス: http://www.ocn.ne.jp/business/security/encryption/
この場合、ブラウザからもウェブメールの様に使えたりもするらしいので、面倒な設定が省ける様です。
S/MIME の署名つきメイルの場合,メイルに証明書が自動的についてきますので,「レポジトリ」から証明書をわざわざ取得する必要はありません.
それはそれとして,「レポジトリから証明書を取得する」ための一般的な方法として,LDAP と呼ばれるプロトコルを用いる方法があります.たとえば directory.verisign.com というホスト(VeriSign の証明書レポジトリ)に対してLDAP でアクセスすると,VeriSign が発行した証明書を入手することができます(S/MIME で暗号メイルを出す場合には送信先の証明書が必要なので,もし無ければLDAPなどにより相手の証明書を取得する必要があります).
ちょっと気になったのですが,「証明書」には(その証明書を発行してもらった人の)公開鍵が含まれている,というところについてはよろしいでしょうか.
以上については理解していただいていることを前提に,追加で頂いた質問にお答えします.
Verisignはレボジトリーを持っているものなのでしょうか?!
Yes です(回答2の directory.verisign.com).
で,
であれば…電子証明書に公開鍵をつけて送る必要はないし、
上記で書いたように,電子証明書は公開鍵をそもそも含む(電子証明書を送れば必ず公開鍵も送られたことになる)ものなので,文字通りに解釈すると,ちょっとこのご質問が何を意図されているかわからないです.
ご質問は「署名つきメイルに公開鍵証明書をつけて送る必要がない」という主旨でしょうか?
であれば,「必要がない」という点については Yes です.リポジトリの場所だけをつけて送ればよいので.
しかし,証明書をつけないで送る(必要なときにリポジトリにもらいに行く)ことにした場合,誰かがメイルの署名を検証するたびに上記リポジトリへのアクセスが発生することになります.これではリポジトリの負荷集中が大変なことになりますので,メイルに公開鍵証明書をつけて送ることになっています.
あと,
メールを暗号化するのに前もって送信先の公開鍵をもらっておく必要がない
についてですが,アクセスすべきリポジトリがあらかじめわかっているならYesです.ただ,実際にはメイルの送信先の人がどこのCAに登録しているかは(社内メイルとかで無い限り)一意に定まらないので,この部分は完全には自動化できないところです.すなわち,相手からあらかじめ送ってもらうのが一番早いことになったりします.
#ここらへん,X.509 PKIの理想(妄想)と現実のギャップが大きいところのひとつです.筋が悪いんですよね.
ご回答ありがとうございます!!
ものすごく勉強になりました!! 丁寧に解説していただいてありがとうございます。
証明尽きメールに公開鍵証明書をつける必要がない…
もずーっと気になっていたことが解決できました!!!
またVerisignはレポジトリーがないのが、GPKIとの唯一の違いだと思ってました!!
本当にありがとうございました!!
ご回答ありがとうございます!!!
すいません追加で1点質問させてください…
Verisignはレボジトリーを持っているものなのでしょうか?!
であれば…電子証明書に公開鍵をつけて送る必要はないし、メールを暗号化するのに前もって送信先の公開鍵をもらっておく必要がない
ということになると思うですが…
何卒ご教授お願い致します!!