秀丸メールでPKI対応していますか？ - 秀丸メール情報交換会議室 - スレッド33323, 2008/02/14

秀丸メールでPKI対応していますか？

siniti さん　08/02/14 20:15

秀丸メールで送信するメールに署名・暗号化ができますか？

自社のPKIの使用できるソフトの条件として以下の３つがあります。
・S/MIMEという標準に準拠している
・スマートカードを利用できる
・証明書の失効確認ができる

ちなみに、以下のソフトは対応済だそうです。
　　　　　　　　　　　　　ICカード　S/MIME 失効リスト LDAP
　　　　　　　　　　　　　　利用　　対応　　検証　検索
Outlook Express5.5(SP2)以降 ○　　　 ○　　　 ○　　　 ○
Outlook 2002以降　　　　　 ○　　　 ○　　　 ○　　　 △
Netscape Mail 7.0以降　　　○　　　 ○　　　 ○　　　 ○
Shuriken Pro3以降　　　　　 ○　　　 ○　　　 ○　　　 ○
Thunderbird Ver2.0以降　　　○　　　 ○　　　 ○　　　 ○

上記の、機能（ICカード利用、S/MIME対応、失効リスト検証、
LDAP検索）単位で実現できているかを教えてください。
よろしくお願いします。

RE:33323 秀丸メールでPKI対応しています

秀まるお2 さん　08/02/14 23:30

　たぶんですが、

　ICカード利用: ×
　S/MIME対応: ○
　失効リスト検証: ×
　LDAP検索: ○

　です。

　ICカード利用というのはやったことがないのでわかりません。もしかしたらで
きてるのかもしれません。（Windowsの証明書関係ライブラリをそのまま使って
るだけなので）

　失効リストについては、実は確認する処理を作ったことがあるんですが、動作
確認ができなくて、果たしてちゃんと動いてるかどうか確認できないのにやって
も仕方がないと思って、あえて外してあります。

　CertVerifyRevocationって関数を呼び出すだけだとは思うんですが…。失効リ
ストってやつは自分でダウンロードしてインストールして使うものなんですかね。
よくわかりません。すみません。

RE:33324 秀丸メールでPKI対応しています

Alteon さん　08/02/15 04:44

こんにちは
Alteonと申します。

>　ICカード利用: ×

作者様よりICカード非対応とご報告がありましたが、私の会社ではICカード
(Felicaチップ)内にクライアント証明書がインストールされており、署名および
暗号化共に問題なく使用できております。

なぜか署名・暗号化時のダイアログで証明書を選択する際に同一のクライアント
証明書が2つ表示されますが、どちらを選択しても問題ありませんので、使用上
問題があるわけではありません。
ICカードではないクライアント証明書は複数表示されることは無いので、ICカー
ドリーダのドライバ側に問題があると思っています。

たしか、秀丸メールのアカウント毎に使用するクライアント証明書を設定できる
ようにエンハンスされていたと思いますので、この設定を行えば問題ないかと思
います。(このスレッドが見つからなかったので、未確認ですが)

>　失効リスト検証: ×

>　失効リストについては、実は確認する処理を作ったことがあるんですが、動作
>確認ができなくて、果たしてちゃんと動いてるかどうか確認できないのにやって
>も仕方がないと思って、あえて外してあります。

以前、CRLの動作検証をしたのですが、CRLの発行ポイントにリクエストが出てい
ない理由が分かりました。
CRLの取得および検証機能を有効/無効に設定できるようにして頂けませんでしょ
うか。(時間的な都合ですぐに検証はできないのですが…)
欲を言いますと、いつの日かOCSPにも対応して頂けるとうれしいのですが。

RE:33325 秀丸メールでPKI対応しています

秀まるお2 さん　08/02/15 10:50

　失効確認を復活させてみたら、ちゃんとサーバーまで調査に行ってくれてるよ
うです。

　Comodo AAA Servicesって所で作った証明書ですけど。

　ということで次のV5.00β29に入れてみます。

　S/MIME検証結果のダイアログボックスで「失効の確認」ってボタンを押すと確
認するって動作にします。（少し時間かかるので）

RE:33324 秀丸メールでPKI対応しています

siniti さん　08/02/23 01:19

秀まるお２さん

この前のAlteonさんも書いていますが、「ICカード利用」は○です。
私も、会社が発行しているICカードで電子署名できました。
ＩＣカードにもアクセスしました。

Alteonさんのように、電子署名の際には、ダイアログで「証明書選択」は出ず、IC
カードにアクセスしました。

ところで、自分で署名したメールを自分宛に送付して、該当メールを
選択した状態で、「電子署名の検証」を実行したら、「S/MIME検証結果」ダイアログ
で下記のエラーが出ます。

「× !!!署名が不正が、またはメールが改ざんされていると判定されました。
エラーコード = 80090006」

ちなみに、メールの電子署名後はそのまま送信しました。(改ざんはしていません)

また、「失効確認β」や「WinVerifyTrustによる確認β」では
「○　証明書は失効していません。」と表示されます。

受信メールの添付ファイルには「smime.p7s」
「Receive_Log_for_PGP_verify.bin」の２つがついていました。

動作環境：秀丸メール：Ver.5.00beta31です。
OS:WindowsXP SP2

RE:33398 秀丸メールでPKI対応しています

秀まるお2 さん　08/02/25 09:26

　失効確認はまだダメみたいです。WinVerifyTrustもちゃんとチェックしてる
のかどうか信用できないです。

　それで、やはりちゃんと信用出来る失効確認をするためには、自分でCRL
（証明書失効リスト）をサーバーからダウンロードして、そのデータを使って
失効確認させるしか無いと思います。ってことで、そういう処理を作ってみよ
うと思います。

> 「× !!!署名が不正が、またはメールが改ざんされていると判定されました。
> エラーコード = 80090006」

　これはつまり、本当にメールが改ざんされてるか、または秀丸メールのバグ
ってことかと思いますが…。１つテストして欲しいことがあります。

　送信済みフォルダに送信済みになったメールがあるので、それを選択して
「暗号の復号／電子署名の検証」を実行してみて欲しいです。それで成功する
としたら、やはり受信したメールの内容が何か狂っているのだと思います。

　送信済みメールでは大丈夫だとしたら、送信済みメールを選択して「検索・
関連するメール・このメールのログ」を実行してから「そのまま開く」で送信
ログを開き、それと今度は受信したメールから同じく受信ログを開いて、その
メールの本文部分の内容がどこか書き換わってる部分があるかどうか比較して
みて欲しいです。

　例えば２つの中身をそれぞれ秀丸エディタに貼り付けて「ウィンドウ・他の
秀丸エディタと内容比較」とすると、どこが書き換わってるか分かると思いま
す。

--------------
　改ざんしてエラーになるかどうかのテスト方法がもう１つあるので試してみ
るといいんですが…。送信済みメールを選択して「関連するメール・このメー
ルのログ」で送信ログを開いて、そこで「編集・暗号の復号/電子署名の検
証」を実行すると、普通成功します。

　ここで「設定・編集を許可する」としてからメール本文の所を適当に書き換
えて「暗号の復号/電子署名の検証」を実行すると、たしかに「×!!!署名が不
正か、またはメールが改ざん…」のエラーになります。

　僕の所ではたしかにそういう確認が出来てますけども…。

RE:33405 秀丸メールでPKI対応しています

siniti さん　08/02/26 09:55

秀まるお2さん

>> 「× !!!署名が不正が、またはメールが改ざんされていると判定されました。
>> エラーコード = 80090006」
>
>ってことかと思いますが…。１つテストして欲しいことがあります。
>
>　送信済みフォルダに送信済みになったメールがあるので、それを選択して
>「暗号の復号／電子署名の検証」を実行してみて欲しいです。それで成功する
>としたら、やはり受信したメールの内容が何か狂っているのだと思います。

やはり、「× !!!署名が不正が、またはメールが改ざんされていると判定されました。
エラーコード = 80090006」
でした。
私の操作がおかしいのでしょうか？

操作は、普通に、「新規メール」であて先で自分を指定して、件名を入力して、「編
集」-「暗号化/電子署名」のダイアログで処理=電子署名
と形式/処理プログラム指定=S/MIMEを指定して「OK」を謳歌すると
ICカードにアクセスして、「暗号化/電子署名」ダイアログで「今すぐ送信」をした
だけですが。

>--------------
>　改ざんしてエラーになるかどうかのテスト方法がもう１つあるので試してみ
>るといいんですが…。送信済みメールを選択して「関連するメール・このメー
>ルのログ」で送信ログを開いて、そこで「編集・暗号の復号/電子署名の検
>証」を実行すると、普通成功します。

ここでも失敗します。
やはり私の操作ミスですかね？
何が悪いのか不明です。

RE:33425 秀丸メールでPKI対応しています

秀まるお2 さん　08/02/26 10:43

　そのエラーはNTE_BAD_SIGNATUREというエラーらしいんですが…。電子署名
には成功しているのだから、検証でそのエラーが出るはずは無いんですけどね。

　僕もちょっと分からないので、すみませんが電子署名したメールを１通でい
いので僕に直接送ってもらう訳にはいかないでしょうか。それでたしかに僕の
所でも同じエラーが出るとしたら、具体的に何がおかしいか調べられるかと思
いますので。

　メールの送り先は、 maruo@mitene.or.jp です。

RE:33426 秀丸メールでPKI対応しています

秀まるお2 さん　08/02/26 12:11

　あと１つ思い当たる原因がありました。

　もしも、「マクロ・マクロ登録...」の「自動起動・あとで送信/今すぐ送信
時」の所に何かマクロを登録されておられるならば、それを一度無しにしてテ
ストしてみて欲しいです。

　もしかしたらそのマクロがメール本文を（電子署名した後に）書き換えてい
ると、改変された扱いになってしまいますので。

RE:33429 秀丸メールでPKI対応しています

siniti さん　08/02/26 18:34

秀まるお2さん

>　あと１つ思い当たる原因がありました。
>
>　もしも、「マクロ・マクロ登録...」の「自動起動・あとで送信/今すぐ送信
>時」の所に何かマクロを登録されておられるならば、それを一度無しにしてテ
>ストしてみて欲しいです。
>

上記に指摘していただいた、
「送受信の開始直前」のマクロを削除したらＯＫでした。
ご迷惑をおかけしました。

>　もしかしたらそのマクロがメール本文を（電子署名した後に）書き換えてい
>ると、改変された扱いになってしまいますので。

確かにおっしゃるとおり、電子署名した後で、「送受信の開始直前」の
マクロが実行されるので、改ざんしますね。
これはどうするかを考えます。