PKIへの対応についてNo.06065
江袋 さん 02/11/22 16:23
 
秀まるおさんへ

いつも鶴亀メールにはお世話になっております。

さっそくですが、鶴亀メールでPKI対応のご予定はありましたでしょ
うか?

具体的に申し上げますと、

・LDAP(これは実装済みですね)
・S/MIME
・ICカード読み取り
・失効リスト検証

――といった一連の機能の実装です。

実は私もPKIのことをよく理解できていないので、説明がうまくない
部分もあるかと思いますが、ネスケメール7やOutlook 2002などはこの
辺の機能を実装しており、基本的にPKI対応となっているようですが、
鶴亀メールの今後の開発予定の中に、上記の機能を使えるようにするご
予定があるかどうかということです。

以上、ご意見をお伺いいたしたく、よろしくお願いします。
[ ]
RE:06065 PKIへの対応についてNo.06067
たけのこ さん 02/11/22 17:12
 
たけのこです。

>さっそくですが、鶴亀メールでPKI対応のご予定はありましたでしょ
>うか?

PGP対応していますが?

>・LDAP(これは実装済みですね)
>・S/MIME
>・ICカード読み取り
>・失効リスト検証

↑ってのはPKIとして認められた認証シーケンスの一つ、で
はないのですか?

PKIとはプロトコルなどを示すものではありません。
[ ]
RE:06067 PKIへの対応についてNo.06068
秀まるお さん 02/11/22 17:24
 
 PKIというのが何か分からないので、それに対応する予定も無いってことにな
りますが、それだけではなんなので、例によってgoogle検索してみました。

 で分かったことの1つは、とりあえずS/MIME対応が必要なんじゃないかという
話です。

 そもそも、S/MIMEについてもあまり詳しいことは分かりませんが、PGPのよう
な暗号関係の仕様の一種なんですね。

 いろいろ検索したら、OpenSSLというソフトを呼び出すことで簡単に対応でき
るような気がしないでもないです。

    http://cvs.cacanet.org/fsc/smime/

 はたしてそういう簡単な物(PGPやGnuPG対応と同程度の物)なら対応してもい
いような気がします。

 はたして、ニーズがどの程度あるのか、およびテストに協力してくれそうな人
がいるのかどうか、その辺しだいかと思います。
[ ]
RE:06068 PKIへの対応についてNo.06076
江袋 さん 02/11/25 11:58
 
> いろいろ検索したら、OpenSSLというソフトを呼び出すことで簡単に対応でき
>るような気がしないでもないです。
>
>    http://cvs.cacanet.org/fsc/smime/

コメントをありがとうございます。

あれから私もいろいろと調べてみましたが、OpenSSL の Windowsマシン
への導入は、PGPとは違って自力でソースコードをコンパイルしなけ
ればならないようですね。

ほかには、既存メーラーに対するプラグインとして対応しているような
Becky!版(無料。ICカード利用も可能とのこと)や、数千円〜1万数千
円の有償のものまでありました。

> はたして、ニーズがどの程度あるのか、およびテストに協力してくれそうな人
>がいるのかどうか、その辺しだいかと思います。

私の身近なところで「PKIを運用(S/MIMEメールが流れ出す。暗号化
の際にはICカードを用いる。OL2002やNSメールは対応している)」との
情報があったので、鶴亀メールでも同様のことができそうかどうか確認
したかったのが、今回の質問のそもそもの発端です。

しかし、PKIは現時点ではかなり限定されたニーズのような気がして
きました。私自身も自力で OpenSSLを導入するのは困難な状況ですので
S/MIMEを対応して頂いてもテストへの協力は難しそうですし……。

ですので、私の身近なところでPKIが本格稼動してから、その様子を
見つつ、必要ならばもう一度ご相談させて頂くかもしれませんが、ほか
にも強力なニーズがありませんでしたら、現時点でS/MIME対応して頂く
必要はないかと存じます。

取り急ぎお礼まで。
[ ]
RE:06076 PKIへの対応についてNo.06077
秀まるお さん 02/11/25 16:28
 
 OpenSSLについてはあまり詳しくないのでなんですが、「openssl.exe」という
コマンドライン版の他に、うまくやればDLLが生成できるらしくて、オレンジソ
フトが出している「wstunnel」というソフトにはそのDLLらしき物が入っていま
した。

  「libeay32.dll,libssl32.dll  :  OpenSSL ランタイム」

 と書いてあるし。

 ということで、それらのdllを呼び出して適当に処理すれば、S/MIME対応やSSL、
さらには秀TermでのSSH対応なんかも出来るんでしょう。

 他のメールソフトで対応している物があるとはいいつつも、メールソフトの作
者が一人で全部やってる物はなさそうです。たとえばWinbiffなんかでもS/GOMA
とかなんとか、Winbiff本体の作者とは別の人が作っているようだし、Becky!に
してもプラグインの作者は別人でした。

 ということは、S/MIME対応それだけでも十分な仕事量になることが予想されま
す。おいそれと手を出せる物でもなさそうです。
[ ]
RE:06077 PKIへの対応についてNo.06078
江袋 さん 02/11/25 16:49
 
秀まるおさん、こんにちは。

> ということは、S/MIME対応それだけでも十分な仕事量になることが予想されま
>す。おいそれと手を出せる物でもなさそうです。

私も調査の段階でこれは痛感しました。

ですので、(対応をお願いするにしても)より一層慎重に事を運ばない
と、せっかく対応して頂いても使えなかった――なんて、もったいない
ことにもなりかねないと思います。

こちらでPKIの運用が始まってみたら、S/MIMEメールはほとんど流れ
なかったなんてこともあるかもしれませんし。
(仮に流れたとしても、そのときだけメーラーを使い分けて対応すると
いった手段も可能だという気もしています)

とにかく、実際にPKIが始まってからですネ。
(ガンガン要望を出していたりして!?)
[ ]
RE:06078 PKIへの対応についてNo.06093
QueenAliceCafe さん 02/11/27 11:01
 
秀まるおさん、江袋さんこんにちは。
江袋さんの身近なところに勤務しています。

もう少し背景を記述しますと、全社的に従業員全員に社員証を兼ねた
ICカードを配布し、これによりメールの暗号化や電子署名を行うこと
が間もなく開始されます。そこで、必要とされる機能として

  (1) ICカード利用
  (2) S/MIME対応
  (3) 失効リスト検証
  (4) LDAP検索

の4つが挙げられています。これら全てを満たすのはOutlook Express
とNetsacpe Mail 7.0の二つくらいで、例えばNetscape Messenger
4.7xは「失効リスト検証」のみが不可ですし、S/MIMEプラグインした
Becky!は「失効リスト検証」「LDAP検索」が不可、Winbiff+S/Goma
では「S/MIME」も「失効リスト」も「LDAP」もOKですが、ICカードが
使えないといった具合にどれも一長一短となっています。

その結果、推奨メーラーは私が個人的に最も使いたくないと思っている
「Outlook Express」と「Netscape」になってしまっています。江袋
さんも記述されている通り、運用開始後どれほど「浸透」するかわかり
ませんが、社内のメールは原則暗号化なり電子署名なりを施すことを
推奨しているため、最悪「全社員がOutlook/Netscapeに乗り換え」と
なりかねません。

ニーズの話をされていましたが、ストレートにお金の話をしますと、関
連会社含めて10万人を超えますので、乗り換えユーザを獲得する大きな
ビジネスチャンスだと思いますがいかがでしょうか?>秀まるお様
[ ]
RE:06093 PKIへの対応についてNo.06094
ぱと さん 02/11/27 11:21
 
QueenAliceCafe さん

>ニーズの話をされていましたが、ストレートにお金の話をしますと、関
>連会社含めて10万人を超えますので、乗り換えユーザを獲得する大きな
>ビジネスチャンスだと思いますがいかがでしょうか?>秀まるお様

私のところの業務用環境(会計事務所用の財務/税務のシステム)では、インターネ
ット会計ということで、メールにて、暗号化されたデータの受け渡しができるの
ですが、これに、OutlookExpress を使っています。説明書では、OutlookExpress
必須ということになっていますが、実際には、添付ファイルをつけた形で、メー
ルの起稿ができればよいので、私はもちろん鶴亀メールを使っています。

しかし、やはりこの会社にとっても、OutlookExpress経由のウィルス、ワームに
は頭を悩ませているようです。私は意見として、(Xpの新しいOEM契約では、
OutlookExpress以外のメーラーを搭載した形でも製品出荷ができるはずなので)、
OutlookExpressを標準メーラーとして使うのをやめて、別のメールをバンドルし
たらどうかということを言っておきました。この会社は、ジャストシステムと提
携しているので、ShurikenPro をとりあえず勧めて、また、自分が使っている
メーラーとして、鶴亀も勧めておきました。

既に様々な業務でも、メーラーを使うことが前提としていることが多くなってき
ているでしょうから、QueenAliceCafe さんがおっしゃるように、業務用にフォー
カスした形での機能追加を行うと、より多くのユーザーを獲得できるかもしれま
せんね。

----
ぱと
[ ]
RE:06093 PKIへの対応についてNo.06095
秀まるお さん 02/11/27 12:59
 
 メールソフトの選択肢が大きく制限されることを承知で全社的なPKI導入を決
めたのなら、つまり「Outlook Express」を全社的に導入しますってことを暗に
言ってるか、それともPKI導入を決めたおえらいさんは、Outlook Express以外の
メールソフトを使ってる社員なんて最初から居ないと決めつけているんじゃない
でしょうか。

 どっちにしても開発のためのハードルはかなり高そうなので、斉藤秀夫本人た
だ一人でPKI対応の不足分3件すべてを開発することは不可能です。

 なんでしたら鶴亀メールのソースコードごとライセンス提供するので、誰かそ
ちらの会社の詳しい部署でPKI対応版を開発して欲しい所ですが…。って、江袋
さんやQueenAliceCafeさんはそういう立場の人じゃないですよね。
[ ]
RE:06095 PKIへの対応についてNo.06096
QueenAliceCafe さん 02/11/27 15:18
 
社内の決定機関がどういう判断をしたかは、わかりかねますが、本件に関
して周知度がまだ低く、実運用となってから慌てて議論となりそうな気も
します。

> なんでしたら鶴亀メールのソースコードごとライセンス提供するので、誰かそ
>ちらの会社の詳しい部署でPKI対応版を開発して欲しい所ですが…。って、江袋
>さんやQueenAliceCafeさんはそういう立場の人じゃないですよね。

残念ながら、一ユーザに過ぎません。これは単なる私の推測ですが、自社
製品のメーラがあり、そちらのAdd-OnなりPlug-InなりのPKI開発と思いっ
きり競合しているのと思われるので、残念ながら秀まるお様の提案は難し
いと思います。逆(弊社の開発を鶴亀に組込む)の可能性は未知ですが‥‥

いずれにせよ、要望事項として頭の隅にとどめていただけたら幸いです。
[ ]
RE:06096 PKIへの対応についてNo.06097
秀まるお さん 02/11/27 16:35
 
 頭の隅にはとりあえずとどめておきます。

 何か鶴亀メールから呼び出せるように出来たPKI関係のソフトのような物でも
出てこないと無理そうな気がします。(特にICカードとか)
[ ]
RE:06065 PKIへの対応についてNo.06099
はてな さん 02/11/27 17:45
 
参考程度に、

@IT
Security&Trust
http://www.atmarkit.co.jp/fsecurity/index.html

@IT
Top > Master of Network > PKIの基礎を理解しよう!
http://www.atmarkit.co.jp/fnetwork/rensai/pki01/pki01.html

PKI 関連技術解説
http://www.ipa.go.jp/security/pki/

書籍 PKIハンドブック
http://www.src-j.com/BOOK_NO/142.htm

「知ってるよー」ということであれば、お許しください。
[ ]
RE:06099 PKIへの対応についてNo.06100
秀まるお さん 02/11/27 23:02
 
 一応、上の2つ程度は中身を少し読みましたが、あまり分かりませんでした。

 4番目の本を買えば分かるかもしれませんが…。たぶん読む暇が無いです。

 とにかく入り口だけでもこれだけ理解困難な物なので、下手に手を出す前にや
めときます。
[ ]