実際にS/MIMEを展開する場合の障害
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/02/24 06:43 UTC 版)
「S/MIME」の記事における「実際にS/MIMEを展開する場合の障害」の解説
S/MIMEを扱えない電子メールソフトもあるため、"smime.p7m"という名の本文や、"smime.p7s"という名の添付ファイルに困惑する人が多い。 S/MIMEは厳密にはWebメールソフト経由の利用に適していないという意見もある。ブラウザからローカルな端末にある署名鍵にアクセスして電子メールに署名を添付することは、やろうと思えば実現可能ではあるが、どこからでもアクセスできるというWebメールの重要な長所を複雑にする。この問題はS/MIMEに限定したものではない - Webメールに安全に署名するどの方法も、署名を実現するプログラムをブラウザで実行する必要がある。幾つかの組織はWebメールサーバが「秘密に通じている」ことを容認できると考えるが、そう考えない組織もある。考慮する点の幾つかは、下記の悪意をもったソフトウェア(マルウェア)に関してである。もう一つの議論は、どのみちサーバは組織に機密のデータを含むことが多いということである。つまり、もし追加データ(暗号文を復号するための復号鍵など)もまたそのようなサーバに格納され使用されるなら、どのような違いを作るのか。 多くの場合は復号鍵とデジタル署名の生成に用いる署名鍵を区別する。そして、署名鍵を共有するより復号鍵を共有する方が、はるかに受け入れられると考えられる。デジタル署名の否認防止面が懸念されている時、これは特に傾向が強い。署名鍵は、そのライフサイクル全体において所有者唯一の制御下にあることが、否認防止には必要とされるという極めて普遍的な合意がある。ゆえに、Webメールサーバが復号を実施することは、Webメールサーバがデジタル署名を実施するより受け入れられる可能性がある。 S/MIMEは末端から末端(エンド・トウ・エンド)のセキュリティに合わせて設定される。暗号化は通信文だけでなくマルウェアにも行われるだろう。従って電子メールが、(企業のゲートウェイなど)終端以外のどこかでマルウェアについての検査をされても、暗号化はマルウェアの検出システムを破り、首尾よくマルウェアを配布するだろう。解決策:復号後にエンドユーザの端末上でマルウェア検査を実行。 ゲートウェイのマルウェア検査に先立ち復号処理が起動するように、ゲートウェイサーバ上に復号鍵を格納(これは見方によっては暗号化の目的を無にするにもかかわらず、もう一方のユーザの電子メールを読むためにゲートウェイサーバへのアクセスを誰でも可能にする)。 エンド・トウ・エンドの署名と暗号化を維持しながら、通過中に暗号文の内容を検査するために特に設計された通信内容検査システムを使用。そのような解決策は、通信文の復号に用いる双方の復号鍵および一時的に復号された内容の、保護機能が内蔵されていなければならない。
※この「実際にS/MIMEを展開する場合の障害」の解説は、「S/MIME」の解説の一部です。
「実際にS/MIMEを展開する場合の障害」を含む「S/MIME」の記事については、「S/MIME」の概要を参照ください。
- 実際にS/MIMEを展開する場合の障害のページへのリンク