こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

SSLの使い方の工夫?

ニュースで時々話題になるYahooJAPAN ID流出問題について、

ですが、ヤフーメールはSSLで暗号化するから安全だをとの説明も良く見ます。
なんとなく、頼りにしたいSSLですが、

この、SSLの設定をうまくやって、
IDとパスワードが流出しても、正規の持ち主以外はヤフーメールを読めない。ようにする。
そんな、SSLの使い方はできないのでしょうか?

よろしくお願いします。

投稿日時 - 2013-06-23 18:14:14

QNo.8146532

困ってます

質問者が選んだベストアンサー

>安全、安全と宣伝するなら、プライバシーを守れるくらいの機能は、オプションで持たせて欲しいと思います。

プライバシーを守るのはIDとパスワードです。SSLは通信路の暗号化をするだけ。

>いまのままでは、SSLの安全性が口先だけのように思えてしまいます。

SSLの機能に対して大きな勘違いをしていると思いますよ。
SSLの機能は二つあって、
1.(主目的)
 接続している相手のサーバーの証明書を使って相手が登録された本物のサイト(偽物でない)と証明する
2.通信経路を暗号化して、経路での盗聴を防止する

利用者が、正当な利用者か、IDとパスワードを盗んだ偽物かなどはSSLには全く関係ありません。
どちらも、SSLのメリットを享受できます。

投稿日時 - 2013-06-23 21:11:42

お礼

ありがとうございます。

そもそも、目的が違ったのですね。
あまりにも安全性が強調されているので勘違いしました。
IDとパスワードが何度も流出を繰り返す現状では、

SSLの上に独自の暗号化レイヤーを(ブラウザのプラグインなどで)設けて通信する

をしておくほうが良い。と考えました。
もう一段、別に暗号化するものを探してみます。

また、よろしくご指導ください。

投稿日時 - 2013-06-24 06:27:20

ANo.3

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(3)

ANo.2

>SSLで暗号化するときの、暗号化鍵をユーザーが自由につくれて、それを使って暗号化して、

それはすでにSSLではありませんが、SSLの上に独自の暗号化レイヤーを(ブラウザのプラグインなどで)設けて通信することは十分可能です。ただ、その別途手渡した鍵の情報が流出あるいは、偽サイトに流れてしまったら、同じ事ですが。

投稿日時 - 2013-06-23 19:22:31

お礼

ありがとうございます。

SSLの解説で、次のようなものもありました。

しかし、Yahooメールは暗号化されています。前者はyahooを見るためにいちいち暗号化する必要はないですし、後者はプライベートなことですので、メールの中身が他の誰かに盗聴される危険性をなくすためです。

というような、解説をみたりすると、
少し変形してくれれば、プライバシーを守れるSSLになるとおもうのです。
いまのSSLではだめならば、機能拡張をしてほしです。
安全、安全と宣伝するなら、プライバシーを守れるくらいの機能は、オプションで持たせて欲しいと思います。

プラグインなど無くても、SSLの標準的な機能として拡張して欲しいです。
いまのままでは、SSLの安全性が口先だけのように思えてしまいます。

投稿日時 - 2013-06-23 20:39:19

-広告-

ANo.1

生のIDとパスワードが流出してそれを知られたら、それを知っている人と正規の持ち主の区別が付きません。
システムで保管するパスワードはハッシュという復元不可能な暗号化をしているので、システムの脆弱性を突いて生のパスワードが流出することはありません。あるとすれば、偽サイトでユーザーに正しいパスワードを入れさせるとか、PC側に何か仕込むとかですね。

なお、IDとパスワードを知っているだけではログインできないようにする仕組みを二段階認証とか言って、取り入れるところも出てきています。IDと通常のパスワードの他に使い捨ての認証コードを入れる。
使い捨て認証コードは必要なときにメールで送ってきたり、機械や専用プログラムで生成したり。

投稿日時 - 2013-06-23 18:36:15

お礼

ありがとうございます。

SSLで暗号化するときの、暗号化鍵をユーザーが自由につくれて、
それを使って暗号化して、
そのメールの本来の受け取り手には、復号化の鍵を送っておく(会って手渡す)
受け取った人は、復号化鍵を使ったSSL通信で自分のPCで復元する。

暗号化鍵は送信者の手元に、復号化の鍵は受信者の手元にある。他にはない。

そんな、SSLがあれば都合がいいのではないかと思いますが、
そんな使い方は出来ないのでしょうか?

投稿日時 - 2013-06-23 19:03:14

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-