知らないようで知らない鍵と暗号　その2/2

今日は通信時における暗号化と鍵でしたね。初めてそんなこと聞くって方はその1/2をどうぞ。http:がhttps:になるやつですよ。俗に言いうSSL通信ね。

http:は世界の中心になりたくて叫んでる感じ。言葉さえわかればナンピトも通信内容を理解することができる。https:はテロ等準備罪で通信が傍受されるとか言ってる人たちへ説明しなければいけない感じ。二人だけの秘密の言葉で内緒話すことができる。

https:は通信が整ったら、あとは共通鍵という合言葉を使って暗号化と複合をして通信している。前回の最後の疑問は合言葉をどうやってやり取りしたのかってことだったね。その方法は秘密鍵と公開鍵を使ってやり取りされる。秘密鍵はサーバーしかもっていない秘密言葉で誰にも言ってはいけない。公開鍵は暗号化に使ってもらう公開言葉でサーバーが文字通り公開している。公開鍵で暗号化された内容は秘密鍵でしか複合できない。なのでサーバーから暗号文を送っても客には複合するすべがなく、一方通行になってしまう。そこでサーバーと通信したい客が公開鍵で暗号化した中身に、今後おたがいが暗号化と複合に使う合言葉になる共通鍵ってやつを作って忍ばせる。そして客はちゃんと返事がくるかドキドキしながら通信を開始して待つんだよ。共通鍵が送られてきたサーバーは早速「オレだよオレ、内緒話しようよ」って返事して、共通鍵をつかった暗号でお互い無事に秘密のやり取りがはじまる。

めでたしめでたしちゃんちゃん。

とはならない、なぜならオレが本当にオレなのかだれが保証してくれるのさ。そこでhttps:は証明書ってやつも公開必須という決まりがある。そう、この混沌としたネット世界においてオレがオレであるために・・・第三者がオレをオレだと証明書で保証してくれるシステム。

客がサーバー（以下オレ）の証明書をみる

↓

発行人の保証人こと認証局に確認

↓

認証局からOKの返事

↓

暗号化のためのやりとり開始

オレを保証してくれる認証局はブラウザにオフラインである最初っから登録されている。認証局にはネット界で有名な団体が名をつらねていて、客が通信しようとしているオレの証明書を、発行した認証局に、証明書が本物かどうか逐一確認して、本物と返事が来たら安心して暗号化通信を開始する。証明書の発行認証局がブラウザにないとブラウザが怒ってエラーを出すので変な認証局は使えない。

最近は、以前ちょっと話題に出した無料証明書のこともあって、https:を使用する金額面のハードルは極限まで下がった。昔は認証局への上納金が個人ではとても手に出せる範囲ではなく、オレがオレと言ったらオレなんだというジャイアニズム炸裂のオレ発行オレ保証のオレオレ証明書が個人で必要な人には主流だった。サイトに来た客には証明書の知識と、本物と確認する手間がいるため、オレオレ証明書は不特定多数に大々的には使えない。なによりもブラウザがエラーを出す。セキュリティ意識高い系のインテリ野郎はなんでもかんでもOKで進んでいくけれど、ビビリの一般人は許可せず通信を終わるよね。

そう、オレオレ証明書で最初の暗号化通信を始めるまでがネックなのである。公開鍵のやり取りがずいぶんと面倒になるからね。正規の方法だと、証明書を発行したオレを別ルート（できればオフライン）でブラウザの名だたる認証局連中に加えてもらう手間が必要。自分でオレの証明書をUSBなどで持ち歩く場合は間違いないけれど、最初の通信で証明書を仲介改ざんされたら元も子もない。改ざんされた証明書を発行した仲介者と共通鍵を交わして秘密通信してても秘密もへったくりもないからね。このとき、本物のオレは仲介者を客と勘違いして通信している。仲介者が堂々と間に入っているにもかかわらず覗き見確立である。

オレオレ証明書は相手は誰であれとりあえず暗号化通信はできるから、本人確認は別にしないといけないので注意。というかもう使わなくてもいいよね、無料で証明書作れるから！

あと、なんとメールにも同様の暗号化通信があるんだよ！送受信双方が気を付けて暗号化通信使えばだけどねｗ　まぁ、いまどきなのでwebメールをhttps:でお互いブラウのみでやり取りしてたら大丈夫だよ。

てなこったでテロ等準備罪で国家に傍受されるのが嫌な人は暗号化通信を使いましょう。サーバーが国とグルで情報を横流ししてたら知りませんよっと。

そ、証明書が本物で、通信も暗号化されて、「かいけつ～」とかかわいく言ってても、結局は情報が渡った先のオレが信用できるやつなのかって話ね。

信用できるヤツって言われるために今日もすごしますよってに。

シーユー