Iris Today Archives: S/MIME を利用して電子メールのセキュリティーを強化する

S/MIME を利用して電子メールのセキュリティーを強化する

Chuck Connell, President, CHC-3 Consulting

チャック・コネルは、 CHC-3 Consulting の代表であり、ドミノとノーツを 11 年間利用してきました。CHC-3 の前、チャックはロータスにおいていくつかのポジションで働いており、ノーツ C API キットの開発担当などをしていました。



2001年 12月 04日

ドミノサーバー経由で1つのノーツクライアントから他のノーツクライアントに電子メールを送信するとき、おそらくあなたはそのメッセージのセキュリティーについてはあまり深く考えないでしょう。いずれにせよ、ノーツとドミノはデータの安全を保証するセキュリティー機能を持っていますから。しかし、Outlook のような他の電子メールクライアントを利用している人に電子メールを送る場合や、他の電子メールサーバー経由で送る場合はどうなるのでしょう?ノーツメールのように、安全は保証されるのでしょうか?世界中のあらゆる団体の間でメッセージのやり取りがされる中、この質問への答えの重要さは、日々増しています。その答えの1つとなるのが S/MIME なのです。

S/MIME は Secure Multipurpose Internet Mail Extension の略です。S/MIME は電子メールセキュリティーの世界標準で、あまり安全でなかった MIME がベースになっています。(さらなる情報は MIME についてをご覧ください。)

この記事では S/MIME の基本的な知識と、これがノーツとドミノでどのように利用されているかについて書かれています。まず S/MIME の重要性と、これがどのような目標を達成するために設計されたかを説明します。パブリックキーを含む暗号法の基本的なバックグラウンドと、シークレットメッセージや認証メッセージにどう利用されるかを説明します。これらの基本原理を S/MIME に照らし合わせ、S/MIME はどのように動いているのかをお見せします。x.509 証明書の説明と、S/MIME でこれがどのようにしてユーザーの身元を認証しているのかの説明もあります。そして最後に、ドミノでの S/MIME の詳細な使用方法を見ながら S/MIME がドミノとノーツメッセージングでどんな立場にあるのかを見ていきます。

秘密性と認証

データセキュリティーソフトウェアを使う場合、頭字語や専門用語がいっぱい出てくるので、多くのそれが複雑です。そこで重要になるのが、1つ1つのセキュリティー機能に対して、「この機能はなぜ重要になるのか?」、もしくは「この機能には、以前のものにはなかったどのような重要な能力があるのだろう?」と常に自分自身を問いただすことが大事になります。

S/MIME は私たちに何を提供してくれるのでしょうか?電子メールトラフィックに関わるきわめて重要なものを提供してくれます。それは、秘密性と認証機能です。

秘密性」とは、メッセージ宛先の受信者だけがその内容を読める、ということです。電子メールではなく手紙のケースで言えば、手紙を分厚い封筒に入れて(光に透かして見えないように)、しっかりと封をして、信頼できる特使にその手紙を配達してもらうということになります。「認証」とは、電子メールを受け取った本人が、そのメールが実際に送信者である差出人から送られてきたことを確信する、ということになります。これを手紙のケースで言えば、手紙の受取人が、手紙の署名を差出人のものだと確信し、偽署名であれば必ず見抜ける自信がある、ということになります。

認証と近い関係があるのがメッセージの「保全性」のコンセプトです。実際の差出人からの電子メールであるという証拠がついたメールを受け取ったとき、送られてくる過程で誰にも開封や改ざんがされていない、ということも知りたいでしょう。保全性がないと認証はほとんど無意味になってしまいます。電子メールが実際の差出人からのものだとわかっても、そのメールが送信された後に途中で改ざんされていないことを確信できなければ、意味がありません。

S/MIME やこれに似たテクノロジーが登場する以前、インターネットメールユーザーは秘密性や認証機能を持っていませんでした。電子メールはプレーンテキスト形式で伝送されていたので、せんさく好きなシステム管理者や悪意を持った人は、送信者から受信者に届く間に電子メールを読むことが可能だったのです。また S/MIME がないと、自分以外の誰にでも扮して電子メールを送信することさえ簡単にできたのです。([ツール] - [アカウント] - [メール] - [プロパティ] で Outlook Express の設定を変更すればこれが実験できます。)


暗号法入門

S/MIME は、パブリックキー暗号法とより標準的な暗号技術を組み合わせることで、秘密性と認証を達成しています。これらのコンセプトを理解することで、S/MIME がどう作用しているのかを理解できるでしょう。

シークレットメッセージを作成する伝統的な方法は、「シークレットキー」を使ってメッセージをごちゃ混ぜにすることでした。キーには文字、数字のセット、本からのテキストなど何でも利用できます。メッセージは解読不能になるようにキーが埋め込まれ、同じキーを使って解読しない限り読むことができません。メッセージにキーを埋め込む方法は多くあり、簡単なものから非常に複雑なものまであります。しかしながらこれらすべてのケースでも、基本的なアイディアは同じです。2人のユーザーが暗合化メッセージを互いに送り合って、送信者と受信者だけがシークレットキーを知っているので、他人はこれらのメッセージを読むことができません。(もちろんこれは最終目標です。他のキーシステムより優れているものもありますが、完璧なものはありません。)

1970 年代に、他のものとは画期的に異なる新しいタイプの暗合化方法が発明されました。これが「パブリックキー暗号法(PKC、public key cryptography)」と呼ばれるものでした。とはいえ PKC のより正確な名称は、パブリック/プライベートキー暗号法です。なぜならこのメソッドは、2つのキーを利用するためです。このケースでのキーは、大きな素数に関連する大きな数字になります。2つのうち1つのキーは欲しい人なら誰にでも配布して、もう1つのキーはキーペアに関係する人が保管します。両方のキーで暗合化(シークレット)メッセージを作成できますが、解読(リカバー)するためには、暗合化に使われていない方のキーを使います。このことから(片方のキーで暗合化し、もう片方で解読する)、PKC はまた非対称型暗号(asymmetric cipher)としても知られています。次の例が示すように、2つのキーがあってこそ PKC を秘密性、認証、またはこの両方のために利用することができるのです。

パブリック・プライベートキーの例その1:秘密性のみ
例えば、私がケイティにシークレットメッセージを送りたいとしましょう。メッセージの内容が「Let's have breakfast at Dunkin Donuts.(ダンキンドーナッツで朝食をいっしょにどうですか)」だとします。私はケイティのパブリックキー(アクセス権を持っている必要があります)を使ってメッセージを暗合化し、「4dRf7H4rt7dUfd3h58nGcFu7」というような具合に解読不能にします。メッセージを受信した後、ケイティはこのシークレットメッセージと彼女のプライベートキーを解読アルゴリズムに入れ、私の送った元の招待状をリカバーします。ケイティのキーペアのプライベートキーでしかメッセージを解読できないので、他の誰にも読まれることがありません。またこのメッセージは、たとえメッセージの暗合化に利用されたものであっても、ケイティのパブリックキーを持ってしても解読することはできません。(これは最終目標です。完璧なパブリックキーはまだありません。)

パブリックキーの例その2:認証のみ
先ほどと同じメッセージをケイティに送りたいのですが、今度はプライバシーより認証に重点を置きたいとします。他人にメッセージを読まれてもかまいませんが、このメッセージの差出人が私であるとケイティが確信できるようにしたいのです。このケースでは、私のプライベートキーを使ってメッセージを暗合化し、読みとれない文章を作成します。私は「両方」、つまり暗合化していない元のメッセージと暗合化した後の読解不能なメッセージをケイティに送信します。ケイティがこれらのメッセージを受け取ったら、彼女は私のパブリックキー(アクセス権を持っている必要があります)を使って読解不能なメッセージを解読します。そしてこのメッセージを暗合化されていない元のメッセージと比較します。2つのメッセージが同じであれば、私が送ったメッセージが他人に改ざんされていないことを、ケイティは確信できます。誰も私のプライベートキーを持っていないので、私のパブリックキーで解読できるような招待状を暗合化できるはずがありません。もし誰かに改ざんされていたとすれば、2つのメッセージは異なることになります。

パブリックキーの例その3:秘密性と認証
先ほどと同じメッセージをケイティに送りたいのですが、今度はシークレットであり認証されたメッセージにしたいとします。実はこれは、上で挙げた技術を使えば簡単なことなのです。「例その2」のように、メッセージを私のプライベートキーで暗合化し、元の招待状と組み合わせます。しかしケイティに2つのメッセージを送信する前に、ケイティのパブリックキーを使って1つのパッケージとして暗合化するのです。ケイティがこのパッケージを受け取ったら、彼女のプライベートキーを使って2つのメッセージを解読し、私からのメッセージを認証します。ケイティ以外の人は、これらのメッセージを解読することができないので、私からのメッセージだということが確認できるのです。

他のコンセプト
もう1つ「ハッシング(hashing)」という重要な、暗号法のコンセプトがあります。ハッシングとは、元の形に復元することの難しいメッセージの短いバージョンを作成することを指す言葉です。例えば、"Let's have breakfast at Dunkin Donuts" (ダンキンドーナッツで朝食をいっしょにどうですか)というメッセージのハッシュは、 "dT5hDu" のような形になります。ハッシュから、元のメッセージを復元する簡単な方法とならないようにすることが重要であり、そうでなければハッシングアルゴリズムはあまり使えません。ハッシングはメッセージの短いバージョンを作るので、ハッシュされたメッセージは、「メッセージ・ダイジェスト(message digest)」として知られています。

最後に、「パブリックキー証明書(public key certificate)」のコンセプトを見てみましょう。パブリックキー証明書は、ユーザーの名前とパブリックキーの間に信頼できるリンクを作る1つの方法です。このようなメカニズムがないと、認証された電子メールを誰でも送信することができ、それが他の人から送られてきたものだと言い通すことができてしまうのです。ヨランダ・ヨダラキーという名前でパブリック/プライベートキーペアを作成し、他人が利用できるようパブリックキーを公開し、電子メールをプライベートキーで署名し、ヨランダからのメールとして他人を騙すことができてしまうのです。パブリックキー証明書がこの問題を解決してくれます(もちろん完璧ではありません)。パブリックキー証明書のもっとも一般的なフォーマットは x.509 であり、このフォーマットは S/MIME にも利用されています。

x.509 証明書には、ユーザーに関する次の情報が含まれています。

  • ユーザーの名前
  • このユーザーのパブリックキー
  • 認証機関名
  • 認証機関の電子署名
  • 有効期限
  • その他の情報

「認証機関(certificate authority)」は、名前やパブリックキーをリンクするための、私たちが信頼する組織です。認証機関が、あるパブリックキーがある人のものだと主張すれば、私たちはこれを信じない術はありません。

しかし、まだ問題はあります。特定の x.509 が信頼できる認証機関からのものであり、偽物ではないことをどのようにしたらわかるのでしょうか?私たちは、 x.509 証明書の有効性を、認証機関の電子署名を解読することでチェックしています。そしてこれはどうやっているのでしょうか?パブリック情報である、認証機関のパブリックキーを利用するのです。

実際に x.509 証明書を利用するためには、認証機関のパブリックキーの値がパブリックであり、信頼されていなければなりません。Netscape と Internet Explorer には、信頼された証明機関名とパブリックキーが含まれています。ユーザーはまた、ユーザー自身が信頼する他の認証機関を、内蔵のリストに追加することもできます。ノーツ/ドミノユーザーと管理者は、「インターネット相互認証(Internet cross certificates)」を作成し、ユーザーの個人アドレス帳に保管することで、認証機関のパブリックキーに信頼を置くことができます。


S/MIMEの仕組み

S/MIME は、伝統的な対称的暗号とパブリックキー暗号法、ハッシング、そしてパブリックキー証明書を組み合わせています。これらの方法が S/MIME で組み合わされている理由は効率性です。それぞれの方法の良い点を正しい場所に利用することで、ある程度安全なスキームになり、それでいてシステムに負担をかけず、高い実用性を発揮するのです。

S/MIME で使われているもっとも一般的な対称的暗号は、RC2 と TripleDES です。通常のパブリックキーメソッドは RSA で、ハッシングのアルゴリズムは SHA-1 もしくは MD5 になります。これらのアルゴリズムの数字的詳細は、この記事の終わりにあるリンク先に掲載されています。S/MIME 内で使われている各暗号法技術の内容は、その基本的な役割を理解する上では必要とされません。

S/MIME は、これらの技術を次のように組み合わせています。

S/MIME 例その1:秘密性のみ
例えば、私がケイティにメッセージを送り、他の人に読まれないようにしたいとします。私が使っている電子メールプログラムとケイティのそれは、次のステップを踏みます。

  1. 私の電子メールプログラムが対称的暗号で利用されるランダムキーを作成します。この電子メールのセッションでのみ使用されるこのキーは「セッションキー」と呼ばれています。
  2. 私の電子メールプログラムがセッションキーを使い、対称的暗号でメッセージを暗合化します。
  3. 私の電子メールプログラムがケイティのパブリックキーを使い、パブリックキー暗号法でセッションキーを暗合化します。
  4. 私の電子メールプログラムが、暗合化されたメッセージ、セッションキー、私の x.509 証明書、そして使用された暗合化アルゴリズムの身元を含む、データのパッケージを作成します。
  5. このパッケージデータがケイティに送られます。これが S/MIME 電子メールメッセージなのです。
  6. ケイティの電子メールプログラムがメッセージを受信すると、ケイティのプライベートキーを使ってセッションキーを解読します。
  7. このセッションキー(と非対称暗号の情報)を使って、ケイティの電子メールプログラムはメッセージを解読します。

S/MIME テクノロジーにおいて、シークレットメッセージは「封筒データ(emveloped data)」、もしくは「電子封筒(digital envelope)」と呼ばれることがあります。

S/MIME 例その2:認証のみ
例えば私がケイティーにメッセージを送り、差出人が本当に私であることを彼女に証明したいとします。私の電子メールプログラムとケイティーのそれは次のステップを踏みます。

  1. 私の電子メールプログラムはハッシング機能を使ってメッセージのダイジェストを作成します。
  2. 私の電子メールプログラムは私のプライベートキーを使い、パブリックキー暗号法でメッセージダイジェストを暗合化します。
  3. 私の電子メールプログラムが元のメッセージ、暗合化されたメッセージダイジェスト、私の x.509 証明書、そして使用された暗合化アルゴリズムの身元を含む、データのパッケージを作成します。
  4. パッケージデータが、ケイティに送信されます。これが S/MIME 電子メールメッセージになります。
  5. ケイティの電子メールプログラムがメッセージを受信すると、私の x.509 証明書だということを確認し、証明書から私のパブリックキーを引き出します。
  6. ケイティの電子メールプログラムは、私のパブリックキーを使ってメッセージダイジェストを解読します。
  7. ケイティの電子メールプログラムは、ハッシング機能の情報を使って、元のメッセージのメッセージダイジェストを独自に計算します。
  8. ケイティの電子メールプログラムは、暗合化された(私からの)メッセージダイジェストと計算したメッセージダイジェストを比較します。2つのダイジェストがまったく同じものであれば、メッセージが他人に改ざんされていないとケイティは理解します。

S/MIME テクノロジーにおいて、認証は「署名済み(signing)」や「電子署名(digital signature)」がなされていると呼ばれることがあります。

S/MIME 例その3:秘密性と認証
シークレットであり認証されたメッセージを送るために、上でお見せした S/MIME は単純に入れ子になります。最初にメッセージが認証され、認証されたパッケージに秘密性を付加し、そしてシークレットパッケージが受信者に送信されます。受信者はプライベートキーを使ってセッションキーを解読し、そのセッションキーを使って残りのパッケージを解読します。解読し終わると、残ったメッセージが署名された S/MIME メッセージとなり、上で説明したように認証されているわけです。


ドミノとノーツにおけるS/MIME

これまでは S/MIME の基礎知識をお伝えしてきましたが、ここであなたは S/MIME が標準のノーツメールで大きな役割を果たしていると考えるでしょう。実はそうではないのです。標準のノーツメール(ノーツクライアントのソフトウェアを持っている2人のユーザーでドミノサーバーに接続している状態)は、秘密性と認証のために S/MIME を必要としないのです。以前からノーツクライアントとノーツ ID ファイルに組み込まれている機能が、S/MIME と似たような技術を使って、すでにこれらの機能を提供しています。ノーツメールで秘密性と認証を使用したい場合、ノーツメールを作成している間に [送信オプション] ダイアログボックスを開いてください。[署名] というオプションによって認証機能を、[暗合化] オプションが秘密性を提供してくれます。

しかしながら、ノーツ/ドミノを利用している顧客にとって S/MIME は、重要であることも事実です。それは、ノーツユーザーは非ノーツユーザーとメッセージを交換することが日常だからです。多くの人は結局のところ、 Outlook や Outlook Express、Netscape Messenger、Groupwise その他の電子メールプログラムを利用しているのです。(これら4つ共に S/MIME 互換です。)また、S/MIME がないとあなたの組織の人たちが、非ノーツメールプログラムからドミノにアクセスする際に、秘密性や認証を利用できないことになってしまいます。

ノーツ/ドミノを利用している顧客が、純粋なノーツメールを使用していない場合、次の3つの状態があります。

  • ノーツを電子メールプログラムとして使っていない人と、ドミノサーバー経由で、ノーツを使って電子メールの送受信を行っている場合。
  • 記以外の人とドミノサーバー経由で、ノーツを使って電子メールの送受信を行っている場合。この場合、あなたはノーツをインターネット電子メールクライアントプログラムとして使用していますが、ノーツメールの機能を無視しています。(このケースであなたは、ノーツを POP3 または IMAP そして SMTP として使用しています。)
  • 同じく上記以外の人と非ノーツメールプログラムを使って、電子メールの送受信を、ドミノサーバー経由で行っている場合。(あなたは、ドミノを POP3 または IMAP サーバーとして、SMTP を介して使用しています。)

S/MIMEを使う

これまで私は S/MIME の基本的な知識と仕組みについて説明してきました。しかしながら、日常で S/MIME をただ単に使っている方が、これを理解することより簡単なことです。(優秀なセキュリティー機能はこのように設計されているのです。)そこでこれから先は理論は横に置いて、シークレットな、認証された、またこの両方の要素が入った電子メールを送受信する方法を説明していきたいと思います。

電子 ID(digital ID) を取得する
S/MIME を利用する上でまずやらなければならないことは、「電子 ID」を取得することです。電子 ID とは、特定の名前におけるパブリックキーの有効性を証明するための、パブリック・プライベートキーのペアであり、名前であり、そして証明書でもあります。

電子 ID を販売しているもっとも有名な会社は、 VeriSign と Thawte です。VeriSign で ID を購入すると1年間に 15 ドルほどかかりますが、簡単に取得できて使いやすいです。Thawte の ID は代金はかかりませんが、 ID に名前を付加するためにいろいろ操作をする必要があります。忙しいビジネスユーザーは、おそらく簡単な VeriSign を選ぶことでしょう。

1つ注意してください。必ずオンライン説明書に沿って ID の取得を行ってください。すべての操作を1つのパソコンからやるなど、指示されたことはその通りにやってください。

補足としてですが、ドミノ管理者はドミノ認証機関アプリケーションを使えば、全ノーツユーザーに対して自動的に x.509 証明書を発行することができます。このプロセスはドメイン内のエンドユーザーには見えず、彼らは自身専用の電子 ID を取得しなくとも S/MIME を利用できるようになります。認証機関アプリケーションの設定を行った後、ドミノ管理者はドミノディレクトリからユーザーレコードを選択し、[アクション] - [選択されたユーザーへのインターネット認証の追加] としてください。するとユーザーレコードに保存されているパブリックキーを元に、各ユーザーに対してインターネット証明書が発行されます。こうすることにより、ユーザーが次回ホームサーバーを使って認証を行うと、ユーザーの ID ファイルに証明書が自動的に追加されるのです。

ドミノ自身を証明機関とする場合、電子メールの受信者が、あなたのドミノ認証機関を信頼した機関として認めなければなりません。なぜなら、彼らの電子メールプログラムにプリインストールされている信頼した機関に、ドミノは含まれていないからです。ドミノ認証機関に関するさらなる情報は、Iris Today の記事、 "Trust yourself: Become your own certification authority" をご覧ください。

ドミノで S/MIME を使う
ドミノ R5 は MIME (そして S/MIME)メッセージを普通に処理できます。ですから S/MIME メッセージをドミノサーバーに通すためにしなければならない設定は、何もありません。

一般的な電子メールクライアントで S/MIME を使う
あなたが現在使用しているのがすべてマイクロソフト社の製品であり、そのパソコンに電子 ID を取得すると、あなたのプライベートキー証明書とパブリックキー証明書は自動的にインストールされます。そしてこれらの証明書は、 Internet Explorer と Outlook/Outlook Express に組み込まれます。電子 ID 取得後は、これを簡単に確認することができます。

  1. Windows では、[スタート] メニューをクリックし、[設定] - [コントロールパネル] を開いてください。
  2. [インターネットオプション] を開き [コンテンツ] タブをクリックします。
  3. [証明書] ボタンをクリックしてリストをご覧ください。

取得した電子 ID を使用するには、電子メールを作成しているときに [署名] (認証) か [暗合化] (シークレット)、もしくは両方のボタンを押します。署名されたメッセージを受信したら、添付ファイルのペーパークリップが表れる場所のすぐ近くに、これを知らせる画像が出ます。

Netscape Messenger、Groupwise その他の電子メールソフトウェアを使っている場合でも、電子 ID のインストールや使用方法の詳細は多少変わるでしょうが、基本的なアイディアは同じです。

ノーツで S/MIME を使う
次にご紹介する手順は、すでに Internet Explorer を使って Windows に電子 ID をインストールしたことを前提に、同じパソコンでその電子 ID をロータスノーツでも使用したい場合のものです。基本的に4つの段階があります。

  1. Windows から電子 ID をエクスポートします。
  2. あなたのノーツ ID ファイルに電子 ID をインポートします。
  3. ノーツから送られてくるインターネットメールのために、この証明書を利用することを確認します。
  4. ノーツで電子メールの送受信を行う際に、デジタル ID を使用します。

はじめの3つは最初に1回設定するだけなので、実際にはもっと簡単なことです。

Windows 意外のマシンにエクスポートするなど、あなたの状況が異なっていても、基本的なアイディアは同じです。

Windows から電子 ID をエクスポートするためには、次のようにします。

  1. Windows のスタートメニューから [設定] - [コントロールパネル] を選びます。
  2. [インターネットオプション] を開き [コンテンツ] タブをクリックします。
  3. [証明書] ボタンをクリックし、ノーツにエクスポートしたい証明書(電子 ID)を選びます。
    certificates dialog box
    certificates dialog box
  4. [エクスポート] ボタンをクリックします。
  5. エクスポートウィザードで [次へ] ボタンをクリックします。
  6. [はい] をクリックして、プライベートキーをエクスポートします。
  7. エクスポートする際のファイル形式を PKCS #12 にします。また [証明のパスにある証明書を可能であればすべて含む] と [強力な保護を有効にする] を選択します。
  8. [次へ] ボタンをクリックし、これから作成されるエクスポートファイルのためのパスワードを入力してください。エクスポートファイルには、プライベートキーが入っているので、自分にしかわからないようなパスワードにしてください。
  9. [ファイル名] テキストフィールドに、エクスポートファイルの名前を入力してください。c:\temp\mycert のような形で結構です。".PXF" 拡張子は自動的に付加されます。
  10. [次へ] ブタンをクリックし、[完了] をクリックしてください。
  11. プライベートキーが使用されています、という警告が出たら [OK] としてください。

ノーツ ID ファイルに電子 ID をインポートするためには、次のようにします。

  1. ノーツで [ファイル] - [ツール] - [ユーザー ID] を選択します。
  2. パスワードを要求されたら入力し、 [OK] をクリックします。
  3. [ユーザー ID] ダイアログボックスの [オプション] を選択します。
    More Options panel of the User ID dialog box
    More Options panel of the User ID dialog box
  4. [インターネット認証のインポート] ボタンをクリックします。
  5. [インターネット認証を含むファイルを指定] ダイアログボックスで、先ほどエクスポートしたファイルを参照し、[開く] をクリックしてください。
  6. ファイルのパスワードを聞かれるので、先ほど設定したパスワードを入力してください。
  7. エクスポートした電子 ID ファイルに入っている証明書のリストが表れるので、[すべてはい] をクリックしてください。

ノーツから送られたインターネットメールのために、これらの証明書が使われるようにする方法は、次の通りです。

  1. [ファイル] - [ツール] - [ユーザー ID] を選択します。
  2. [ユーザー ID] ダイアログボックスの [認証] パネルを選択します。
  3. 先ほどインポートした証明書が表示されるまで [証明書の発行者] リストをスクロールしてください。
  4. パブリックキー証明書を選んでください(認証機関証明書ではありません)。正しい証明書を選ぶと、[発行先] リストにあなたの電子メールアドレスが現れます。
  5. [署名に使用する証明書としてデフォルトに設定] チェックボックスがチェックされているか、確認してください。
  6. [OK] をクリックします。

ノーツから電子メールの送受信を行う際に電子 ID を利用する方法は、次の通りです。

  1. 電子メールメッセージを作成する際、[送信オプション] アクションボタンをクリックして [送信オプション] ダイアログボックスを開いてください。
    Delivery Options dialog box
    Delivery Options dialog box
  2. [基本] タブで [署名] (メッセージの認証)もしくは [暗合化] (メッセージをシークレット化)、または両方を選択します。
  3. [OK] をクリックします。

1つ忘れてはならないのが、ノーツメールを使っていない人に暗合化された電子メールを送るためには、あなたのドミノディレクトリのその人のパブリックキーを持っていなければなりません。証明書を持っている場合、[認証機関] の下にあるユーザー文書の [証明書] タブで確認することができます。ユーザー文書にある特定の証明書の詳細を得るには、次のようにします。

  1. 編集モードでユーザー文書を開いてください。
  2. [インターネット認証のテスト] アクションボタンをクリックします。
  3. [インターネット認証のテスト] ダイアログボックスの証明書リストから興味のある証明書を選んでください。選んだ証明書の詳細がダイアログボックスの下部に表示されます。

S/MIME を利用している人に暗合化されたメッセージを送る際、その人のインターネット証明書がドミノディレクトリのその人のユーザー文書に入っていて、あなた自身がこれにアクセスできる場合は、特に何も設定することはありません。あなたがインターネット証明書を持っていない相手に、暗合化されたメッセージを送りたいのであれば、その人にあなた宛に署名された電子メールを送るようお願いしてください。署名された電子メールを開くと、相互認証を行うよう通知されます。手っ取り早くその人の証明書を発行した認証機関(とユーザー証明書)を信頼したい場合、[件名リスト] から選択してください。メッセージが署名されているという証明は、ステータスバーに表示されます。そして メニューから [ツール] - [送信者をアドレス帳に追加する] を選びます。[詳細] タブ上のデフォルトのアイコンは、[利用可能な時 X.509 認証を含める] です。あなたのアドレス帳に接続文書が追加されると、送信者のパブリックキーが利用可能になり、暗合化したメッセージを相手に送れるようになります。


その他の情報

今回のトピックに関係する情報を紹介しておきます。

  • 暗号法や多くの有名な暗号化スキームの抜群なオーバービューは、 RSA Laboratories Frequently Asked Questions about Today's Cryptography(US) です。
  • ウィリアム・スターリングス著の「Cryptography and Network Security」、Prentice Hall 発行、1998 年、はこれらのトピックに関わる最高のテキストブックです。数学的な理論や、S/MIME の詳細を含む実用的な導入方法などをこの本はカバーしています。この本は Amazon.com(US) などいろいろな場所で入手可能です。
  • S/MIME Working Group of the IETF(US) のWeb サイトは、いくつかの文書を持っています。
  • S/MIME と類似の PGP/MIME に関する情報は、 Internet Mail Consortium の S/MIME and OpenPGP(US) のページにあります。
  • Lotus Notes and Domino R5 Security Infrastructure Revealed(US) は、ドミノ R5 セキュリティーに関する IBM の Redbook です。S/MIME を含む多くのトピックをカバーしています。
  • Iris Today の記事、 アプリケーションでのフィールド暗号化の利用では、シークレット・パブリックキー暗合化について書かれており、また Web ベースのメールのセキュリティー:ケーススタディでは、 Web ベースのメールのセキュリティーを強化するためにある企業が行ったことについて書かれています。
  • また、R5 システム管理ヘルプもご覧ください。[目次] ビューをクリックし、"s/mime" と入力してください。この本をオンラインで読むのであれば、とても長い本なので、開くのに多少時間がかかるかも知れません。

参考文献

コメント

developerWorks: サイン・イン

必須フィールドは(*)で示されます。


IBM ID が必要ですか?
IBM IDをお忘れですか?


パスワードをお忘れですか?
パスワードの変更

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


お客様が developerWorks に初めてサインインすると、お客様のプロフィールが作成されます。会社名を非表示とする選択を行わない限り、プロフィール内の情報(名前、国/地域や会社名)は公開され、投稿するコンテンツと一緒に表示されますが、いつでもこれらの情報を更新できます。

送信されたすべての情報は安全です。

ディスプレイ・ネームを選択してください



developerWorks に初めてサインインするとプロフィールが作成されますので、その際にディスプレイ・ネームを選択する必要があります。ディスプレイ・ネームは、お客様が developerWorks に投稿するコンテンツと一緒に表示されます。

ディスプレイ・ネームは、3文字から31文字の範囲で指定し、かつ developerWorks コミュニティーでユニークである必要があります。また、プライバシー上の理由でお客様の電子メール・アドレスは使用しないでください。

必須フィールドは(*)で示されます。

3文字から31文字の範囲で指定し

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


送信されたすべての情報は安全です。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Lotus
ArticleID=334726
ArticleTitle=Iris Today Archives: S/MIME を利用して電子メールのセキュリティーを強化する
publish-date=12042001