S/MIMEで使える、個人用証明書を探していた。企業に属する社員としての個人ではなく、純然たる個人用である。
国内の業者だと、社員を大量に抱える企業向けサービスとして取り扱っているところはあるのだが、個人では相手にしてくれないようなので、海外の業者を当たることにする。
そもそもS/MIMEとは、以下のようなことを目的とした技術だ。
- メールを暗号化して機密を保持する
- メールの差出元アドレスの実在を保証する
- メールの差出人や差出元組織の実在を保証する
- メールの差出元アドレスの所有者が、確かにその個人あるいは組織であることを保証する
どうして、こういったことが必要になるのか。それは、メールの差出人は簡単に詐称できるからである。他人のふりをしてメールを出すことなど、いくらでもできるのだ。
よって、S/MIMEで署名されていないメールは、どこから送られてきたものか分からない。
しかし、署名されていればいいというものでもない。それを以下で解説しよう。
世間では、S/MIME用の証明書を無料で取得できるところもある。ThawteとかComodoとか。
Verisignは有料だが、内容は上記のような無料業者と変わらない(Class 1の場合)。
これらの無料業者の問題点は、メールの到達確認のみで実在認証を行うことだ(Thawteの場合は厳密には違うが、取得直後は同じ状態である)。
簡単に言えば、これで実現できるのは、上に挙げた4つの目的のうちの最初の2つだけだ。
上記の業者が、差出元アドレスの実在性だけは保証してくれる。だが、そのアドレスを誰が使っているかまでは関知しない。
これの何が問題かというと、そのアドレスに届くメールを盗聴可能な人間ならば、そのアドレスの持ち主になり済まして発行申請をすることができるという点だ。
メール以外の方法で本人確認を行う業者もある。
GlobalSignやGeoTrust、IdenTrust等である(GeoTrustは電話、GlobalSignとIdenTrustは運転免許証等による認証がある)。
こういったところでは本人確認を行うため、無料業者よりはマシである。こういった業者は、4つの目的のうち、上から3つまでを保証してくれる。
しかし、まだ完全ではない。メールアドレスの本来の持ち主以外の人間が申請することが可能だという問題は依然として残っている。第4の目的を達成できなければ、第3の目的は大して意味がない。
S/MIMEの最大のポイントは、この第4の目的なのだが、そもそも、それを証明するために証明書が必要なのであって、証明書の発行業者は、証明書を発行するためにこの確認をしなければならないという矛盾がある。
実のところ、4つの目的をすべて達成できるような本人確認の方法は思いつかない。国内企業向けなら可能なのだろうが、個人向けでは海外の業者しかサービスを行っていない以上、申請者が業者の元に出向くことができないからだ。
日本ジオトラストが、個人向けの証明書の発行サービスを予定しているらしい。本人確認がどのように行われるのか、注目である。
なお、余談ではあるが、上に挙げたThawteとGeoTrustは、いずれもVerisignに買収された子会社である。また、GlobalSignと日本ジオトラストは、ともにGMOホスティングアンドセキュリティ株式会社の子会社である。