読者です 読者をやめる 読者になる 読者になる

PGPでメールを暗号化して送信してみた

すごい広島

PGPとはメールの暗号化に用いられる公開鍵暗号ソフトウェアでの1つであり、企業などでのメール交換などに利用されているらしいです。

詳しい仕組みについてはこちらのサイトで解説されています。

1分でわかるPGP - 村川猛彦

今回はPGP鍵を利用してIPAにあるサイトの脆弱性の報告をしてみました。

GnuPGPをインストール

まず、暗号化に必要なソフトウェア(GnuPG)をインストールします。

GnuPGのサイトからソフトをダウンロードしてインストールします。(ざっくりとした説明)

 

Thunderbird側での設定

ツール」メニューから「アドオン」を選択します。

アドオンマネージャの検索フォームで「Enigmail」と検索し、「Enigmail」をインストールします。

インストール・再起動した後、「OpenPGP」メニューを選択してGnuPGのディレクトリを指定します。(gpg.exeというファイル名です)

GnuPGのディレクトリを指定した後、Thunderbirdを再起動します。

 

f:id:nemumupoyo:20140601164855p:plain

 

 

公開鍵の登録方法

次に、送信する際に使う受信者の公開鍵を登録します。「OpenPGP」メニューを選択して「鍵の管理」を選択します。f:id:nemumupoyo:20140601165615p:plain「OpenPGP鍵の管理」メニューが表示されたら「ファイル」を選択して「鍵をファイルから読み込む」を選択してファイルを指定します。今回はIPAの公開鍵をファイルに保存してインポートしました。

情報処理推進機構:セキュリティセンター:IPA/ISEC PGP公開鍵

f:id:nemumupoyo:20140601173455p:plain

 

 

メッセージの暗号化手順

メッセージを作成した後、「このメッセージを暗号化」にチェックを入れると自動で暗号化してくれます。(メッセージはサンプルです)

f:id:nemumupoyo:20140601170151p:plain

 

 報告した次の日には詳細についての質問メールが届き、質問内容について返信をした1~2日後には報告受理と報告通知のメールが届きました。対策が終了するとIPAを通じて対策終了の連絡が届きました。

IPA側の対応も早く、専門家を通して企業に伝えられるため個人で直接報告するよりも敷居が低いと思います。