PGPでメールを暗号化して送信してみた
PGPとはメールの暗号化に用いられる公開鍵暗号ソフトウェアでの1つであり、企業などでのメール交換などに利用されているらしいです。
詳しい仕組みについてはこちらのサイトで解説されています。
今回はPGP鍵を利用してIPAにあるサイトの脆弱性の報告をしてみました。
GnuPGPをインストール
まず、暗号化に必要なソフトウェア(GnuPG)をインストールします。
GnuPGのサイトからソフトをダウンロードしてインストールします。(ざっくりとした説明)
Thunderbird側での設定
「ツール」メニューから「アドオン」を選択します。
アドオンマネージャの検索フォームで「Enigmail」と検索し、「Enigmail」をインストールします。
インストール・再起動した後、「OpenPGP」メニューを選択してGnuPGのディレクトリを指定します。(gpg.exeというファイル名です)
GnuPGのディレクトリを指定した後、Thunderbirdを再起動します。
公開鍵の登録方法
次に、送信する際に使う受信者の公開鍵を登録します。「OpenPGP」メニューを選択して「鍵の管理」を選択します。「OpenPGP鍵の管理」メニューが表示されたら「ファイル」を選択して「鍵をファイルから読み込む」を選択してファイルを指定します。今回はIPAの公開鍵をファイルに保存してインポートしました。
情報処理推進機構:セキュリティセンター:IPA/ISEC PGP公開鍵
メッセージの暗号化手順
メッセージを作成した後、「このメッセージを暗号化」にチェックを入れると自動で暗号化してくれます。(メッセージはサンプルです)
報告した次の日には詳細についての質問メールが届き、質問内容について返信をした1~2日後には報告受理と報告通知のメールが届きました。対策が終了するとIPAを通じて対策終了の連絡が届きました。
IPA側の対応も早く、専門家を通して企業に伝えられるため個人で直接報告するよりも敷居が低いと思います。