[Mew-dist 16588] S/MIME verification failure

[Ryutaroh Matsumoto]

私はmew-dist MLに何通かのS/MIMEの電子署名をしたメールを投稿しましたが、
そのメールをMew 1.95b10[78]とcontrib/00readme-smime.jisにしたがって準
備したルートCAの公開鍵で検証すると「電子署名がおかしい」という結果が出
る、という御指摘を鯉江さんからいただきました。
レポートありがとうございます ＞鯉江さん

それは私の期待した動作なんですが、なぜそういうことがおきるのか説明した
ほうがよいと思うので説明させていただきます。このメールにもS/MIMEの電子
署名が付いていますが、これは正しい署名と認識されるはずです。

またOutlook Expressに電子署名したメールを送ると固まる原因と回避方法が
わかったので、最後に説明します。

S/MIMEの電子署名の中にはメールの送信者の公開鍵が付いています。また送信
者の公開鍵を署名した証明機関の公開鍵、さらにその証明機関の公開鍵を署名
した証明機関の公開鍵(以下繰り返し)がメールの電子署名に含まれていること
も有ります。

電子署名の中にはメールの送信者の公開鍵しか含まれていない場合、その電子
署名の署名者は必ず自分が既に信頼することにしているルート証明機関でなけ
れば、送信者の公開鍵は「正しい」とは認められません。一方電子署名の中に
いくつかの証明機関の公開鍵が含まれている場合、それらの公開鍵の署名者を
辿って自分が信頼することにしているルート証明機関に辿り付ければその公開
鍵を正しいと見倣します。(なんでこんなことをやっているかの説明は
[Mew-dist 16571]に添付されている文書を御覧下さい。)

私がVeriSignから貰って来た公開鍵は
VeriSign Class 1 CA Individual Subscriber-Persona Not Validated
という証明機関により署名されています。この証明機関の公開鍵は
contrib/00readme-smime.jisに書いてあるルート証明機関の公開鍵の集まりに
は入っていません。[Mew-dist 16252]とかのメールの電子署名の中には私の公
開鍵しか入っていないので、ルート証明機関まで署名の鎖を辿れず公開鍵の
authenticationに失敗します。

(またこのメール以外のMew-distに私が投稿したS/MIME署名付きメールは今ま
で電子署名の検証を１回もしたことが無いNetscapeで検証しても正しくない電
子署名と見倣されます。またOutlook Express 5.5では
VeriSign Class 1 CA Individual Subscriber-Persona Not Validated
を信頼しているので正しいと見倣されます。)

一方このメールの電子署名には
VeriSign Class 1 CA Individual Subscriber-Persona Not Validated
の公開鍵も含まれていて、この証明機関の署名者はルート証明機関の公開鍵の
集まりに入っているので、公開鍵のauthenticationに成功し電子署名が正しい
と見倣されます。 


またOutlook Expressに電子署名したメールを送るとOutlookが固まる理由です
が、どうもCRL (公開鍵の取り消しリスト)を証明機関からダウンロードしよう
として固まることがあるようです。この対策としてはダウンロードが終るまで
我慢強く待つか、OutlookをCRLの確認をしないように設定すればいいです。
CRLの確認をやめさせるにはOutlook Express 5.5の場合、オプション->
セキュリティ->詳細と辿ると「デジタルIDの取り消しの確認」とかいう項目が
あるのでそこをOFFにします。

--
松本  隆太郎
-------------- next part --------------
テキスト形式以外の添付ファイルを保管しました...
ファイル名: /tmp/ryutaroh19317gZe/mew19317S3D
型:         application/x-pkcs7-signature
サイズ:     3207 バイト
説明:       無し
URL:        <http://www.mew.org/pipermail/mew-dist/attachments/20010223/55c46374/attachment.bin>