[Mew-dist 16589] S/MIME support in SEMI

[Ryutaroh Matsumoto]

SEMI 1.14.3 はS/MIMEの署名と検証をサポートしているようにソースを読むと
見えます。そのためWonderlustもS/MIMEの署名と検証ができるのかも知れませ
ん。しかし、SEMI 1.14.3のS/MIMEのコードには見た感じ以下のような特徴が
あり、そのためMew(およびNetscape付属のメーラー)との相互運用性に問題が
ありそうに見えるので、トラブルが報告される前に予め書いておきます。SEMI
1.14.3のソースを読んだだけなのでもしかすると書いていることに間違いがあ
るかも知れません。

SEMI のS/MIMEの署名の特徴に

(1) 署名の中に送信者の公開鍵しか含めない
(2) 署名の検証で送信者の公開鍵がルート証明機関によって署名されているか
    どうかチェックしない 

というものがあるように見えます。このため以下のような問題が生じると予想
されます。

(1) SEMI 1.14.3とVeriSignから取得した秘密鍵で署名すると、Mewおよびイン
    ストール直後のNetscape付属のメーラーで署名が正しくないと見なされる。
(2) 自分で勝手に作った秘密鍵と公開鍵を使って署名をしても、SEMI 1.14.3
    の署名の検証では正しいと見なされる。

こういうことが起きる原因は以下のメールの記述と同じです。

From: Ryutaroh Matsumoto <ryutaroh at example.com>
Subject: [Mew-dist 16588] S/MIME verification failure
> S/MIMEの電子署名の中にはメールの送信者の公開鍵が付いています。また送信
> 者の公開鍵を署名した証明機関の公開鍵、さらにその証明機関の公開鍵を署名
> した証明機関の公開鍵(以下繰り返し)がメールの電子署名に含まれていること
> も有ります。
> 
> 電子署名の中にはメールの送信者の公開鍵しか含まれていない場合、その電子
> 署名の署名者は必ず自分が既に信頼することにしているルート証明機関でなけ
> れば、送信者の公開鍵は「正しい」とは認められません。一方電子署名の中に
> いくつかの証明機関の公開鍵が含まれている場合、それらの公開鍵の署名者を
> 辿って自分が信頼することにしているルート証明機関に辿り付ければその公開
> 鍵を正しいと見倣します。(なんでこんなことをやっているかの説明は
> [Mew-dist 16571]に添付されている文書を御覧下さい。)

--
松本  隆太郎
-------------- next part --------------
テキスト形式以外の添付ファイルを保管しました...
ファイル名: /tmp/ryutaroh19317gZe/mew19317Ggc
型:         application/x-pkcs7-signature
サイズ:     3207 バイト
説明:       無し
URL:        <http://www.mew.org/pipermail/mew-dist/attachments/20010223/0e3ebc74/attachment.bin>