[mew-dist 21556] Re: openssl smime

Kiyotaka ATSUMI kiyotaka at example.com
2002年 8月 28日 (水) 11:34:36 JST


静岡大学の渥美です.

# DMにしようかどうか迷いましたが,こちらに送らせていただきます.

私がSSL認証方式を十分に理解しているわけではないことをご了解いただいた上
で以下をお読みください.

At Wed, 28 Aug 2002 08:51:23 +0900 (JST), Kazu Yamamoto (山本和彦) <kazu at example.com> wrote:
> [mew-dist 21506] の問題に関連して、mew-smime.el を調べているのですが、
> 疑問があるので知っている方がいたら教えて下さい。
> 
> openssl で S/MIME の署名を施すには、以下のようにします。
> 
> 	% openssl smime -in 署名するファイル -out 署名された結果のファイル \
> 	  -signer 署名者の証明書 -inkey 署名者の秘密鍵
> 
> ここで証明書とは、公開鍵に何らかの署名を施したものだと考えて下さい。
> 
> mew-smime.el では以下のように openssl を起動します
> 
> 	% openssl smime -in 署名するファイル -out 署名された結果のファイル \
> 	  -signer 署名者の証明書 -certfile 中間CAの証明書
> 
> という訳で、署名に必要な「署名者の秘密鍵」が、どこにも指定されていませ
> ん。

秘密鍵が含まれている署名者の証明書(id.pem)は以下のような形式で格納されて
いました.

Bag Attributes
    friendlyName: hoge Freemail Membernhoge ID
    localKeyID: 76 D0 17 64 DE AF EB 17 DB 63 E9 25 6B CD DA DE 50 7A E1 CC 
Key Attributes: <No Attributes>
-----BEGIN RSA PRIVATE KEY-----
内容省略
-----END RSA PRIVATE KEY-----
Bag Attributes
    friendlyName: hoge Freemail Membernhoge ID
    localKeyID: 76 D0 17 64 DE AF EB 17 DB 63 E9 25 6B CD DA DE 50 7A E1 CC 
subject=/CN=hoge Freemail Member/Email=hoge at example.com
issuer= /C=ZA/ST=Western Cape/L=Cape Town/O=hoge/OU=Certificate Services/CN=Personal Freemail RSA 2000.8.30
-----BEGIN CERTIFICATE-----
内容省略
-----END CERTIFICATE-----

そこで,このファイルから署名者の証明書と秘密鍵を分離したファイル
(id-open.pem, id-private.pem)を作成し下記のような実験を行いました.

$ cat >hoge.txt
hogehoge
hogehoge
^D
$ openssl smime -sign -in hoge.txt -out hoge2.txt -signer id-open.pem -inkey id-private.pem issuing-CA.pem
$ openssl smime -sign -in hoge.txt -out hoge3.txt -signer id.pem issuing-CA.pem
$ diff hoge2.txt hoge3.txt
2c2
< Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; mic
lg=sha1; boundary="----7B23E6EE52EECF1D1D2FE5C699C4FC91"
---
> Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; mic
lg=sha1; boundary="----5A05480407CCE31388DEBE5DD8BA4BCB"
6c6
< ------7B23E6EE52EECF1D1D2FE5C699C4FC91
---
> ------5A05480407CCE31388DEBE5DD8BA4BCB
10c10
< ------7B23E6EE52EECF1D1D2FE5C699C4FC91
---
> ------5A05480407CCE31388DEBE5DD8BA4BCB
34c34
< SIb3DQEJBTEPFw0wMjA4MjgwMjA2MzlaMCMGCSqGSIb3DQEJBDEWBBTyiyV9pUF6
---
> SIb3DQEJBTEPFw0wMjA4MjgwMjA2NTFaMCMGCSqGSIb3DQEJBDEWBBTyiyV9pUF6
37,40c37,40
< KDANBgkqhkiG9w0BAQEFAASBgDz/kLzC8WMWPA8lvoDEEgoaMkFHzgulzD4CmHBv
< V6q3svdmOXR06lvg5ZHZi8qwbq+yX4mFw7VZmRoMkHegvbyEHR4DfrqZ44/F4FzJ
< vpfxNpJWwuEGOAphFLui8PFdwW2FfbGgGn8Pi2C1qqjY3IX6fzk1ez/kP1EbAtn3
< XgTx
---
> KDANBgkqhkiG9w0BAQEFAASBgGhNFIYDx0dpNVmhBmbWs4EC3TAgN3NzhU8m7GzR
> jPrg3+peLW1hNaEhRtvHdH3xG5V2OajnJGQn4IdnUARvljLkJeyBv0NdNdeKlUDc
> MsAUr+oHPqTXG8aZjSWJvz1fISibdSS6DeRV0vg6l8Pt+T5jj6p6AavDPiypoI8w
> 5+C3
42c42
< ------7B23E6EE52EECF1D1D2FE5C699C4FC91--
---
> ------5A05480407CCE31388DEBE5DD8BA4BCB--

と言う結果になっています.差異が秘密鍵を保管できるほど大きくないため,下
記のことが考えられます.

-inkeyオプションを使うかどうかに関わらず,

1. 秘密鍵は署名された文書に含まれない.
2. 秘密鍵は署名された文書に含まる.

できれば,さらに詳しく解説していた頂けると私も嬉しいです.

--
静岡大学総合情報処理センター 専任教官 渥美 清隆
  E-mail: kiyotaka at example.com
  URL: http://www.ka-lab.ac




Mew-dist メーリングリストの案内