[mew-dist 21559] Re: openssl smime

[Atsushi Onoe]

> 通常、秘密鍵はパスワードで暗号化して保存します。この辺から想像になりま
> すが、証明書に入っている秘密鍵も暗号化されてはいるのでしょう。(ユーザ
> の運用にもよりますが。)

「証明書」と「証明書の入ったファイル」をごっちゃにしていませんか。

PEM では一つのファイルに複数の中身をいれることができます。

-----BEGIN CERTIFICATE-----
証明書
-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,8117B051B9EE59BD

暗号化された秘密鍵
-----END CERTIFICATE-----

openssl で -nodes とかつけると秘密鍵を暗号化せずに取り出すことも
できます。httpd を起動するたびに password を入力するのが面倒なときに
やりますね。

> S/MIME を危険な方法で運用していることになります。もっと言えば、世の中
> で署名書を発行してくれる CA の発行方法自体が危険なのかもしれません。

普通の CA は、秘密鍵を受け取りません。公開鍵だけを渡して署名してもらい
ます。もちろん、秘密鍵は自分しか持ってないので、それを無くすと何もできなく
なります。

企業などの private CA では、秘密鍵無くされると業務が全部止まるというのも
不便なので、発行者側で秘密鍵ごと生成して利用者に配布するという形態が
とられることもあります。発行者が秘密鍵を保管するわけです。

尾上