表面的な説明より技術の実態の把握を (デジタル署名の例)
-
angel_p_57
- 708
- 0
- 0
- 0
-
- いいね!0
angel (as ㌵㌤の猫)
@angel_p_57
結局この人、「アの解説間違ってる」って話、修正している風でもないし、未だに認識できてすらいないのかな。( イもちょっとおかしいか ) twitter.com/toshizo2023ip/…
2024-03-31 19:16:23
トシゾー@デジタル戦略家、ITパスポート講師
@toshizo2023ip
【1分で過去問解説!】 ITパスポート令和5年問84 過去問解説 電子署名 #shorts #itパスポート #iパス youtu.be/3uyIOSqwkCQ?si… @YouTubeより
2024-03-23 18:43:08
angel (as ㌵㌤の猫)
@angel_p_57
ま、別に「直せ!」と強要するつもりはないけど。本人の信用の話でしかないし。 …間違って参考にしちゃった人は可哀そうだけど、そこは「真に受けちゃったのが悪い」って話でもある。
2024-03-31 19:16:44
angel (as ㌵㌤の猫)
@angel_p_57
そんな込み入った話でもなんでもなくて、単に「勘違いしてたね」か「理解が浅かったね」で終わるはずだと思うんだけど…。なんか「自分は間違ってない、揚げ足取りだ!」的に騒ぎ出してグダった感じ。
2024-03-31 19:17:04
angel (as ㌵㌤の猫)
@angel_p_57
この動画この先消えるかもしれないから ( 別に間違った内容だから消すの自体は問題ない、というか消えた方がいい )、改めて整理すると。 youtube.com/watch?v=3uyIOS…
2024-03-31 19:17:36
angel (as ㌵㌤の猫)
@angel_p_57
デジタル署名に関するITパスポートの過去問、令和5年問84に関して。ア~エの4択でエが正答なんだけど、正答に関する説明じゃなくて「他の選択肢が正答でない理由」の説明の問題。 www3.jitec.ipa.go.jp/JitesCbt/html/…
2024-03-31 19:18:06
angel (as ㌵㌤の猫)
@angel_p_57
対象はアの説明。「送信者のデジタル署名が付与された電子メールに関して」「不正なメールサーバから送信されているかを判別できる」これがなぜ正答ではないのか、という理由なんだけど。
2024-03-31 19:18:35
angel (as ㌵㌤の猫)
@angel_p_57
この人は「デジタル署名ができることは『なりすまし』と『データ改ざん』の判別です」というのを理由に挙げている。つまり、「不正なメールサーバ云々」は『』で挙げた事象と関係ないから、という理由付けになるだろう。
2024-03-31 19:19:00
angel (as ㌵㌤の猫)
@angel_p_57
なぜかというと「デジタル署名を付与することによって正当なメールサーバから送信されていることを保証する」という使い方を想定した DKIM という技術が存在するから。「送信者認証」と言われる技術の一種だ。
2024-03-31 19:19:40
angel (as ㌵㌤の猫)
@angel_p_57
実際にデジタル署名を使って、送信してきたメールサーバが正しい/正しくないってのを判別する実例があるんだから、「デジタル署名ができることに『不正なメールサーバ云々』があてはまらない」という説明はありえない。だから間違った説明ということ。
2024-03-31 19:20:01
angel (as ㌵㌤の猫)
@angel_p_57
一応、じゃあ正しい説明に直すとどうなの、というと。「送信者(メールアドレス保持者)の正当性であって、中継するメールサーバの正当性ではない」とか「署名によってメールサーバが不正かどうか判断したければ、メールサーバ自身が署名を施す必要がある」とか。そんな感じかな。
2024-03-31 19:20:23
angel (as ㌵㌤の猫)
@angel_p_57
というか、メールサーバの設定をちゃんと整備しないと gmail へメールが送れなくなる! って最近騒がれてて、その中で DKIM の設定云々の話も流れてたし。上位の資格なら試験範囲にも入ってくる内容だから、それが意識から外れてるってどうなの? って話ではある。
2024-03-31 19:21:13
angel (as ㌵㌤の猫)
@angel_p_57
でまあ、うっかりなのか理解が浅いせいかはともかく、表面的な技術説明をなぞってしまっている弊害だよねということで、そういう説明出回ってるの良くないよねって自分はコメントしてる。 twitter.com/angel_p_57/sta…
2024-03-31 19:21:46
angel (as ㌵㌤の猫)
@angel_p_57
アの解説違うじゃん。 ※デジタル署名が「なりすましと改ざんを防ぐ」っていうの、いい加減やめた方がいいと思うなあ…。言葉だけ独り歩きするから。 x.com/toshizo2023ip/…
2024-03-23 20:08:23
angel (as ㌵㌤の猫)
@angel_p_57
そしたらなんか「ここにも『なりすまし』云々は書いてある(だから間違ってない)」とか、なんかゴネだしてね。まあ、技術の実態じゃなくて他人の受け売りでしか語れない時点でダメだと思うんだけど
2024-03-31 19:22:10
angel (as ㌵㌤の猫)
@angel_p_57
この点については、一般に出回ってる参考書や解説サイト、ことごとくあてにならないのが根本原因でもあるので、同情の余地はなくもないとは言え… ※でも、それを「自分の責任で」語っちゃってるからしようがないよね
2024-03-31 19:22:27
angel (as ㌵㌤の猫)
@angel_p_57
で、「なりすまし対策とする応用事例があること」と「なりすましを防ぐ機能を持つこと」は違うよね、って話をしたんだけど、どうやら理解が及ばなかったらしい。 ※ま、単純に「いちゃもんつけられてたまるか」でそもそもマトモに聞く気がなかったんだろう twitter.com/angel_p_57/sta…
2024-03-31 19:22:49
angel (as ㌵㌤の猫)
@angel_p_57
@toshizo2023ip 「デジタル署名を応用することでなりすまし対策とする」用途があることは否定しませんが、それはデジタル署名になりすましを防ぐ機能があることを意味するわけではありません。 ※この違い理解できますか?
2024-03-23 21:08:58
angel (as ㌵㌤の猫)
@angel_p_57
その技術の実態を見ずに、解説書等に書かれた説明で分かった気になって…って人はまあそれなりにいるから、今更驚くことではないんだけど。真面目に技術・知識を修めたいって人にはいい反面教師になるんじゃないかな。
2024-03-31 19:23:11
angel (as ㌵㌤の猫)
@angel_p_57
この話見て「些細な問題に重箱の隅つつきしてるのでは?」と思う人も出て来るかも知れない。実際、単純に「説明間違えました」の段階なら些細な問題と言えただろうし。
2024-03-31 19:23:31
angel (as ㌵㌤の猫)
@angel_p_57
でも「『なりすまし対策とする応用事例があること』と『なりすましを防ぐ機能を持つこと』は違うよね」が理解できなかったのは、技術に関わってくつもりがあるなら結構致命的だと思う。この人がどういう立ち位置なのかは知らんけど。
2024-03-31 19:23:48
angel (as ㌵㌤の猫)
@angel_p_57
「なりすまし対策で使う事例がある」のは簡単な話だと思う。例えば基本情報でも「SSHの公開鍵認証」という「ユーザ認証(本人確認)」の一種は試験に出てくる話題であって。この技術は要は「正しい署名を作れるので本人です」という理屈で、なりすまし対策になっている。
2024-03-31 19:24:08
angel (as ㌵㌤の猫)
@angel_p_57
それじゃあ、デジタル署名じゃなくて公開鍵暗号(暗号化機能)を使って、同じように本人確認をする技術もある(あった)んだけど。それで「公開鍵暗号の機能はなりすまし対策です」って言ったら、それは違うんじゃない? 普通言わないよね。
2024-03-31 19:24:31
angel (as ㌵㌤の猫)
@angel_p_57
もう一つ問題があって。「署名になりすましを防ぐ機能があります」と言っちゃうと「署名がある? じゃあなりすましじゃないね」って短絡されちゃうんだよね。そっちの方の弊害がでかい。
2024-03-31 19:24:58
angel (as ㌵㌤の猫)
@angel_p_57
実際問題として、情処の試験対策本なんかでは「送信者が署名者本人であることが確認できる」的な説明があったりするんだけど。あれなんか鵜呑みにしちゃいけない説明の典型。 他には「データ作成者が署名者本人である」って誤解も多い。
2024-03-31 19:25:21