デジタル署名の信頼性について

このQ&Aのポイント
  • デジタル署名の異なる信頼性について疑問が生じました。セキュリティに興味を持ち、パケット警察というソフトをダウンロードしましたが、署名が異なりました。
  • 「SoftEther Corporation」ではなく、「SoftEther K.K.」という署名がされているため、改ざんされているのか疑問です。署名の正確さを確認する方法も知りたいです。
  • また、署名の名称が世界で唯一かどうかも疑問です。単なる名前であれば偽造される可能性もあるため、信頼性について心配しています。
回答を見る
  • ベストアンサー

デジタル署名が異なる場合の信頼性について

セキュリティーについて興味が出てきて、 パケット警察 というソフトをダウンロードしてみたのですが、 http://www2.softether.jp/jp/packetpolice/download.aspx にある、説明と少し違う会社の署名がされています。 具体的には「SoftEther Corporation」ではなく、「SoftEther K.K.」です。 これは改ざんがされているのでしょうか?それとも、こちらも正しい表記なのでしょうか? また、今まで署名という物は気にしたことがなかったのですが、これが改ざんされているか否かを個人で簡単に調べる方法はありますか? また、この署名の名称(SoftEther Corporation)は世界で唯一のユニークな文字列なのでしょうか?仮に、ただの名前であれば簡単に偽造できそうですし・・・

  • elee_f
  • お礼率65% (218/334)

質問者が選んだベストアンサー

  • ベストアンサー
回答No.4

> Microsoftは確かにあれかもしれませんが、それでも法律の許す国でキッチリと法人を立ち上げたり、もしくは、ある程度マイナーな会社と同じ名称で設立して登録すれば可能と言うことでしょうか?それとも、人名の登録とは異なり、似ていたりすれば却下されるのでしょうか? 一応、Verisign等の認証局は、証明書を信頼してもらうことでお金を 稼いでいるわけで、その信頼性維持には相当コストをかけているはずです。 なので、既に別の会社で登録済みの名前と同じ名前は絶対通りませんし、 ある程度有名な名前と似た名前でユーザーを惑わせる可能性があるなら それも却下すると思います。 ただ、マイナーな会社名と似た名前の場合、どっちがどっちをマネした という話もあると思いますので、法的に登記されていればそれは通ると思います。 > 特に今回、会社の沿革などを見たのですが社名が変わったと言うこともなく変更してありましたので意外と簡単に変更できる物?と思ったりしています。 今回の場合、正式な登記名は「ソフトイーサ株式会社」であり、英語表記は 特に登記していないものと思います。ただ、証明書申請は英語ですから、 それを英語に翻訳したものを使うことになります。「Corporation」も「K.K.」も 「株式会社」を意味しますから、この2つはどちらも同じ会社であり、翻訳のゆれ 程度の認識で認証局はどちらも認めたのだと思います。 (正確にはK.Kは英語ではなく、株式会社のローマ字表記を略したもので、 商習慣的に認められています。) (参考) http://ja.wikipedia.org/wiki/%E6%A0%AA%E5%BC%8F%E4%BC%9A%E7%A4%BE_(%E6%97%A5%E6%9C%AC)#.E5.95.86.E5.8F.B7 今回のように、なんとなく似ていても異なる表記は疑ってかかり、 Webサイトを確認する等してちゃんと調べるのがよい姿勢であり、 大切なことだと思います。

elee_f
質問者

お礼

疑問点について回答頂きありがとうございます。 何かモヤモヤしていた物が氷解しました。 また、「K.K.」が「株式会社」の略だとは冗談かと思いましたが本当なのですね。ビックリしました。

その他の回答 (3)

回答No.3

No.1 です。 > 例えば、Microsoftという名称でVersignで署名と取り、自分のソフトにその署名を使うと、 > あたかも、Microsoftからの純正品かのような勘違いを引き起こすことも出来ると言うことでしょうか? これは、技術的に言えば、その通りです。 ただ、Versign も、「認証局」として仕事をしている以上、ニセMicrosoftを認証してしまうと、一気に信用を失ってしまうことになります。 というわけで、さすがに、Microsoft という名前で申請をすると、かなりがちがちの確認をしますので、まあ、運用上そういうことはないようになっています。 なので、とりあえずは、「偽物の申請は却下する」ということになっています。 そういう信頼性を含めて、「認証局」が頑張るわけです。 ある意味では、だから、「ベリサイン社が発行したソフトイーサ社専用の 2048 bit 証明書で署名されており」という但し書きも(単にデジタル署名されていますというだけでなく)ある程度意味を持ちます。 「あの、Verising が認証してくれたので、私も本物です」と(断言できないにしても)ある程度の確度ではいえるわけです。 また、たとえば、ソフトのデジタル署名は、ファイルをコピーすると、丸ごとコピーされます。 なので、たとえば、私が「パケット警察」というソフトをでっち上げて、それを、Vector などにまんまとアップしてしまったとしても、デジタル署名をつけることができないので(署名を確認すれば)偽物だとわかります。 逆に(勝手にコピーして良いかどうかという取り決めは別として)このソフトをどこにコピーしても、署名を確認すれば「本物」とわかるわけです。 このデジタル署名は、公開鍵暗号の技術で実現されています。 認証局は、申請者が「正しい」と確認すると、 ・その申請者専用の秘密鍵 ・それに対応する公開鍵に、認証局の秘密鍵でデジタル署名したもの を渡します。 申請者は、自分のソフトに対して、自分がもらった秘密鍵でデジタル署名を行います。 通常、デジタル署名は、「認証局の秘密鍵でデジタル署名した公開鍵」もセットで配布されますので、受け取った人は、 ・その公開鍵で検証することで、確かに、秘密鍵の持ち主(=申請者)がデジタル署名をしたこと ・さらに、署名をされた後で、改ざんされてないこと ・その公開鍵が、認証局によってデジタル署名されているので、確かに、その申請者を認証局が認証したこと 以上が確認できるというわけです。

elee_f
質問者

お礼

再度書き込み頂きありがとうございます。 Microsoftは確かにあれかもしれませんが、それでも法律の許す国でキッチリと法人を立ち上げたり、もしくは、ある程度マイナーな会社と同じ名称で設立して登録すれば可能と言うことでしょうか?それとも、人名の登録とは異なり、似ていたりすれば却下されるのでしょうか?特に今回、会社の沿革などを見たのですが社名が変わったと言うこともなく変更してありましたので意外と簡単に変更できる物?と思ったりしています。 セキュリティーというと真っ先にHTTPSなどを思い浮かべるのですが、こちらは同一性についてかなり確実性が高いと思っていたのですが、この場合、言うほど意味がないのかなぁ・・・と思ったりしてしまいます。 なお、ソフトイーサに問い合わせたところ、夜間にも関わらず返信があり、Webサイトの表記ミスとのことでした。ベンチャーですし夜遅くまで頑張っておられるようでした。

回答No.2

このレベルの(GlobalSign CodeSigning CA-G2) デジタル署名で、おおよそ言えるのは ・SoftEther K.K. という名称で、Verisign社に対して、デジタル署名を申請した団体がある ・その団体が、作成したソフトであり、それ以外のものが関与はしていない(と、その団体が言っている) ・「自分たちの作ったソフトだ」と、「その団体」が宣言していると、Verisign社が保証している ということです。 厳密には、それが、SoftEther Corporation と同じ組織であると調べる方法はありません。 また、よく見ると、これがおいてあるWebが、「本当に第三者ではない」というのを保証する仕組み(たとえば、https でのアクセス)を提供していないので、同じ組織であるとはいいきれません。 ただ、説明図にある SoftEther Corporation の署名は、2012年10月30日に行われているのに対して、SoftEther K K のデジタル署名は、2012年12月26日から有効(ダウンロードしたソフトの署名自体は、2013年2月4日)なので、あまり、不自然なところはないとは思えます。 また、こういうものの偽造はかなり難しいです。 だから、これが、「SoftEther K K」として、Versising社にデジタル署名を申請した団体のものであるというのは、まず間違いありません。

elee_f
質問者

お礼

回答いただきありがとうございます。 ちょっと、あまりにピンポイント過ぎましたので、もう少し一般的な会社で、 例えば、Microsoftという名称でVersignで署名と取り、自分のソフトにその署名を使うと、あたかも、Microsoftからの純正品かのような勘違いを引き起こすことも出来ると言うことでしょうか?仮にそうであれば、HTTPSで自社から配信していれば署名などあってもなくても関係ないですし、むしろあることで被害が拡大するような着すらしますがこの署名に意味があるのでしょうか? なお、自分でも簡単なソフトは作っていますが、このソフトをダウンロードするまで、署名という物について気にしたことすらありませんでしたので、何か見当違いなことを言っていたらすみません。

  • ok-kaneto
  • ベストアンサー率39% (1798/4531)
回答No.1

どちらも同じでしょうが、第三者がとやかく言っても仕方がないのでソフトイーサに聞いてみてはどうでしょうか? https://www2.softether.jp/jp/contact/Default.aspx?flag=1

elee_f
質問者

お礼

回答いただきありがとうございます。 確かにその通りですね。早速連絡しました。 なお、この質問をさせて頂いたのは、このソフトについてももちろん疑問なのですが、署名の一般的な意味や利用方法、改ざんに対しての効果のような物もお伺いしたく質問させて頂きました。

関連するQ&A

  • WMP11のデジタル署名。

     度々お世話になりますが、よろしくお願いします。  2009年6月21日13時ごろ、ウィルスバスター2009を最新版にアップデートして総合検索をしたところ、WindowsMediaPlayer11のインストールのためにダウンロードしたファイル「wmp11-windowsxp-x86-JA-JP.exe」がウィルスとして検出されました。これに関してはトレンドマイクロの方に問い合わせ中で、結果待ちです。  ここからがお訊ねしたいところなのですが、この検出の後に念の為、該当ファイルのデジタル署名を確認しようとプロパティを開いたのですが、「デジタル署名」の項目がプロパティの中にありません。マイクロソフトからダウンロードしたファイルには大抵デジタル署名が付いていると思っていたので、少し不審に思えてなりません。もう一度ダウンロードし直して確認しようとしたのですが、ウィルスバスターの方がウィルスとして判断しているらしく、ダウンロード直前で中止されてしまいます。また、何故か「wmp11-windowsxp-x86-JA-JP.exe」のプロパティを開いて閉じるたびに「MS-DOS プログラムへのショートカット」というショートカットが同じフォルダ内に発生してしまいます。  WMP11をお使いの方で、公式( http://www.microsoft.com/japan/windows/windowsmedia/download/default.aspx )からダウンロードしたwmp11-windowsxp-x86-JA-JP.exeにデジタル署名があるかどうか確認出来る方(私のは2009年1月中旬ごろにダウンロードした物です)、また「MS-DOS プログラムへのショートカット」が勝手に作成されるような状況について何か解る方、お知恵をお貸し下さい。 OS:Windows XP SP3

  • SoftEtherについて

    システムの開発・保守の仕事をしています。 前々から遠隔保守について考えているのですが、softetherを使って保守をしている事例がありましたら教えていただきたいと思います。 また、セキュリティーの問題があるという事なのですが、SoftEther プロトコルはデータの暗号化、電子署名をサポートしており、カプセル化されたパケットは途中で盗聴されたり、改竄されたりすることはないということなのでその点の心配はなさそうなのですが、やはり企業間のデータのやりとりをするのには危険なのでしょうか?? 宜しくお願い致します。

  • spybot 1.5.2 の 2008-05-14 のspybotsd_includes.exeの サイズ教えてください!

    http://www.spybot.info/jp/download/index.html にあるDetection updates 2008-05-14 の分の何バイトか教えてください。1バイト単位で。 本当はハッシュ値で判別したいんですが 1 http://www.spybot.info/jp/download/index.htmlの記載のMD5が改ざんされてるかもしれない 2 okwaveの回答でMD5を聞いてもあまり教えてくれない の理由でサイズ確認にしました。 ファイルのプロパティのデジタル署名で改ざんされてないかどうか 判断できるらしいですけど、どこを見て判断したらいいかわかりません。 1週間ほどしたらこの分がダウンロードできなくなるので早めにお願いします

  • 昔の機種を引っ張り出し、Gateway JP600で、モニタFPD15

    昔の機種を引っ張り出し、Gateway JP600で、モニタFPD1500にて使用、OSはWin2Kですが、表示はNVIDIATNT2となっています。その最新ドライバを当てようと思い、http://www.nvidia.co.jp/Download/index.aspx?lang=jp ここから引っ張り出したのですが、うまくいきません。「ありません」との表示です。違うドライバなのでしょうか?同じような経験された方いませんか?

  • P5K-E 不明なデバイス

    マザーボードP5K-Eを使用しています。 手元に購入時に付属していたCDがなく、下記URLからからドライバをダウンロードしているのですが、「デバイスマネージャ>その他のデバイス>不明なデバイス」の表記がひとつあります。 http://support.asus.com/download/download.aspx?SLanguage=ja-jp&model=P5K-E ここからWinXPを選択。 いったいどのドライバをインストールすればこの表記を消すことができるでしょうか? 現在インストールしているドライバは Chipset (3) の項目の Intel(R) Chipset Software Installation Utility V8.3.0.1013 for Windows 2000/XP & 64bit XP & 32/64bit Vista(WHQL). と、オーディオ (2) の SoundMAX Audio Driver v5.10.01.6310 for Windows 2000/XP(WHQL) 加えて、LAN (2) の Marvell Yukon Gigabit Ethernet Driver V10.22.4.3 for Windows 2000/XP/2003(WHQL)/64bit XP/2003/32/64bit Vista(WHQL). この三つです。 ご存知の方がおられましたらご教示よろしくお願いいたします。

  • SQL Server® 2012 32Bit版

    Microsoft® SQL Server® 2012 Expressの32Bit版について http://www.microsoft.com/ja-jp/download/details.aspx?id=29062 こちらからダウンロードしているのですが JPN\x86\SQLEXPR_x86_JPN.exe と JPN\x86\SQLEXPR32_x86_JPN.exe の 違いが分かる方教えていただけませんでしょうか。 •Express (データベース エンジンのみ含む) ◦コアの Express データベース サーバーです。リモート接続またはリモートの管理者を許可する必要がある場合に使用します。 だということは想像できるのですが、32がついているか否かの違いがわかりません。

  • デジタル署名とは?

    フリーソフトを使おうとしたら次のようなウィンドウが出てきました。「このブックはセキュリティーレベルが高に設定されており、デジタル署名されていないかまたは安全なものとして確認されていないため利用できません。マクロを実行するには署名するか、セキュリティーレベルを変更する必要があります」 そこで、見当違いかもしれませんが、ウィルスバスターのセキュリティーレベルを低にしましたが、同じ警告が出てきてしまいました。 質問です。 まず、デジタル署名とは簡単にいうとどんなものですか?何のためにデジタル署名があるのでしょうか?そのフリーソフトを利用するにはどうすればいいのでしょうか?ヘルプを見ましたが、まったく理解できなかったので分かりやすくお願いします!

  • ディジタル署名

    シスアドの勉強中です。 共通鍵方式、公開かぎ方式はわかりました。 ん??となってしまったのはディジタル署名です。 公開かぎ方式の逆だ!、といわれたのですが・・・ とすると、送信者の秘密鍵で暗号化して、受信者は、送信者の公開鍵で複合する・・・・ということになりますよね・・・? 署名鍵って????どこに出てくるんですか??? 送信者の秘密鍵で暗号化されたものが、送信者の公開鍵で複合できたんだから、送信者の特定が出来ました・・・ ということで認証できた・・・ってことですか??? じゃあ・・・・署名鍵ってなに???? すっきり説明できる方お願いします_(._.)_

  • デジタル署名

    「メール」「オプション」をいじった後、メールを送信しようとしたら、突然「デジタル署名を取得してください」という表示が出ました。これまで私が作成したメッセージの下に現れていた署名とデジタル署名との違いがわかりません。(有効期限が切れたのかもしれません)新しくデジタル署名を取得しなければならないなら、その方法を教えてください。

  • ディジタル署名について

    情報処理技術者の勉強してます。 公開鍵暗号化方式の問題では、受信者の公開鍵で暗号化して受信者は自分の秘密鍵で複合するとあります。 ディジタル署名では、送信者の秘密鍵で暗号化して送信者の公開鍵で複合化とありますが それならばなぜ公開鍵暗号化方式は送信者の秘密鍵で暗号化して送信者の公開鍵で複合化と回答すると間違いなのでしょうか?