キーペアの生成

GnuPG を使用するには、最初に新しいキーペア -- 公開鍵と秘密鍵を生成しなければなりません。

キーペアの生成に関する指示は先に説明しましたが (the section called 新規の鍵の組の生成 in Chapter 12)、ここでは必要な手順を簡単に説明します。

キーペアを生成するために、Xterm (ターミナル) ウィンドウを開き、プロンプトに対して以下を入力します。

gpg --gen-key

生成するキーの種類や長さなど、数多くのオプションが表示されます。デフォルトのオプションも利用できます。その場合は単純に [Enter] キーを押します。別のオプションを選ぶ理由がなければ、デフォルト値を選択するだけで十分です。

ユーザ ID、名前、電子メールアドレス、任意のコメントを入力します。次に、パスフレーズを入力します。パスフレーズは、アカウントパスワードと同じようにユニークで安全なものにし、簡単に推測されないようにします。プロンプトで入力するパスフレーズは、1 つの単語でもフレーズでもよく、本人がキーペアの所有者であることを証明するためのものです。当然のことですが、覚えられるものにしてください。

作成した公開鍵と秘密鍵は、.gnupg ディレクトリ内に格納されます。鍵を参照するには、[gpg --list-keys] と入力します。新しい鍵が次のように表示されます。

[newuser@localhost newuser]$
gpg --list-keys
/home/newuser/.gnupg/pubring.gpg ----------------------------------------- pub 1024D/B7085C8A 2000-04-18[ユーザ名]
<you@yourisp.net>sub 1024g/E12AF9C4 2000-04-18

失効証明の生成

キーペアを生成したら、公開キーに対して失効証明を生成する必要があります。パスフレーズを忘れたり、パスフレーズが漏洩した場合は、対の公開鍵を使用すべきでないことを通知するために、この証明を発行します。

あなたの署名は、公開鍵が失効するまでは通信内容を読む相手にとって有効となり、逆にあなたは鍵が失効する前に受け取ったメッセージを復号化することができます。失効証明を生成するには、--gen-revoke オプションを使用します。

[newuser@localhost newuser]$gpg --output revoke.asc --gen-revoke<you@yourisp.net>

--output revoke.asc オプションを省略すると、失効証明が「標準出力」であるモニタ画面に表示されることに注意してください。Pico などのテキストエディタを使って、出力の内容をコピーして任意のファイルに貼り付けることができますが、出力をログインディレクトリ内のファイルに送る方が簡単です。こうすると、失効証明をあとで簡単に利用したり、フロッピーに移して安全な場所に保管できます。

失効証明を生成する手順は、以下のようになります。

[newuser@localhost newuser]$gpg --output revoke.asc --gen-revoke<you@yourisp.net> sec 1024D/823D25A9 2000-04-26[ユーザ名]
<you@yourisp.net> Create a revocation certificate for this key?y You need a passphrase to unlock the secret key for user:"[ユーザ名]
<you@yourisp.net>" 1024-bit DSA key, ID 823D25A9, created 2000-04-26 ASCII armored output forced.Revocation certificate created. 

失効証明が生成されると (revoke.asc)、ログインディレクトリに格納されます。ファイルの安全性を確保するために、フロッピーにコピーして安全な場所に保管します。(Red Hat Linux でファイルをディスケットにコピーする方法がわからない場合は、the section called フロッピーディスクの使用 in Chapter 17を参照してください。)

公開鍵のエクスポート

公開鍵暗号法を使用するには、相手が公開鍵のコピーを持っている必要があります。通信相手やキーサーバに鍵を送信するには、鍵をエクスポートしなければなりません。

以下のように入力して鍵をエクスポートすれば、鍵を Web ページで表示したり、電子メールに貼り付けることができます。

[newuser@localhost newuser]$gpg --armor --export<you@yourisp.net> > mykey.asc[newuser@localhost newuser]$ 

公開鍵がエクスポートされるだけではなく、mykey.asc などのファイルに出力がリダイレクトされるため、画面では何も見えません。(> mykey.asc を省略すると、鍵は標準出力のモニタ画面に表示されます。)

これで、ファイル mykey.asc を電子メールに挿入したり、キーサーバにエクスポートできます。鍵を表示するには、[less mykey.asc] と入力して、ページャでファイルを開きます (ページャを閉じるには、[Q] を入力します)。以下のようになります。

-----BEGIN PGP PUBLIC KEY BLOCK----- Version:GnuPG v1.0.1 (GNU/Linux) Comment:For info see http://www.gnupg.org mQGiBDkHP3URBACkWGsYh43pkXU9wj/X1G67K8/DSrl85r7dNtHNfLL/ewil10k2 q8saWJn26QZPsDVqdUJMOdHfJ6kQTAt9NzQbgcVrxLYNfgeBsvkHF/POtnYcZRgL tZ6syBBWs8JB4xt5V09iJSGAMPUQE8Jpdn2aRXPApdoDw179LM8Rq6r+gwCg5ZZa pGNlkgFu24WM5wC1zg4QTbMD/3MJCSxfL99Ek5HXcB3yhj+o0LmIrGAVBgoWdrRd BIGjQQFhV1NSwC8YhN/4nGHWpaTxgEtnb4CI1wI/G3DK9olYMyRJinkGJ6XYfP3b cCQmqATDF5ugIAmdditnw7deXqn/eavaMxRXJM/RQSgJJyVpbAO2OqKe6L6Inb5H kjcZA/9obTm499dDMRQ/CNR92fA5pr0zriy/ziLUow+cqI59nt+bEb9nY1mfmUN6 SW0jCH+pIQH5lerV+EookyOyq3ocUdjeRYF/d2jl9xmeSyL2H3tDvnuE6vgqFU/N sdvby4B2Iku7S/h06W6GPQAe+pzdyX9vS+Pnf8osu7W3j60WprQkUGF1bCBHYWxs YWdoZXIgPHBhdWxnYWxsQHJlZGhhdC5jb20+iFYEExECABYFAjkHP3UECwoEAwMV AwIDFgIBAheAAAoJEJECmvGCPSWpMjQAoNF2zvRgdR/8or9pBhu95zeSnkb7AKCm /uXVS0a5KoN7J61/1vEwx11poLkBDQQ5Bz+MEAQA8ztcWRJjW8cHCgLaE402jyqQ 37gDT/n4VS66nU+YItzDFScVmgMuFRzhibLblfO9TpZzxEbSF3T6p9hLLnHCQ1bD HRsKfh0eJYMMqB3+HyUpNeqCMEEd9AnWD9P4rQtO7Pes38sV0lX0OSvsTyMG9wEB vSNZk+Rl+phA55r1s8cAAwUEAJjqazvk0bgFrw1OGO9m7fEeDlvPSV6HSA0fvz4w c7ckfpuxg/URQNf3TJA00Acprk8Gg8J2CtebAyR/sP5IsrK5l1luGdk+l0M85FpT /cen2OdJtToAF/6fGnIkeCeP1O5aWTbDgdAUHBRykpdWU3GJ7NS6923fVg5khQWg uwrAiEYEGBECAAYFAjkHP4wACgkQkQKa8YI9JamliwCfXox/HjlorMKnQRJkeBcZ iLyPH1QAoI33Ft/0HBqLtqdtP4vWYQRbibjW =BMEc -----END PGP PUBLIC KEY BLOCK----- 

公開鍵のインポート

通信相手の公開鍵をキーリングにインポートすることは、エクスポートと同じくらい簡単です。通信相手の公開鍵をインポートすれば、キーリングに含まれる相手の公開鍵を使用することによって、メールを復号化したり電子署名を確認したりすることができます。

一番簡単なインポートは、Web サイトから鍵をダウンロードして保存することです (たとえば、the section called 鍵のインポート in Chapter 12 で説明する、Red Hat の鍵を保存する場合)。

鍵をダウンロードしてから、--import コマンドでキーリングに追加します。

鍵を保存する別の方法として、ブラウザの[名前を付けて保存] 機能があります。Navigator などのブラウザを使用していて、かつ鍵をキーサーバに置いている場合は、そのページをテキストファイルとして保存できます ([ファイル] - [名前を付けて選択]</+guimenuitem>)。[保存した文書の書式] の隣のドロップダウンボックスから、[テキスト] を選択します。次に、保存したファイルの名前を覚えている場合は、そのファイルをインポートすることができます。たとえば、鍵を newkey.txt というテキストファイルとして保存した直後であるとします。その場合、ファイルをインポートするには、以下をシェルプロンプトに入力します。

[newuser@localhost newuser]$
gpg --importnewkey.txt
gpg:key F78FFE84:public key imported gpg:Total number processed:1 gpg:imported: 1
[newuser@localhost newuser]$

インポートが成功したかどうかをチェックするには、プロンプトで --list-keys コマンドを [gpg --list-keys] のように入力します。新たにインポートされた鍵がキーリングに表示されます。

デジタル署名とは?

デジタル署名はサインや捺印と同じで、電子メールなどの文書に使用されます。

署名を改ざんできる可能性があった従来の通信文とは異なり、デジタル署名は偽造できません。デジタル署名は一意の秘密鍵によって作成されるので、通信の受取人は相手の公開鍵を使ってその署名を検証できます。

デジタル署名は、文書にタイムスタンプを添付します。つまり、文書に署名した時刻は署名の一部になります。このため、だれかが文書を文書を修正しようとすると、署名の検証が失敗することになります。Exmh や KDE の KMail などの一部の電子メールアプリケーションでは、アプリケーションのインタフェースから GnuPG を使って文書に署名する機能が利用できます。

デジタル署名の便利なタイプは、clearsigned 文書と detached signaturesです。両方のタイプとも認証の安全性は同程度であり、受信者はメッセージ全体を復号化する必要はありません。

clearsigned メッセージでは、署名は文面にテキストブロックとして表示され、detached signature は別のファイルとして文面といっしょに送信されます (つまり、メッセージから分離されています)。

より詳しい情報の入手先

暗号技術については、ここで GPG について説明したことよりはるかに多くの事柄があります。より詳しく知るためには、以下を参照してください。

• Websites:

  • GnuPG: http://www.gnupg.org には、最新の GPG リリース、総合的なユーザーズガイド、その他の暗号情報のリンクがあります。

  • Webmonkey の Encryption Tutorial：http://hotwired.lycos.com/webmonkey/backend/security/tutorials/tutorial1.html には、暗号に関する情報とその応用に関する情報があります。

  • The Electronic Frontier Foundation, "Privacy, Security, Crypto, &; Surveillance" Archive:http://www.eff.org/pub/Privacy.

• 書籍：

  • 『The Official PGP User's Guide』、Philip R. Zimmermann; MIT Press, 1995

  • 『PGP: Pretty Good Privacy』、Simson Garfinkel; O'Reilly &; Associates, 1994

  • E-Mail Security:How to Keep Your Electronic Messages Private, Bruce Schneier; John Wiley &; Sons, 1995